次の方法で共有


監査ログ アクティビティ

この記事の表では、Microsoft 365 で監査されるアクティビティについて説明します。 これらのアクティビティを検索する場合は、Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルで監査ログを検索します。

以下の表は、関連するアクティビティまたは特定のサービスのアクティビティをグループ別にまとめたものです。 テーブルには、[ アクティビティ ] ドロップダウン リスト (または PowerShell で使用できる) に表示されるフレンドリ名と、検索結果をエクスポートするときに監査レコードの詳細情報と CSV ファイルに表示される対応する操作の名前が含まれます。 詳細については、「 監査ログの詳細なプロパティ」を参照してください。

ヒント

特定の製品テーブルに直接移動するには、この記事の上部にある [ この記事 の一覧で] のいずれかのリンクを選択します。

アプリケーション管理アクティビティ

次の表に、管理者がMicrosoft Entra IDに登録されているアプリケーションを追加または変更したときにログに記録されるアプリケーション管理アクティビティの一覧を示します。 認証にMicrosoft Entra IDに依存するアプリケーションは、ディレクトリに登録する必要があります。

注:

次の表の [操作] 列にリストされている操作名には、ピリオド ( . ) が含まれています。 監査ログの検索、監査保持ポリシーの作成、アラート ポリシーの作成、またはアクティビティ アラートの作成時に PowerShell コマンドで操作を指定する場合は、操作名にピリオドを含める必要があります。 また、操作名を含める場合は、二重引用符 (" ") を使用してください。

フレンドリ名 操作​​ 説明
委任エントリが追加されました 委任エントリを追加します。 認証アクセス許可が、Microsoft Entra IDのアプリケーションに対して作成または付与されました。
サービス プリンシパルの追加 サービス プリンシパルを追加します。 アプリケーションがMicrosoft Entra IDに登録されました。 アプリケーションは、ディレクトリ内のサービス プリンシパルによって表されます。
サービス プリンシパルへの資格情報の追加 サービス プリンシパル資格情報を追加します。 資格情報は、Microsoft Entra IDのサービス プリンシパルに追加されました。 サービス 原則は、ディレクトリ内のアプリケーションを表します。
委任エントリの削除 委任エントリを削除します。 Microsoft Entra IDのアプリケーションから認証アクセス許可が削除されました。
ディレクトリからのサービス プリンシパルの削除 サービス プリンシパルを削除します。 アプリケーションがMicrosoft Entra IDから削除または登録解除されました。 アプリケーションは、ディレクトリ内のサービス プリンシパルによって表されます。
サービス プリンシパルからの資格情報の削除 サービス プリンシパル資格情報を削除します。 資格情報は、Microsoft Entra IDのサービス プリンシパルから削除されました。 サービス 原則は、ディレクトリ内のアプリケーションを表します。
委任エントリの設定 委任エントリを設定します。 Microsoft Entra IDのアプリケーションの認証アクセス許可が更新されました。

ブリーフィング メール アクティビティ

次の表に、Microsoft 365 監査ログに記録されるブリーフィング メールのアクティビティを示します。 ブリーフィング メールの詳細については、下記を参照してください。

フレンドリ名 操作​​ 説明
更新された組織のプライバシー設定 UpdatedOrganizationBriefingSettings 管理者が、ブリーフィング メールの組織のプライバシー設定を更新します。
更新されたユーザー プライバシーの設定 UpdatedUserBriefingSettings 管理者が、ブリーフィング メールのユーザー プライバシー設定を更新します。

コミュニケーション コンプライアンス アクティビティ

Microsoft 365 監査ログに記録されるコミュニケーション コンプライアンス アクティビティの一覧を次の表に記載します。 詳細については、「Microsoft Purview コミュニケーション コンプライアンスの詳細」を参照してください。

注:

これらのアクティビティは、 Search-UnifiedAuditLog PowerShell コマンドレットを使用する場合に使用できます。 これらのアクティビティは、[ アクティビティ ] ドロップダウン リストでは使用できません。

フレンドリ名 操作​​ 説明
ポリシーの更新 SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted コミュニケーション コンプライアンス管理者がポリシーの更新を実行しました。
ポリシーとの一致 SupervisionRuleMatch ユーザーがポリシーの条件に一致するメッセージを送信しました。
メッセージに適用されるタグ SupervisoryReviewTag タグがメッセージに適用されるか、またはメッセージが解決されます。

コンプライアンス マネージャーのアクティビティ

次の表は、管理者がコンプライアンス マネージャーで設定を管理するときにログに記録される操作とアクティビティの一覧です。 詳細については、「 コンプライアンス マネージャーについて」を参照してください。

フレンドリ名 操作​​ 説明
ロールの変更 ComplianceManagerRolesChange 管理者がユーザーのロールを変更しました。
テナント自動化レベルの変更 ComplianceManagerAutomationLevelChange 管理者は、すべてのアクションでテナントの自動化レベルを変更しました。
ソース自動化の変更のテスト ComplianceManagerAutomationChange 管理者がテスト ソースオートメーションの設定を変更しました。

コンテンツ エクスプローラー アクティビティ

監査ログに記録されるコンテンツ エクスプローラーのアクティビティの一覧を次の表に記載します。 Microsoft Purview ポータルとコンプライアンス ポータルのデータ分類ツールでアクセスするコンテンツ エクスプローラー。 詳細については、「データ分類コンテンツ エクスプローラーの使用」を参照してください。

フレンドリ名 操作​​ 説明
項目がアクセスされました LabelContentExplorerAccessedItem 管理者 (またはコンテンツ エクスプローラー コンテンツ ビューアー役割グループのメンバーであるユーザー) は、コンテンツ エクスプローラーを使用して電子メール メッセージまたは SharePoint/OneDrive ドキュメントを表示します。

Copilot アクティビティ

次の表に、監査ログに記録されるMicrosoft 365 CopilotとMicrosoft Copilotからのアクティビティを示します。 Copilot には、Microsoft サービス間でアクセスできます。 アクティビティには、ユーザーが Copilot と対話する方法とタイミングが含まれます。 これには、アクティビティが行われた Microsoft サービスと、操作中にアクセスされたファイルへの参照が含まれます。 Copilot の相互作用イベントとスキーマの例の詳細については、「 Copilot の相互作用イベントの概要」を参照してください。

操作中にユーザーのプロンプトからテキストにアクセスするには、「Data Security Posture Management for AI」のアクティビティ エクスプローラーから 「コンテンツ検索 」または 「AI 操作 イベントを表示する」を参照してください。

Copilot の監査とその他のコンプライアンス管理オプションの詳細については、「 Microsoft Purview は Copilot のコンプライアンス管理をサポートしています」を参照してください。

フレンドリ名 操作​​ 説明
新しい Copilot プラグインを作成しました CreateCopilotPlugin ユーザー (またはユーザーの代わりに管理者またはシステム) が新しい Copilot プラグインを作成しました。
新しい Copilot プロンプトブックを作成しました CreateCopilotPromptBook ユーザー (またはユーザーに代わって管理者またはシステム) が Copilot に新しいプロンプトブックを作成しました。
Copilot プラグインを削除しました DeleteCopilotPlugin ユーザー (またはユーザーの代わりに管理者またはシステム) が Copilot プラグインを削除しました。
Copilot プロンプトブックを削除しました DeleteCopilotPromptBook ユーザー (またはユーザーの代わりに管理者またはシステム) が Copilot プロンプトブックを削除しました。
Copilot プラグインを無効にしました DisableCopilotPlugin ユーザー (またはユーザーの代わりに管理者またはシステム) が Copilot プラグインを無効にしました。
Copilot プロンプトブックを無効にしました DisableCopilotPromptBook ユーザー (またはユーザーの代わりに管理者またはシステム) が Copilot プロンプトブックを無効にしました。
Copilot プラグインを有効にしました EnableCopilotPlugin ユーザー (またはユーザーの代わりに管理者またはシステム) が Copilot プラグインを有効にしました。
Copilot プロンプトブックを有効にしました EnableCopilotPromptBook ユーザー (またはユーザーの代わりに管理者またはシステム) が Copilot プロンプトブックを有効にしました。
Copilot と対話しました CopilotInteraction ユーザー (またはユーザーの代わりに管理者またはシステム) が Copilot にプロンプトを入力しました。
Copilot プラグイン設定を更新しました UpdateCopilotPlugin ユーザー (またはユーザーの代わりに管理者またはシステム) が Copilot プラグイン設定を更新しました。
Copilot プロンプトブックの設定を更新しました UpdateCopilotPromptBook ユーザー (またはユーザーの代わりに管理者またはシステム) が Copilot プロンプトブック設定を更新しました。
Copilot 設定を更新しました UpdateCopilotSettings 管理者 (または管理者に代わってシステム) が Copilot 設定を更新しました。

ディレクトリ管理アクティビティ

次の表Microsoft Entra、管理者がMicrosoft 365 管理センターまたは Azure 管理ポータルでorganizationを管理するときにログに記録されるディレクトリとドメイン関連のアクティビティの一覧です。

注:

次の表の [操作] 列にリストされている操作名には、ピリオド ( . ) が含まれています。 監査ログの検索、監査保持ポリシーの作成、アラート ポリシーの作成、またはアクティビティ アラートの作成時に PowerShell コマンドで操作を指定する場合は、操作名にピリオドを含める必要があります。 また、操作名を含める場合は、二重引用符 (" ") を使用してください。

フレンドリ名 操作​​ 説明
ドメインが会社に追加されました ドメインを会社に追加します。 組織にドメインが追加されました。
ディレクトリへのパートナーの追加 パートナーを会社に追加します。 パートナー (代理管理者) が組織に追加されました。
会社からのドメインの削除 会社からドメインを削除します。 組織からドメインが削除されました。
ディレクトリからのパートナーの削除 会社からパートナーを削除します。 組織からパートナー (代理管理者) が削除されました。
会社情報の設定 会社情報を設定します。 組織の会社情報が更新されました。 Microsoft 365 から送信されたサブスクリプション関連のメール アドレスと、Microsoft 365 サービスに関する技術的な通知が含まれます。
ドメイン認証の設定 ドメイン認証を設定します。 組織のドメイン認証設定が変更されました。
ドメインのフェデレーション設定の更新 ドメインのフェデレーション設定を行います。 組織のフェデレーション (外部共有) 設定が変更されました。
Set password policy パスワード ポリシーを設定します。 組織のユーザー パスワードの長さと文字の制約が変更されました。
Azure AD Syncをオンにする DirSyncEnabled フラグを設定します。 Azure AD Sync のディレクトリを有効にするプロパティが設定されました。
ドメインの更新 ドメインを更新します。 組織のドメインの設定が更新されました。
ドメインの検証 ドメインを確認します。 組織がドメインの所有者であるかどうかが検証されました。
メールで確認済みのドメインの検証 メールで確認されたドメインを確認します。 メールによる確認を使用して、組織がドメインの所有者であるかどうかが検証されました。

処理確認アクティビティ

次の表は、アイテムが構成された保持期間の終了に達したとき、またはアイテムが自動的に次の廃棄ステージに移動されたか、自動適用の結果として完全に削除されたときに処理レビュー担当者が取ったアクティビティの一覧です。

フレンドリ名 操作​​ 説明
承認された廃棄 ApproveDisposal 手動承認の場合: 廃棄レビュー担当者は、品目を次の処理ステージに移動することを承認しました。 アイテムが処理レビューの一意の段階または最終段階にある場合、廃棄承認ではアイテムを完全な削除の対象としてマークしました。

autoapproval の場合: 構成された自動適用期間内に手動アクションが実行されなかったため、項目は自動的に次の処理ステージに移動されます。 アイテムが廃棄レビューの唯一または最終段階にあった場合、アイテムは自動的に完全削除の対象となりました。
延長保有期間 ExtendRetention 処理レビュー担当者は、アイテムの保持期間を延長しました。
再ラベル付けされたアイテム RelabelItem 処理レビュー担当者がアイテム保持ラベルにもう一度ラベルを付けました。
追加されたレビュー担当者 AddReviewer 処理レビュー担当者は、現在の処理確認段階に 1 人以上の他のユーザーを追加しました。

電子情報開示アクティビティ

Microsoft Purview ポータルで実行されるコンテンツ検索および電子情報開示関連のアクティビティ (Microsoft Purview eDiscovery (Standard) とMicrosoft Purview eDiscovery (Premium))Microsoft Purview コンプライアンス ポータル、または対応する PowerShell コマンドレットを実行すると、監査ログに記録されます。 イベントは、管理者または電子情報開示マネージャー (または電子情報開示アクセス許可が割り当てられたユーザー) がポータルで次のコンテンツ検索および電子情報開示 (Standard) タスクを実行すると記録されます。

  • 電子情報開示 (Standard) と電子情報開示 (Premium) ケースの作成と管理。
  • コンテンツ検索の作成、開始、編集。
  • 検索結果のプレビュー、エクスポート、削除などの検索アクションの実行。
  • 電子情報開示 (Premium) でのカストディアンとレビュー セットの管理。
  • コンテンツ検索のアクセス許可フィルターの構成。
  • 電子情報開示管理者ロールの管理。

監査ログの検索、必要なアクセス許可、検索結果のエクスポートの詳細については、「 監査ログの検索」を参照してください。

注:

[アクティビティ] ドロップダウン リストの [電子情報開示アクティビティ] と [電子情報開示 (Premium) アクティビティ] の下に一覧表示されたアクティビティから得られるアクティビティが検索結果に表示されるまでに最大 30 分かかります。 逆に、電子情報開示コマンドレットのアクティビティの対応するイベントが検索結果に表示されるまでに最大 24 時間かかります。

コンテンツ検索と電子情報開示 (Standard) アクティビティ

次の表では、管理者または電子情報開示マネージャーがコンプライアンス ポータルを使用して電子情報開示関連のアクティビティを実行したときに記録されるコンテンツ検索および電子情報開示 (Standard) アクティビティについて説明します。 この一覧でアクティビティを検索すると、電子情報開示 (Premium) で実行された一部のアクティビティが返される場合があります。

注:

このセクションに示されている電子情報開示アクティビティは、次のセクションで説明される電子情報開示コマンドレットのアクティビティと同様の情報を示しています。 電子情報開示アクティビティは 30 分以内に監査ログの検索結果に表示されるため、このセクションで示されている電子情報開示アクティビティを使用することをお勧めします。 電子情報開示コマンドレットのアクティビティが監査ログの検索結果に表示されるまでに最大 24 時間かかることがあります。

フレンドリ名 操作​​ 対応するコマンドレット 説明
電子情報開示ケースにメンバーが追加されました
CaseMemberAdded
Add-ComplianceCaseMember
ユーザーが電子情報開示ケースのメンバーとして追加されました。 ユーザーはケースのメンバーとして、必要なアクセス許可が割り当てられているかどうかに応じて、ケースに関連するさまざまなタスクを実行できます。
コンテンツ検索が変更されました
SearchUpdated
Set-ComplianceSearch
既存のコンテンツの検索が変更されました。 変更としては、コンテンツの場所の追加または削除、検索クエリの編集などがあります。
電子情報開示管理者のメンバーシップが変更されました
CaseAdminUpdated
Update-eDiscoveryCaseAdmin
組織の電子情報開示管理者のリストが変更されました。 このアクティビティは、電子情報開示管理者が新しいユーザーのグループに置き換えられた場合にログに記録されます。 1 人のユーザーが追加または削除されると、CaseAdminAdded の操作がログに記録されます。
電子情報開示ケースが変更されました
CaseUpdated
Set-ComplianceCase
電子情報開示ケースが変更されました。 変更としては、開いているケースを閉じる、閉じたケースを再度開くなどがあります。
電子情報開示ケースのメンバーシップが変更されました
CaseMemberUpdated
Update-ComplianceCaseMember
電子情報開示ケースのメンバーシップ リストが変更されました。 このアクティビティは、すべてのメンバーが新しいユーザーのグループに置き換えられたときにログに記録されます。 単一のメンバーが追加または削除されると、CaseMemberAdded または CaseMemberRemoved 操作がログに記録されます。
検索のアクセス許可フィルターが変更されました
SearchPermissionUpdated
Set-ComplianceSecurityFilter
検索のアクセス許可フィルターが変更されました。
電子情報開示ケースの保留に対する検索クエリが変更されました
HoldUpdated
Set-CaseHoldRule
電子情報開示ケースに関連付けられたクエリベースの保留が変更されました。 発生する可能性のある変更としては、クエリの編集、クエリベースの保留の日付範囲の編集があります。
コンテンツ検索のプレビュー アイテムがダウンロードされました
PreviewItemDownloaded
該当なし
ユーザーは、検索結果をプレビューするときに ([ 元のアイテムのダウンロード ] リンクを選択して) ローカル コンピューターにアイテムをダウンロードしました。
コンテンツ検索のプレビュー アイテムが一覧されました
PreviewItemListed
該当なし
ユーザーが [プレビュー検索結果 ] を選択してプレビュー検索結果ページを表示し、検索結果から最大 1,000 個の項目を一覧表示します。
コンテンツ検索が作成されました
SearchCreated
New-ComplianceSearch
新しいコンテンツ検索が作成されました。
電子情報開示管理者が作成されました
CaseAdminAdded
Add-eDiscoveryCaseAdmin
ユーザーが、組織の電子情報開示管理者として追加されました。
電子情報開示ケースが作成されました
CaseAdded
New-ComplianceCase
電子情報開示ケースが作成されました。 ケースを作成する際に必要な操作は、名前を付けることだけです。 メンバーの追加、保留の作成、ケースに関連付けられたコンテンツ検索の作成などの他のケース関連のタスクにより、追加のイベントがログに記録されます。
検索のアクセス許可フィルターが作成されました
SearchPermissionCreated
New-ComplianceSecurityFilter
検索のアクセス許可フィルターが作成されました。
電子情報開示ケースの保留に対する検索クエリが作成されました
HoldCreated
New-CaseHoldRule
電子情報開示ケースに関連付けられたクエリベースの保留が作成されました。
コンテンツ検索が削除されました
SearchRemoved
Remove-ComplianceSearch
既存のコンテンツ検索が削除されました。
電子情報開示管理者が削除されました
CaseAdminRemoved
Remove-eDiscoveryCaseAdmin
電子情報開示管理者が組織から削除されました。
電子情報開示ケースが削除されました
CaseRemoved
Remove-ComplianceCase
電子情報開示ケースが削除されました。 ケースを削除する前に、ケースに関連付けられた保留をすべて削除する必要があります。
検索のアクセス許可フィルターが削除されました
SearchPermissionRemoved
Remove-ComplianceSecurityFilter
検索のアクセス許可フィルターが削除されました。
電子情報開示ケースの保留に対する検索クエリが削除されました
HoldRemoved
Remove-CaseHoldRule
電子情報開示ケースに関連付けられたクエリベースの保留が削除されました。 多くの場合、保留リストからのクエリの削除は、保留を削除した結果として発生します。 保留または保留クエリを削除する場合、保留中だったコンテンツの場所は解放されます。
コンテンツ検索のエクスポートがダウンロードされました
SearchExportDownloaded
該当なし
ユーザーがコンテンツ検索の結果をローカル コンピューターにダウンロードしました。 検索結果をダウンロードするには、コンテンツ検索のエクスポートが開始されましたのアクティビティを開始している必要があります。
コンテンツ検索の結果がプレビューされました
SearchPreviewed
該当なし
ユーザーがコンテンツ検索の結果をプレビューしました。
コンテンツ検索の結果が消去されました
SearchResultsPurged
New-ComplianceSearchAction
ユーザーは 、New-ComplianceSearchAction -Purge コマンドを実行して、コンテンツ検索の結果を消去しました。
コンテンツ検索の分析が削除されました
RemovedSearchResultsSentToZoom
Remove-ComplianceSearchAction
コンテンツ検索準備アクション (電子情報開示 (Premium) の検索結果を準備する) が削除されました。 準備アクションが 2 週間未満の場合は、電子情報開示 (Premium) 用に準備された検索結果が Microsoft Azure ストレージ領域から削除されました。 準備アクションが 2 週間以上経過している場合は、このイベントは、対応する準備アクションのみが削除されたことを示しています。
コンテンツ結果のエクスポートが削除されました
RemovedSearchExported
Remove-ComplianceSearchAction
コンテンツ検索のエクスポート アクションは削除されました。 エクスポート アクションから 2 週間経っていない場合は、Microsoft Azure 記憶域にアップロードされた検索結果は削除されています。 エクスポート アクションが 2 週間以上経過している場合は、このイベントは、対応するエクスポート アクションのみが削除されたことを示しています。
電子情報開示ケースからメンバーが削除されました
CaseMemberRemoved
Remove-ComplianceCaseMember
ユーザーが、電子情報開示ケースのメンバーから削除されました。
コンテンツ検索の結果のプレビューが削除されました
RemovedSearchPreviewed
Remove-ComplianceSearchAction
コンテンツ検索のプレビュー アクションが削除されました。
コンテンツ検索で実行された消去アクションが削除されました
RemovedSearchResultsPurged
Remove-ComplianceSearchAction
コンテンツ検索の消去アクションが削除されました。
検索レポートが削除されました
SearchReportRemoved
Remove-ComplianceSearchAction
コンテンツ検索のエクスポート レポート アクションが削除されました。
コンテンツ検索の分析が開始されました
SearchResultsSentToZoom
New-ComplianceSearchAction
コンテンツ検索の結果は、電子情報開示 (Premium) で分析するために準備されました。
コンテンツ検索が開始されました
SearchStarted
Start-ComplianceSearch
コンテンツ検索が開始されました。 コンプライアンス ポータルを使用してコンテンツ検索を作成または変更すると、検索が自動的に開始されます。
コンテンツ検索のエクスポートが開始されました
SearchExported
New-ComplianceSearchAction
ユーザーがコンテンツ検索の結果をエクスポートしました。
レポートのエクスポートが開始されました
SearchReport
New-ComplianceSearchAction
ユーザーがコンテンツ検索レポートをエクスポートしました。
コンテンツ検索が停止されました
SearchStopped
Stop-ComplianceSearch
ユーザーがコンテンツ検索を停止しました。
(なし) CaseViewed Get-ComplianceCase ユーザーは、コンプライアンス ポータルで電子情報開示 (Standard) ケースを表示しました。 このイベントの監査レコードには、表示されたケースの名前が含まれます。
(なし) SearchViewed Get-ComplianceSearch ユーザーがコンプライアンス ポータルでコンテンツ検索を表示した場合は、電子情報開示 (Standard) ケースの [検索] タブで検索にアクセスするか、コンテンツ検索ページでアクセスします。 このイベントの監査レコードには、表示された検索の ID が含まれます。
(なし) ViewedSearchExported Get-ComplianceSearchAction -Export ユーザーがコンプライアンス ポータルでコンテンツ検索エクスポートを表示した場合は、[コンテンツ検索] ページの [エクスポート] タブでエクスポートにアクセスします。 このアクティビティは、ユーザーが電子情報開示 (Standard) ケースに関連付けられているエクスポートを表示したときにも記録されます。
(なし) ViewedSearchPreviewed Get-ComplianceSearchAction -Preview ユーザーがコンプライアンス ポータルでコンテンツ検索の結果をプレビューしました。 このアクティビティは、電子情報開示 (Standard) ケースに関連付けられている検索の結果をユーザーがプレビューしたときにも記録されます。

電子情報開示 (プレミアム) のアクティビティ

次の表では、監査ログに記録される電子情報開示 (Premium) アクティビティについて説明します。 これらのアクティビティを使用すると、電子情報開示 (Premium) ケースでのアクティビティの進行状況を追跡するのに役立ちます。

フレンドリ名 操作​​ 説明
別のレビュー セットへのデータの追加 AddWorkingSetQueryToWorkingSet ユーザーが、1つのレビュー セットから別のレビュー セットにドキュメントを追加しました。
レビュー セットへのデータの追加 AddQueryToWorkingSet ユーザーは、電子情報開示 (Premium) ケースに関連付けられているコンテンツ検索の検索結果をレビュー セットに追加しました。
Microsoft 365 以外のデータのレビュー セットへの追加 AddNonOffice365DataToWorkingSet ユーザーが、Microsoft 365 以外のデータをレビュー セットに追加しました。
レビュー セットへの修復済みドキュメントの追加 AddRemediatedData ユーザーが、インデックス作成エラーがあったドキュメントを修復したものをレビュー セットにアップロードしました。
レビュー セット内のデータの分析 RunAlgo ユーザーは、レビュー セット内のドキュメントに対して分析を実行しました。
レビュー セット内ドキュメントへの注釈付け AnnotateDocument ユーザーが、レビュー セット内のドキュメントに注釈を付けました。 注釈付けには、ドキュメントのコンテンツの編集が含まれます。
読み込みセットの比較 LoadComparisonJob ユーザーが、レビュー セット内の 2 つの異なる読み込みセットを比較しました。 読み込みセットは、ケースに関連付けられているコンテンツ検索からのデータがレビュー セットに追加されたときに比較されます。
編集されたドキュメントの PDF への変換 BurnJob ユーザーが、レビュー セット内のすべての編集されたドキュメントを PDF ファイルに変換しました。
レビュー セットの作成 CreateWorkingSet ユーザーがレビュー セットを作成しました。
レビュー セット検索の作成 CreateWorkingSetSearch ユーザーが、レビュー セット内のドキュメントを検索する検索クエリを作成しました。
タグの作成 CreateTag ユーザーが、レビュー セット内でタグ グループを作成しました。 タグ グループには、1つまたは複数の子タグを含めることができます。 これらのタグは、レビュー セット内のドキュメントへのタグ付けに使用されます。
レビュー セット検索の削除 DeleteWorkingSetSearch ユーザーが、レビュー セット内の検索クエリを削除しました。
タグの削除 DeleteTag ユーザーが、レビュー セット内のタグまたはタグ グループを削除しました。
ダウンロードしたドキュメント DownloadDocument ユーザーが、レビュー セットからドキュメントをダウンロードしました。
タグの編集 UpdateTag ユーザーが、レビュー セット内のタグを変更しました。
レビュー セットからのドキュメントのエクスポート ExportJob ユーザーが、レビュー セットからドキュメントをエクスポートしました。
ケースの設定の変更 UpdateCaseSettings ユーザーがケースの設定を変更しました。 ケースの設定には、ケース情報、アクセス許可、検索と分析の動作を制御する設定などがあります。
レビュー セット検索の変更 UpdateWorkingSetSearch ユーザーが、レビュー セット内の検索クエリを編集しました。
レビュー セット検索のプレビュー PreviewWorkingSetSearch ユーザーが、レビュー セット内で検索クエリの結果をプレビューしました。
エラー ドキュメントの修復 ErrorRemediationJob ユーザーが、インデックス作成エラーを含むファイルを修正しました。
ドキュメントのタグ付け TagFiles ユーザーが、レビュー セット内のドキュメントにタグを付けました。
クエリ結果のタグ付け TagJob ユーザーが、レビュー セット内の、検索クエリの条件に一致するすべてのドキュメントにタグを付けました。
レビュー セット内ドキュメントの表示 ViewDocument ユーザーが、レビュー セット内のドキュメントを表示しました。

電子情報開示コマンドレットのアクティビティ

次の表に、管理者またはユーザーがコンプライアンス ポータルを使用するか、Security & Compliance PowerShell で対応するコマンドレットを実行して電子情報開示関連のアクティビティを実行したときに記録されるコマンドレット監査ログ レコードの一覧を示します。 監査ログ レコードの詳細情報は、この表に一覧されているコマンドレットのアクティビティとは異なります。電子情報開示アクティビティは、前述のセクションに示されています。

前述のように、電子情報開示コマンドレットのアクティビティが監査ログの検索結果に表示されるまでに最大 24 時間かかることがあります。

ヒント

次の表の「操作」列のコマンドレットは、TechNet の対応するコマンドレットのヘルプ トピックにリンクされています。 各コマンドレットに使用可能なパラメーターの説明については、コマンドレットのヘルプ トピックを参照してください。 コマンドレットで使用されたパラメーターとパラメーター値は、ログに記録された、各電子情報開示コマンドレッド アクティビティの監査ログ エントリに含まれています。

フレンドリ名 操作 (コマンドレット) 説明
電子情報開示ケースで保留が作成されました
New-CaseHoldPolicy
電子情報開示ケースの保留が作成されました。 保留は、コンテンツ ソースを指定してもしなくても作成できます。 コンテンツ ソースが指定されている場合は、監査ログ エントリで識別されます。
電子情報開示ケースから保留が削除されました
Remove-CaseHoldPolicy
電子情報開示ケースに関連付けられた保留が削除されました。 保留を削除すると、コンテンツのすべての場所が保留から解放されます。 保留を削除すると、保留に関連付けられているケース ホールド ルールも削除されます ( 「Remove-CaseHoldRule」を参照)。
電子情報開示ケースで保留が変更されました
Set-CaseHoldPolicy
電子情報開示ケースに関連付けられた保留が変更されました。 発生する可能性のある変更としては、コンテンツの場所の追加または削除、保留のオフ (無効化) があります。
電子情報開示ケースの保留に対する検索クエリが作成されました
New-CaseHoldRule
電子情報開示ケースに関連付けられたクエリベースの保留が作成されました。
電子情報開示ケースの保留に対する検索クエリが削除されました
Remove-CaseHoldRule
電子情報開示ケースに関連付けられたクエリベースの保留が削除されました。 多くの場合、保留リストからのクエリの削除は、保留を削除した結果として発生します。 保留または保留クエリを削除する場合、保留中だったコンテンツの場所は解放されます。
電子情報開示ケースの保留に対する検索クエリが変更されました
Set-CaseHoldRule
電子情報開示ケースに関連付けられたクエリベースの保留が変更されました。 発生する可能性のある変更としては、クエリの編集、クエリベースの保留の日付範囲の編集があります。
電子情報開示ケースが作成されました
New-ComplianceCase
電子情報開示ケースが作成されました。 ケースを作成する際に必要な操作は、名前を付けることだけです。 メンバーの追加、保留の作成、ケースに関連付けられたコンテンツ検索の作成などの他のケース関連のタスクにより、追加のイベントがログに記録されます。
電子情報開示ケースが削除されました
Remove-ComplianceCase
電子情報開示ケースが削除されました。 ケースを削除する前に、ケースに関連付けられた保留をすべて削除する必要があります。
電子情報開示ケースが変更されました
Set-ComplianceCase
電子情報開示ケースが変更されました。 変更としては、開いているケースを閉じる、閉じたケースを再度開くなどがあります。
電子情報開示ケースにメンバーが追加されました
Add-ComplianceCaseMember
ユーザーが電子情報開示ケースのメンバーとして追加されました。 ユーザーはケースのメンバーとして、必要なアクセス許可が割り当てられているかどうかに応じて、ケースに関連するさまざまなタスクを実行できます。
電子情報開示ケースからメンバーが削除されました
Remove-ComplianceCaseMember
ユーザーが、電子情報開示ケースのメンバーから削除されました。
電子情報開示ケースのメンバーシップが変更されました
Update-ComplianceCaseMember
電子情報開示ケースのメンバーシップ リストが変更されました。 このアクティビティは、すべてのメンバーが新しいユーザーのグループに置き換えられたときにログに記録されます。 1 人のメンバーが追加または削除されると、Add-ComplianceCaseMember または Remove-ComplianceCaseMember 操作がログに記録されます。
コンテンツ検索が作成されました
New-ComplianceSearch
新しいコンテンツ検索が作成されました。
コンテンツ検索が削除されました
Remove-ComplianceSearch
既存のコンテンツ検索が削除されました。
コンテンツ検索が変更されました
Set-ComplianceSearch
既存のコンテンツの検索が変更されました。 変更としては、検索されるコンテンツの場所の追加または削除、検索クエリの編集などがあります。
コンテンツ検索が開始されました
Start-ComplianceSearch
コンテンツ検索が開始されました。 コンプライアンス ポータル GUI を使用してコンテンツ検索を作成または変更すると、検索が自動的に開始されます。 New-ComplianceSearch または Set-ComplianceSearch コマンドレットを使用して検索を作成または変更する場合、Start-ComplianceSearch コマンドレットを実行して検索を開始する必要があります。
コンテンツ検索が停止されました
Stop-ComplianceSearch
実行中だったコンテンツ検索が停止されました。
コンテンツ検索アクションが作成されました
New-ComplianceSearchAction
コンテンツ検索アクションが作成されました。 コンテンツ検索アクションには、検索結果のプレビュー、検索結果のエクスポート、電子情報開示 (Premium) での分析のための検索結果の準備、コンテンツ検索の検索条件に一致するアイテムの完全な削除が含まれます。
コンテンツ検索アクションが削除されました
Remove-ComplianceSearchAction
コンテンツ検索アクションが削除されました。
検索のアクセス許可フィルターが作成されました
New-ComplianceSecurityFilter
検索のアクセス許可フィルターが作成されました。
検索のアクセス許可フィルターが削除されました
Remove-ComplianceSecurityFilter
検索のアクセス許可フィルターが削除されました。
検索のアクセス許可フィルターが変更されました
Set-ComplianceSecurityFilter
検索のアクセス許可フィルターが変更されました。
電子情報開示管理者が作成されました
Add-eDiscoveryCaseAdmin
ユーザーが、組織の電子情報開示管理者として追加されました。
電子情報開示管理者が削除されました
Remove-eDiscoveryCaseAdmin
電子情報開示管理者が組織から削除されました。
電子情報開示管理者のメンバーシップが変更されました
Update-eDiscoveryCaseAdmin
組織の電子情報開示管理者のリストが変更されました。 このアクティビティは、電子情報開示管理者が新しいユーザーのグループに置き換えられた場合にログに記録されます。 1 人のユーザーが追加または削除された場合、Add-eDiscoveryCaseAdmin または Remove-eDiscoveryCaseAdmin 操作がログに記録されます。
(なし) Get-ComplianceCase
このアクティビティは、ユーザーが電子情報開示 (Standard) または電子情報開示 (Premium) ケースの一覧を表示したときに記録されます。 このアクティビティは、ユーザーが電子情報開示 (Standard) で特定のケースを表示したときにもログに記録されます。 ユーザーが特定のケースを表示すると、監査レコードには、表示されたケースの ID が含まれます。 ユーザーがケースの一覧のみを表示した場合、監査レコードにはケース ID は含まれません。
(なし) Get-ComplianceSearch このアクティビティは、ユーザーが電子情報開示 (Standard) ケースに関連付けられているコンテンツ検索または検索の一覧を表示したときに記録されます。 このアクティビティは、ユーザーが特定のコンテンツ検索を表示したり、電子情報開示 (Standard) ケースに関連付けられた特定の検索を表示したりしたときにも記録されます。 ユーザーが特定の検索を表示すると、監査レコードには、表示された検索の ID が含まれます。 ユーザーが検索の一覧のみを表示した場合、監査レコードには検索 ID は含まれません。
(なし) Get-ComplianceSearchAction このアクティビティは、ユーザーがコンプライアンス検索アクション (エクスポート、プレビュー、消去など) または電子情報開示 (Standard) ケースに関連付けられているアクションの一覧を表示したときに記録されます。 このアクティビティは、ユーザーが特定のコンプライアンス検索アクション (エクスポートなど) を表示したり、電子情報開示 (Standard) ケースに関連付けられている特定のアクションを表示したりしたときにもログに記録されます。 ユーザーが検索アクションを表示すると、監査レコードには、表示された検索アクションの ID が含まれます。 ユーザーがアクションの一覧のみを表示した場合、監査レコードにはアクション ID は含まれません。

電子情報開示アクティビティの詳細なプロパティ

次の表では、検索結果に表示される電子情報開示アクティビティのポップアップ ページに含まれるプロパティについて説明します。 これらのプロパティは、監査ログの検索結果をエクスポートしたときに、CSV ファイルにも含まれます。 電子情報開示アクティビティの監査ログ レコードには、次の表に示すすべての詳細プロパティは含まれません。

ヒント

検索結果をエクスポートすると、CSV ファイルには AudtiData という名前の列が含まれます。この列には、複数値プロパティの次の表で説明されている詳細なプロパティが含まれています。 Excel のPower Query機能を使用して、この列を複数の列に分割して、各プロパティに独自の列を含めることができます。 このようにすると、これらの 1 つ以上のプロパティで並べ替えやフィルター処理を行うことができます。 詳細については、「監査ログの検索」を参照してください。

プロパティ 説明
ケース
作成、変更、または削除された電子情報開示ケースの ID (GUID)。
ClientApplication
電子情報開示アクティビティ コマンドレッドは、このプロパティの値が EMC です。 これは、コンプライアンス ポータル GUI を使用するか、PowerShell でコマンドレットを実行してアクティビティが実行されたことを示します。
ClientIP
アクティビティがログに記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。
ClientRequestId
電子情報開示アクティビティの場合、このプロパティは通常空白です。
CmdletVersion
organizationで実行されているコンプライアンス ポータルのバージョンのビルド番号。
CreationTime
電子情報開示アクティビティが実行されたときの協定世界時 (UTC) の日付と時刻。
EffectiveOrganization
Microsoft 365 organizationの名前。
ExchangeLocations
コンテンツ検索に含まれるか、電子情報開示ケースで保留にされている Exchange Online のメールボックス。
Exclusions
コンテンツ検索または電子情報開示ケースの保留から除外されているメールボックスまたはサイトの場所。
ExtendedProperties
アクティビティが実行されたときに使用されたオブジェクト GUID、対応するコマンドレット、コマンドレット パラメーターなど、コンテンツ検索、コンテンツ検索アクション、または電子情報開示ケースの保留の追加プロパティ。
ID
レポート エントリの ID。 ID は、監査ログ エントリを一意に識別します。
NonPIIParameters
Operation プロパティで識別されるコマンドレットで使用されたパラメーターの一覧 (値はリストされません)。 このプロパティにリストされるパラメーターは、Parameters プロパティでリストされるパラメーターと同じです。
ObjectId
Operation プロパティに一覧表示されているアクティビティによって作成、アクセス、変更、または削除されたオブジェクトの GUID または名前 (コンテンツ検索、電子情報開示 (Standardケースなど)。 また、このオブジェクトは、監査ログの検索結果のアイテム列でも識別されます。
ObjectType
ユーザーが作成、削除、変更した電子情報開示オブジェクトの種類。たとえば、コンテンツ検索アクション (プレビュー、エクスポート、または消去)、電子情報開示ケース、またはコンテンツ検索。
Operation
実行された電子情報開示アクティビティに対応する操作の名前。
OrganizationId
Microsoft 365 組織の GUID。
パラメーター
対応するコマンドレットで使用されたパラメーターの名前と値。
PublicFolderLocations
コンテンツ検索に含まれるか、電子情報開示ケースで保留にされている Exchange Online のパブリック フォルダーの場所。
Query
コンテンツ検索やクエリ ベース保留など、アクティビティに関連付けられた検索クエリ。
RecordType
レコードによって示される操作の種類。 値 18 は、「電子情報開示コマンドレットのアクティビティ」セクションに一覧されているアクティビティに関連するイベントを示しています。 値 24 は、[電子情報開示アクティビティ] セクションに一覧表示されているアクティビティに関連するイベントを示します。
ResultStatus
(Operation プロパティで指定された) アクションが正常に終了したかどうかどうかを示します。
SecurityComplianceCenterEventType
アクティビティがコンプライアンス ポータル イベントであることを示します。 電子情報開示アクティビティはすべて、このプロパティの値が 0 です。
SharepointLocations
コンテンツ検索に含まれるか、電子情報開示ケースで保留にされている SharePoint Online サイト。
StartTime
電子情報開示アクティビティが開始されたときの協定世界時 (UTC) の日付と時刻。
UserId
結果としてログ記録されているレコードが生成されたアクティビティ (Operation プロパティで指定された) を実行したユーザー。 システム アカウント (NT AUTHORITY\SYSTEM など) によって実行された電子情報開示アクティビティのレコードも監査ログに含まれます。
UserKey
UserId プロパティで識別されるユーザーの別の ID。 電子情報開示アクティビティの場合、このプロパティの値は通常、UserId プロパティと同じです。
UserServicePlan
organizationによって使用されるサブスクリプション。 電子情報開示アクティビティの場合、このプロパティは通常空白です。
UserType
操作を実行したユーザーの種類。 次の値は、ユーザーの種類を示しています。
0 通常のユーザー。 2 organizationの管理者。 3 Microsoft データセンター管理者またはデータセンター システム アカウント。 4 システム アカウント。 5 アプリケーション。 6 サービス プリンシパル。
バージョン
ログに記録されるアクティビティ (Operation プロパティで識別) のバージョン番号を示します。
Workload
アクティビティが発生したサービス。 電子情報開示アクティビティの場合、この値は、SecurityComplianceCenter です。

暗号化されたメッセージ ポータル アクティビティ

アクセス ログは、暗号化されたメッセージ ポータルを介して暗号化されたメッセージに対して使用できます。これにより、組織は、メッセージがいつ読み取られ、外部の受信者によって転送されたかを判断できます。 暗号化されたメッセージ ポータルアクティビティ ログの有効化と使用の詳細については、「暗号化されたメッセージ ポータル アクティビティ ログ」を参照してください。

追跡対象メッセージの各監査エントリには、次のフィールドが含まれています。

  • MessageID: 追跡対象のメッセージの ID が含まれます。 システムを介してメッセージに従うために使用されるキー識別子。
  • 受信者: すべての受信者のメール アドレスの一覧。
  • 送信者: 送信元の電子メール アドレス。
  • AuthenticationMethod: メッセージにアクセスするための認証方法 (OTP、Yahoo、Gmail、Microsoft など) について説明します。
  • AuthenticationStatus: 認証が成功または失敗したことを示す値が含まれます。
  • OperationStatus: 指定された操作が成功したか失敗したかを示します。
  • AttachmentName: 添付ファイルの名前。
  • OperationProperties: 省略可能なプロパティの一覧。 たとえば、送信された OTP パスコードの数やメールの件名などです。

Exchange 管理アクティビティ

(Microsoft 365 において既定で有効になっている) Exchange 管理者監査ログは、管理者 (または管理者権限が割り当てられているユーザー) が Exchange Online の組織で変更を行ったときに、監査ログにイベントを記録します。 Exchange 管理センターを使用するか、Exchange Online PowerShell でコマンドレットを実行して加えられた変更は、Exchange 管理者監査ログに記録されます。 動詞 Get、Search-、または Test で始まるコマンドレットは、監査ログに記録されません。 Exchange の管理者監査ログの詳細については、「管理者監査ログ」を参照してください。

重要

Exchange 管理者監査ログ (または監査ログ) に記録されない一部の Exchange Online コマンドレット。 これらのコマンドレットの多くは、Exchange Online サービスの保守に関連しており、Microsoft データセンサーの担当者またはサービス アカウントによって実行されます。 "雑音の多い" 監査イベントが多数発生するため、これらのコマンドレットはログに記録されません。 監査されていない Exchange Online コマンドレットがある場合は、Microsoft サポートに設計変更要求 (DCR) を送信してください。

監査ログを検索するときに Exchange 管理者のアクティビティを検索するためのヒントをいくつか紹介します。

  • 日付範囲ボックスと [ユーザー ] リストを使用して、特定の Exchange 管理者が実行するコマンドレットの検索結果を特定の日付範囲内に絞り込みます。
  • Exchange 管理者監査ログのイベントを表示するには、[ アクティビティ ] 列を選択して、コマンドレット名をアルファベット順に並べ替えます。
  • 実行されたコマンドレット、使用されたパラメーターおよびパラメーター値、影響を受けたオブジェクトに関する情報を取得するには、[すべての結果をダウンロードする] オプションを選択することで検索結果をエクスポートできます。 詳細については、「監査ログ レコードをエクスポート、構成、表示する」を参照してください。
  • Exchange Online PowerShell の Search-UnifiedAuditLog -RecordType ExchangeAdmin コマンドを使用して、Exchange 管理者監査ログの監査レコードのみを返すこともできます。 Exchange コマンドレットの実行後、対応する監査ログ エントリが検索結果に返されるまで、最大で 30 分かかる場合があります。 詳細については、「Search-UnifiedAuditLog」を参照してください。 Search-UnifiedAuditLog コマンドレットによって返された検索結果を CSV ファイルにエクスポートする方法の詳細については、「監査ログ レコードをエクスポート、構成、表示する」の「監査ログをエクスポート、表示するためのヒント」のセクションを参照してください。

Exchange メールボックス アクティビティ

次の表に、メールボックス監査ログに記録される可能性があるアクティビティを示します。 メールボックスの所有者、委任されたユーザー、または管理者によって実行されたメールボックス アクティビティは、監査ログに最大 180 日間自動的に記録されます。 管理者は、組織のすべてのユーザーについて、メールボックス監査ログをオフにできます。 この場合、いずれのユーザーのメールボックス操作もログに記録されません。 詳細については、「メールボックスの監査を管理する」を参照してください。

重要

監査 (Standard) の既定の保持期間が 90 日から 180 日に変更されました。 2023 年 10 月 17 日より前に生成された監査 (Standard) ログは、90 日間保持されます。 2023 年 10 月 17 日以降に生成された監査 (Standard) ログは、180 日間の新しい既定の保持期間に従います。

メールボックス操作の検索は、Exchange Online PowerShellSearch-MailboxAuditLog コマンドレットを使用しても行えます。

フレンドリ名 操作​​ 説明
メールボックス アイテムへのアクセス MailItemsAccessed メールボックスでメッセージが読み取りまたはアクセスされました。 このアクティビティの監査レコードは、次の 2 つのうちいずれかの方法でトリガーされます。メール クライアント (Outlook など) でメッセージに対するバインド操作が実行されたとき、またはメール プロトコル (Exchange ActiveSync や IMAP など) によりメール フォルダーのアイテムが同期されたとき。 このアクティビティの監査レコードの分析は、攻撃されたメール アカウントを調査するときに便利です。
代理メールボックス アクセス許可の追加 Add-MailboxPermission 管理者は、FullAccess メール ボックス権限をユーザー (代理人と呼ばれる) に別の人のメール ボックスに割り当てました。 FullAccess アクセス許可では、代理人は、他のユーザーのメールボックスを開き、メールボックスの内容の閲覧および管理を行うことができます。 このアクティビティの監査レコードは、Microsoft 365 サービスのシステム アカウントが組織に代わって定期的にメンテナンス タスクを実行するときにも生成されます。 システム アカウントによって実行される一般的なタスクは、システム メールボックスのアクセス許可を更新することです。 詳細については、「Exchange メール ボックス監査レコードのシステム アカウント」を参照してください。
代理人アクセス許可を持つユーザーが予定表フォルダーに追加または削除されました UpdateCalendarDelegation ユーザーが、別のユーザーのメールボックスの予定表に代理人として追加または削除されました。 予定表の委任により、同じ組織の他のユーザーに、メールボックス所有者の予定表を管理する権限が付与されます。
フォルダーへのアクセス許可が追加されました AddFolderPermissions フォルダーのアクセス許可が追加されました。 フォルダーのアクセス許可では、メールボックス内のフォルダーとそれらのフォルダーに格納されているメッセージにアクセスできる組織内のユーザーを制限します。
別のフォルダーへのメッセージのコピー Copy メッセージが別のフォルダーにコピーされました。
メールボックス アイテムの作成 Create アイテムが、メールボックスの予定表、連絡先、メモ、またはタスク フォルダーに作成されます。 たとえば、新しい会議出席依頼が作成されます。 メッセージの作成、送信、または受信は監査されません。 また、メールボックス フォルダーの作成は監査されません。
Outlook Web App の新しい受信トレイ ルールの作成 New-InboxRule メールボックスの所有者またはメールボックスにアクセスできる別のユーザーが、Outlook Web App で受信トレイ ルールを作成しました。
削除済みアイテム フォルダーからのメッセージの削除 SoftDelete メッセージが完全に削除された、つまり [削除済みアイテム] フォルダーから削除されました。 これらの項目は、[回復可能なアイテム] フォルダーに移動されます。 メッセージは、ユーザーが選択して Shift キーを押しながら削除キーを押すと、回復可能なアイテム フォルダーにも移動されます。
メッセージをレコードとして分類しました ApplyRecordLabel メッセージがレコードとして分類されました。 レコードとしてコンテンツを分類する保持ラベルが、メッセージに手動または自動的に適用されるときに発生します。
別のフォルダーへのメッセージの移動 Move メッセージが別のフォルダーに移動されました。
削除済みアイテム フォルダーへのメッセージの移動 MoveToDeletedItems メッセージが削除され、削除済みアイテム フォルダーに移動されました。
フォルダーのアクセス許可の変更 UpdateFolderPermissions フォルダーのアクセス許可が変更されました。 フォルダーのアクセス許可は、メールボックス フォルダーとフォルダー内のメッセージにアクセスできるorganization内のユーザーを制御します。
Outlook Web App の受信トレイ ルールが変更されました Set-InboxRule メールボックスの所有者またはメールボックスにアクセスできる別のユーザーが、Outlook Web App を使用して受信トレイ ルールを変更しました。
メールボックスからのメッセージの消去 HardDelete メッセージが回復可能なアイテム フォルダーから削除されました (メールボックスから完全に削除されました)。
代理メールボックス アクセス許可の削除 Remove-MailboxPermission 管理者は、ユーザーのメールボックスから FullAccess アクセス許可 (代理人に割り当てられた) を削除しました。 FullAccess アクセス許可が削除された後、代理人は他のユーザーのメールボックスを開いたり、その中のコンテンツにアクセスしたりすることはできません。
フォルダーからアクセス許可が削除されました RemoveFolderPermissions フォルダーのアクセス許可が削除されました。 フォルダーのアクセス許可では、メールボックス内のフォルダーとそれらのフォルダーに格納されているメッセージにアクセスできる組織内のユーザーを制限します。
送信済メッセージ Send メッセージが送信、返信、または転送されました。
送信者権限を使ったメッセージの送信 SendAs SendAs アクセス許可を使用してメッセージが送信されました。 つまり、別のユーザーがこのメールボックスの所有者を装ってメッセージを送信したということです。
代理送信権限を使ったメッセージの送信 SendOnBehalf SendOnBehalf アクセス許可を使用してメッセージが送信されました。 つまり、別のユーザーがこのメールボックスの所有者の代理人としてメッセージを送信したということです。 このメッセージは、代わりにメッセージが送信されたユーザーと実際にメッセージを送信したユーザーを受信者に示します。
Outlook クライアントの受信トレイ ルールの更新 UpdateInboxRules メールボックスの所有者またはメールボックスにアクセスできる他のユーザーが、Outlook クライアントを使用して受信トレイ ルールを作成、変更、または削除しました。
メッセージの更新 Update メッセージまたはそのプロパティが変更されました。
メールボックスへのユーザーのサインイン MailboxLogin ユーザーが自分のメールボックスにサインインしました。
メッセージをレコードとしてラベル付けする ユーザーがメール メッセージに保持ラベルを適用しました。このラベルは、アイテムをレコードとしてマークするように構成されています。

Exchange メール ボックス監査レコードのシステム アカウント

一部のメール ボックス アクティビティ (特に Add-MailboxPermissions) の監査レコードでは、アクティビティを実行した (そして、User フィールドと UserId フィールドで識別された) ユーザーが NT AUTHORITY\SYSTEM または NT AUTHORITY\SYSTEM(Microsoft.Exchange.Servicehost)であることに気付く場合があります。 これは、アクティビティを実行した "ユーザー" が Microsoft クラウドの Exchange サービスのシステム アカウントであったことを示しています。 このシステム アカウントは、多くの場合、組織に代わってスケジュールされたメンテナンス タスクを実行します。 たとえば、NT AUTHORITY\SYSTEM(Microsoft.Exchange.ServiceHost) アカウントによって実行される一般的な監査アクティビティは、システム メール ボックスである DiscoverySearchMailbox のアクセス許可を更新することです。 この更新プログラムの目的は、FullAccess 権限 (既定) がDiscoverySearchMailbox の DiscoveryManagement 役割グループに割り当てられていることを確認することです。 電子情報開示管理者が、organizationで必要なタスクを実行できることを確認します。

Add-MailboxPermission の監査レコードで識別できる別のシステム ユーザー アカウントがAdministrator@apcprd03.prod.outlook.com。 このサービスアカウントは、FullAccess アクセス許可の確認と更新に関連するメールボックス監査レコードにも含まれ、DiscoverySearchMailbox システム メールボックスの DiscoveryManagement 役割グループに割り当てられます。 具体的には、Administrator@apcprd03.prod.outlook.com アカウントを識別する監査レコードは、通常、Microsoft サポート担当者がorganizationの代わりにロールベースのアクセス制御診断ツールを実行するときにトリガーされます。

ファイル アクティビティとページ アクティビティ

次の表では、SharePoint Online および OneDrive for Business 内のファイル アクティビティとページ アクティビティについて説明します。

フレンドリ名 操作​​ 説明
ファイルがアクセスされました FileAccessed ユーザーまたはシステム アカウントがファイルにアクセスします。 ユーザーがファイルにアクセスすると、FileAccessed イベントは、次の 5 分間同じファイルに対して同じユーザーに対して再度ログに記録されません。
(なし) FileAccessedExtended これは、"ファイルへのアクセス" (FileAccessed) アクティビティに関連します。 同じユーザーが長時間 (最大 3 時間) にわたって、ファイルに継続的にアクセスすると、FileAccessedExtended イベントがログに記録されます。

FileAccessedExtended イベントをログに記録する目的は、ファイルが継続的にアクセスされたときにログに記録される FileAccessed イベントの数を減らすことにあります。 これにより、本質的に同じユーザーのアクティビティであるファイル アクセスに対する無意味な複数の FileAccessed レコードが減り、初期の (より重要な) FileAccessed イベントに注目できます。
ファイルの保持ラベルが変更されました ComplianceSettingChanged 保持ラベルがドキュメントに適用またはドキュメントから削除されました。 このイベントは、保持ラベルが手動または自動でメッセージに適用されたときにトリガーされます。
レコードのステータスがロックに変更されました LockRecord ドキュメントをレコードとして分類する保持ラベルのレコード ステータスがロックされました。 これは、ドキュメントを変更したり削除したりできないことを意味します。 ドキュメントのレコード ステータスを変更できるのは、共同作成者以上のアクセス許可がサイトで割り当てられているユーザーだけです。
レコード ステータスが、ロック解除に変更されました UnlockRecord ドキュメントをレコードとして分類する保持ラベルのレコード ステータスのロックが解除されました。 これは、ドキュメントを変更したり削除したりできることを意味します。 ドキュメントのレコード ステータスを変更できるのは、共同作成者以上のアクセス許可がサイトで割り当てられているユーザーだけです。
ファイルのチェックイン FileCheckedIn ユーザーがドキュメント ライブラリからチェックアウトしたドキュメントをチェックインしました。
ファイルのチェックアウト FileCheckedOut ユーザーは、ドキュメント ライブラリにあるドキュメントをチェックアウトします。 共有しているドキュメントは、複数のユーザーがチェックアウトし、変更を加えることができます。
ファイルのコピー FileCopied ユーザーがサイトからドキュメントをコピーします。 コピーしたファイルは、サイトの別のフォルダーに保存できます。
ファイルの削除 FileDeleted ユーザーがサイトからドキュメントを削除しました。
ごみ箱からのファイルの削除 FileDeletedFirstStageRecycleBin ユーザーがサイトのごみ箱からファイルを削除しました。
第 2 段階のごみ箱からのファイルの削除 FileDeletedSecondStageRecycleBin ユーザーがサイトの第 2 段階のごみ箱からファイルを削除しました。
レコードとしてマークされたファイルの削除 RecordDelete レコードとしてマークされたドキュメントまたはメールが削除されました。 アイテムがレコードとしてみなされるのは、アイテムをレコードとしてマークする保持ラベルがコンテンツに適用されている場合です。
検出されたドキュメントの秘密度の不一致 DocumentSensitivityMismatchDetected ユーザーが、機密ラベルで保護されているサイトにドキュメントをアップロードし、そのドキュメントの機密ラベルが、サイトに適用されている機密ラベルよりも優先度が高くなっています。 たとえば、「社外秘」というラベルの付いたドキュメントが、「一般」というラベルの付いたサイトにアップロードされている場合です。

ドキュメントの機密ラベルが、サイトに適用されている機密ラベルよりも優先度が低い場合、このイベントは発生しません。 たとえば、「一般」というラベルの付いたドキュメントが、「社外秘」というラベルの付いたサイトにアップロードされている場合です。 機密ラベルの優先度の詳細については、「ラベルの優先度 (順序の問題)」を参照してください。
ファイルでのマルウェアの検出 FileMalwareDetected SharePoint ウイルス対策エンジンにより、ファイル内でマルウェアが検出されました。
ファイル チェックアウトの破棄 FileCheckOutDiscarded ユーザーは、チェックアウトしたファイルを破棄 (または元に戻す) します。 これは、ファイルのチェック アウト時にファイルに対して加えた変更がすべて破棄され、ドキュメント ライブラリにあるドキュメントのバージョンには保存されないことを意味します。
ファイルのダウンロード FileDownloaded ユーザーがサイトからドキュメントをダウンロードしました。
ファイルの変更 FileModified ユーザーまたはシステム アカウントがサイトにあるドキュメントのコンテンツまたはプロパティを変更します。 同じユーザーが同じドキュメントのコンテンツまたはプロパティを変更すると、システムは別の FileModified イベントをログに記録するまで 5 分待機します。
(なし) FileModifiedExtended これは、"ファイルの変更" (FileModified) アクティビティに関連しています。 同じユーザーが長時間 (最大 3 時間) にわたって、ファイルの変更を継続的に行うと、FileModifiedExtended イベントがログに記録されます。

FileModifiedExtended イベントをログに記録する目的は、ファイルの変更が継続的に行われたときにログに記録される FileModified イベントの数を減らすことにあります。 これにより、本質的に同じユーザーのアクティビティであるファイル変更に対する無意味な複数の FileModified レコードを減り、初期 (のより重要な) FileModified イベントに注目できます。
ファイルの移動 FileMoved ユーザーがドキュメントをサイトの現在の場所から新しい場所に移動しました。
(なし) FilePreviewed ユーザーが SharePoint または OneDrive for Business サイトにあるファイルをプレビューします。 通常、これらのイベントは、イメージ ギャラリーの表示などの 1 つのアクティビティに基づいて、大きいボリュームで発生します。
実行された検索クエリ SearchQueryPerformed ユーザーまたはシステム アカウントが SharePoint または OneDrive for Business で検索を実行します。 サービス アカウントが検索クエリを実行する一般的なシナリオとしては、サイトと OneDrive アカウントに電子情報開示の保留と保持ポリシーを適用する方法、サイト コンテンツに保持ラベルまたは秘密度ラベルを自動適用する方法などがあります。 このアクティビティのログ記録を有効にするには、「 監査ソリューションの概要」を参照してください。
リサイクルされたファイル FileRecycled ユーザーはファイルを SharePoint のごみ箱に移動しました。
リサイクルされたフォルダー FolderRecycled ユーザーはフォルダーを SharePoint のごみ箱に移動しました。
リサイクルされたファイルのすべてのマイナー バージョン FileVersionsAllMinorsRecycled ユーザーは、ファイルのバージョン履歴からすべてのマイナー バージョンを削除します。 削除されたバージョンは、サイトのごみ箱に移動されます。
ファイルのすべてのバージョンのリサイクル FileVersionsAllRecycled ユーザーは、ファイルのバージョン履歴からすべてのバージョンを削除します。 削除されたバージョンは、サイトのごみ箱に移動されます。
ファイルのバージョンのリサイクル FileVersionRecycled ユーザーは、ファイルのバージョン履歴からバージョンを削除します。 削除されたバージョンは、サイトのごみ箱に移動されます。
ファイルの名前変更 FileRenamed ユーザーがドキュメントの名前を変更しました。
ファイルの復元 FileRestored ユーザーがサイトのごみ箱からドキュメントを復元しました。
ファイルのアップロード FileUploaded ユーザーがサイトのフォルダーにドキュメントをアップロードしました。
ページの表示 PageViewed ユーザーがサイトのページを表示しました。 ドキュメント ライブラリにあるファイルの Web ブラウザーを使用した表示は、これに含まれません。 ユーザーがページを表示すると、次の 5 分間、同じページの同じユーザーに対して PageViewed イベントが再度ログに記録されることはありません。
(なし) PageViewedExtended これは、"ページの表示" (PageViewed) アクティビティに関連しています。 同じユーザーが長時間 (最大 3 時間) にわたって、継続的に Web ページを表示すると、PageViewedExtended イベントがログに記録されます。

PageViewedExtended イベントをログに記録する目的は、ページが継続的に表示されたときにログに記録される PageViewed イベントの数を減らすことにあります。 これにより、本質的に同じユーザーのアクティビティであるページ表示に対する無意味な複数の PageViewed レコードが減り、初期 (のより重要な) PageViewed イベントに注目できます。
クライアントが表示をシグナル ClientViewSignaled ユーザーのクライアント (Web サイトやモバイル アプリなど) が、示されるページをユーザーが表示したことをシグナルしました。 多くの場合、ページでの PagePrefetched イベントに続いてこのアクティビティがログに記録されます。

: ClientViewSignaled イベントはサーバーではなくクライアントによりシグナルされるため、イベントがサーバーによってログに記録されず、監査ログに表示されない場合があります。 また、監査レコードの情報の信頼性が低い可能性もあります。 ただし、ユーザーの ID はシグナルの作成に使用されたトークンによって検証されるため、対応する監査レコードに記載されているユーザーの ID は正確です。 システムは、同じユーザーのクライアントがページがユーザーによって再び表示されたことを通知するときに、同じイベントをログに記録するまで 5 分待機します。
(なし) PagePrefetched 示されるページにユーザーがアクセスした際のパフォーマンスを上げるため、ユーザーのクライアント (Web サイトやモバイル アプリなど) がそのページを要求しました。 このイベントは、ページの内容がユーザーのクライアントに配信されたことを示すため、ログに記録されます。 このイベントは、ユーザーがページに移動したことをはっきりと示します。

(ユーザーの要求に従って) ページのコンテンツがクライアントによってレンダリングされると、ClientViewSignaled イベントが生成されます。 すべてのクライアントがプリフェッチの指定をサポートしているわけではないため、一部のプリフェッチ アクティビティが代わりに PageViewed イベントとしてログに記録される場合があります。

FileAccessed および FilePreviewed イベントに関するよくある質問

ユーザー以外のアクティビティによって、「OneDriveMpc-Transform_Thumbnail」などのユーザー エージェントを含む FilePreviewed 監査レコードがトリガーされる可能性はありますか?

ユーザー以外のアクションでこのようなイベントが生成されるシナリオは認識されていません。 ユーザー プロファイル カードを開くなどのユーザー アクション (Outlook on the web内のメッセージでユーザーの名前または電子メール アドレスを選択) すると、同様のイベントが生成されます。

OneDriveMpc-Transform_Thumbnail の呼び出しは、常にユーザーによって意図的にトリガーされていますか?

いいえ。 ただし、同様のイベントは、ブラウザープリフェッチの結果としてログに記録できます。

Microsoft が登録した IP アドレスからの FilePreviewed イベントが表示された場合、それはプレビューがユーザーのデバイスの画面に表示されたことを意味しますか?

いいえ。 イベントは、ブラウザープリフェッチの結果としてログに記録されている可能性があります。

ドキュメントをプレビューしているユーザーが FileAccessed イベントを生成するシナリオはありますか?

FilePreviewed イベントと FileAccessed イベントの両方が、ユーザーの呼び出しがファイルの読み取り (またはファイルのサムネイル レンダリングの読み取り) につながったことを示します。 これらのイベントはプレビューとアクセスの意図を一致させることを目的としていますが、イベントの区別はユーザーの意図を保証するものではありません。

監査レコードのapp@sharepointユーザー

一部のファイルアクティビティ (およびその他の SharePoint 関連のアクティビティ) の監査レコードでは、([ユーザー] および [UserId] フィールドで識別された) アクティビティを実行したユーザーが app@sharepoint であることがわかります。 これは、アクティビティを実行した「ユーザー」がアプリケーションだったことを示します。 この場合、アプリケーションには、ユーザー、管理者、またはサービスの代理として、組織全体のアクション (SharePoint サイトまたは OneDrive アカウント検索など) を実行するためのアクセス許可が SharePoint に与えられています。 アプリケーションに対するアクセス許可を与えるこのプロセスは、SharePoint アプリ専用アクセスと呼ばれます。 これは、アクションを実行するために SharePoint に提示された認証が、ユーザーの代わりに、アプリケーションによって処理されたことを示します。 そのため、app@sharepoint ユーザーが特定の監査レコードで識別されます。 詳細については、「SharePoint アプリ専用のアクセスを許可する」を参照してください。

たとえば、多くの場合、app@sharepoint は、"Performed search query" および "Accessed file" のイベントのユーザーとして識別されます。 これは、組織で SharePoint アプリ専用アクセスを持つアプリケーションのみが検索クエリを実行し、アイテム保持ポリシーをサイトおよび OneDrive アカウントに適用するときにファイルにアクセスするためです。

ここでは、アクティビティを実行したユーザーとして監査レコード内で app@sharepoint が識別される可能性のある他のいくつかのシナリオを次に示します。

  • Microsoft 365 グループ。 ユーザーまたは管理者が新しいグループを作成すると、サイト コレクションの作成、リストの更新、および SharePoint グループへのメンバーの追加のために監査レコードが生成されます。 これらのタスクは、グループを作成したユーザーの代わりにアプリケーションで実行されます。
  • Microsoft Teams。 Microsoft 365 グループと同様に、サイト コレクションの作成、リストの更新、およびチームの作成時に SharePoint グループにメンバーを追加するための監査レコードが生成されます。
  • コンプライアンス機能。 管理者がコンプライアンス機能 (アイテム保持ポリシー、電子情報開示保留、秘密度ラベルの自動適用など) を実装する場合。

これらのシナリオおよび他のシナリオでは、指定したユーザーとして app@sharepoint を使用した複数の監査レコードが、非常に短い時間枠内、多くの場合数秒以内に作成されています。 これは、ユーザーが開始した同じタスクによってトリガーされた可能性も示しています。 監査レコード内の ApplicationDisplayName および EventData フィールドを確認することにより、イベントをトリガーしたシナリオまたはアプリケーションを特定できる場合があります。

フォルダー アクティビティ

次の表では、SharePoint Online および OneDrive for Business 内のフォルダー アクティビティについて説明します。 前に説明したように、一部の SharePoint アクティビティの監査レコードは、ユーザーがアクションを開始したユーザーまたは管理者に代わってアクティビティを実行したapp@sharepointを示します。 詳細については、「監査レコード内の app@sharepoint ユーザー」を参照してください。

フレンドリ名 操作​​ 説明
フォルダーがコピーされました FolderCopied ユーザーがフォルダーをサイトから SharePoint または OneDrive for Business の別の場所にコピーしました。
フォルダーの作成 FolderCreated ユーザーがサイトにフォルダーを作成しました。
フォルダーの削除 FolderDeleted ユーザーがサイトからフォルダーを削除しました。
ごみ箱からのフォルダーの削除 FolderDeletedFirstStageRecycleBin ユーザーがサイトのごみ箱からフォルダーを削除しました。
第 2 段階のごみ箱からのフォルダーの削除 FolderDeletedSecondStageRecycleBin ユーザーがサイトの第 2 段階のごみ箱からフォルダーを削除しました。
フォルダーの変更 FolderModified ユーザーがサイト上のフォルダーを変更します。 これには、タグやプロパティの変更など、フォルダー メタデータの変更が含まれます。
フォルダーの移動 FolderMoved ユーザーがフォルダーをサイトの別の場所に移動しました。
フォルダーの名前変更 FolderRenamed ユーザーがサイトのフォルダーの名前を変更しました。
フォルダーの復元 FolderRestored ユーザーがサイトのごみ箱から削除されたフォルダーを復元しました。

情報バリア アクティビティ

Microsoft 365 監査ログに記録される情報バリアのアクティビティの一覧を次の表に記載します。 情報バリアの詳細については、「Microsoft 365 の情報の障壁について」を参照してください。

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。

フレンドリ名 操作​​ 説明
テナントの AppBypassInformationBarrier 設定を変更しました AppBypassInformationBarrier SharePoint またはグローバル管理者が、SharePoint サイトのアプリ アクセスを変更しました。
サイトへの情報バリア モードの適用 SiteIBModeSet SharePoint またはグローバル管理者がサイトにモードを適用しました。
サイトに適用されたセグメント SiteIBSegmentsSet SharePoint、グローバル管理者、またはサイト所有者が、1 つ以上の情報バリア セグメントをサイトに追加しました。
サイトの情報バリア モードを変更しました SiteIBModeChanged SharePoint またはグローバル管理者がサイトのモードを更新しました。
サイトのセグメントを変更しました SiteIBSegmentsChanged SharePoint またはグローバル管理者が、サイトの 1 つ以上の情報バリア セグメントを変更しました。
SharePoint と OneDrive の無効な情報バリア SPOIBIsDisabled SharePoint またはグローバル管理者が、organizationで SharePoint と OneDrive の情報バリアを無効にしました。
SharePoint と OneDrive の有効な情報バリア SPOIBIsEnabled SharePoint またはグローバル管理者が、organizationで SharePoint と OneDrive の情報バリアを無効にしました。
完了した情報バリア分析情報レポート InformationBarriersInsightsReportCompleted システムは、情報バリア分析情報レポートの構築を完了します。
クエリされた情報バリア分析情報レポート OneDrive セクション InformationBarriersInsightsReportOneDriveSectionQueried 管理者は、OneDrive アカウントの情報バリア分析情報レポートを照会します。
スケジュールされた情報バリア分析情報レポート InformationBarriersInsightsReportSchedule 管理者は、情報バリア分析情報レポートをスケジュールします。
クエリされた情報バリア分析情報レポート SharePoint セクション InformationBarriersInsightsReportSharePointSectionQueried 管理者は、Sharepoint サイトの情報バリア分析情報レポートを照会します。
サイトからセグメントを削除しました SiteIBSegmentsRemoved SharePoint またはグローバル管理者が、サイトから 1 つ以上の情報バリア セグメントを削除しました。

Microsoft 365 Apps 管理 Services クラウド更新アクティビティ

次の表に、Microsoft 365 監査ログにキャプチャされる Cloud Update サービス の構成変更とトリガーされたアクションのアクティビティの一覧を示します。

フレンドリ名 操作​​ 説明
デバイス構成の更新 updateddeviceconfiguration Cloud Update によって管理されるデバイスのアクションがトリガーされました。 これには、ロールバックのトリガー、ロールバックされたデバイスの再開、または更新チャネルの変更が含まれます。
プロファイル構成の更新 updatedprofileconfiguration Cloud Update プロファイルの構成が変更されました。 これには、プロファイルの状態の変更、期限の設定、検証の有効化の更新、構成済みのウェーブとウェーブの遅延が含まれます。
テナント構成の更新 updatedtenantconfiguration Cloud Update のテナント全体の構成が変更されました。 これには、除外の変更、除外ウィンドウ、新しいテナント関連付けキー (TAK) の生成が含まれます。

Microsoft 365 Apps 管理 Services クラウド ポリシー アクティビティ

次の表に、Microsoft 365 監査ログにキャプチャされる Cloud Policy サービスのポリシー 構成の変更に関するアクティビティを示します。

フレンドリ名 操作​​ 説明
作成されたポリシー構成 CreatedPolicyConfig 新しいポリシー構成が作成されました。
削除されたポリシー構成 DeletedPolicyConfig ポリシー構成が削除されました。
ポリシー構成の更新 UpdatedPolicyConfig ポリシー設定の追加、変更、削除、ポリシー構成の名前、説明、スコープの変更など、既存のポリシー構成が更新されました。
ポリシー構成の優先順位を更新しました UpdatedPolicyConfigPriority ポリシー構成の優先順位が変更されました。

Microsoft 365 バックアップアクティビティ

次の表に、Microsoft 365 監査ログに記録されるMicrosoft 365 バックアップのアクティビティを示します。 Microsoft 365 バックアップは、organizationのデータが常に保護され、簡単に回復できるように設計されています。 Microsoft 365 バックアップの詳細については、「Microsoft 365 バックアップの概要」を参照してください。

フレンドリ名 操作​​ 説明
バックアップ ポリシーをアクティブ化しました BackupPolicyActivated Microsoft 365 バックアップ ポリシーは非アクティブ状態からアクティブ化されます。
アクティブ化された下書き復元タスク RestoreTaskActivated Microsoft 365 バックアップの下書き復元タスクがアクティブになります。 実行時間の長い操作です。
作成されたバックアップ項目 BackupItemAdded 1 つ以上のバックアップ項目がMicrosoft 365 バックアップ ポリシーに追加されます。
バックアップ項目が削除されました BackupItemRemoved 1 つ以上のバックアップ項目が、Microsoft 365 バックアップ ポリシーから削除されます。
完了した復元タスク RestoreTaskCompleted 復元タスクは、Microsoft 365 バックアップで完了します。
作成された下書き復元タスク DraftRestoreTaskCreated 復元タスクは、Microsoft 365 バックアップで作成されます。 既定では、復元タスクは下書きとして作成されます。
新しいバックアップ ポリシーを作成しました NewBackupPolicyCreated グローバル 管理によって新しいMicrosoft 365 バックアップ ポリシーが作成されました。既定では、バックアップ ポリシーは非アクティブ状態で作成されます。
バックアップ ポリシーを削除しました BackupPolicyDeleted Microsoft 365 バックアップ ポリシーが削除されます。
削除された下書き復元タスク DraftRestoreTaskDeleted 下書き復元タスクは、Microsoft 365 バックアップで削除されます。
バックアップ ポリシーを編集しました BackupPolicyEdited Microsoft 365 バックアップ ポリシーが更新されます。 バックアップ ポリシーは、次のいずれかのアクションによって更新されます。

1. ポリシーの名前を変更します。
2. 1 つ以上の保護ユニットを追加します。
3. 1 つ以上の保護ユニットを取り外します。
編集された下書き復元タスク DraftRestoreTaskEdited 下書き復元タスクは、Microsoft 365 バックアップで編集されます。
バックアップ ポリシーを一時停止しました BackupPolicyPaused Microsoft 365 バックアップ ポリシーはアクティブな状態から一時停止されます。
プログラムによってバックアップ項目が取得されました GetBackupItem ユーザーは、プログラムでMicrosoft 365 バックアップを使用してバックアップされた保護ユニットを要求します。
プログラムによってバックアップ ポリシーの詳細を取得する ViewBackupPolicyDetails Microsoft 365 バックアップ ポリシーの詳細にはプログラムでアクセスします。
プログラムによって復元タスクの詳細を取得する GetRestoreTaskDetails ユーザーは、Microsoft 365 バックアップの識別子によって復元タスクの詳細を要求します。
プログラムによってすべてのバックアップ ポリシーの一覧を取得する ListAllBackupPolicies ユーザーはプログラムによって、Microsoft 365 バックアップを使用してバックアップされたすべてのバックアップ ポリシーの一覧を取得します。
プログラムによってバックアップ ポリシーのバックアップ項目の一覧を取得する ListAllBackupItemsInPolicies Microsoft 365 バックアップのバックアップ ポリシーに存在するすべての保護ユニットの一覧は、プログラムによって要求されます。
プログラムによってテナント内のバックアップ項目の一覧を取得する ListAllBackupItemsInTenant ユーザーは、Microsoft 365 バックアップを使用してバックアップされたorganization内のすべての保護ユニットの一覧をプログラムによって取得します。
プログラムによってワークロード内のバックアップ項目の一覧を取得する ListAllBackupItemsInWorkload ユーザーは、Microsoft 365 バックアップを使用してバックアップされたワークロード (SharePoint、OneDrive、または Exchange) 内のすべての保護ユニットの一覧をプログラムによって取得します。
プログラムによって復元タスクの復元項目の一覧を取得しました GetAllRestoreArtifactsInTask ユーザーは、Microsoft 365 バックアップの復元タスク内のすべての成果物をプログラムで取得します。
プログラムで復元ポイントの一覧を取得する ListAllRestorePoints ユーザーはプログラムによって、Microsoft 365 バックアップ内のすべての復元ポイントを取得します。 復元ポイントは、成果物が保護されたときのタイムスタンプを表します (保護ポリシーごと)。 アクセス権を持つのはグローバル管理者のみです。
プログラムで復元タスクの一覧を取得する ListAllRestoreTasks ユーザーはプログラムによって、Microsoft 365 バックアップ内の既存の復元セッションの一覧を取得します。 これには、organizationに登録されているすべてのサービスの種類に対して作成された復元セッションが含まれます。
復元項目の復元が完了しました BackupItemRestoreCompleted Microsoft 365 バックアップによってバックアップされた項目の復元が完了します。
復元項目の復元がトリガーされました BackupItemRestoreTriggered 復元は、Microsoft 365 バックアップでバックアップされた項目に対してトリガーされます。

一般的な設定アクティビティのMicrosoft Defender for Endpoint

次の表は、Microsoft 365 監査ログに記録される一般的な設定Microsoft Defender for Endpointアクティビティの一覧です。 Microsoft Defender for Endpoint設定の詳細については、「一般的な Defender for Endpoint 設定を構成する」を参照してください。

Microsoft Defender for Endpointアクティビティを表示するには、Microsoft Defender XDR ポータルで統合監査ログを有効にする必要があります。 詳細については、「 統合監査ログを有効にする」を参照してください。

フレンドリ名 操作​​ 説明
ダウンロードしたオフボード パッケージ DownloadOffboardingPkg Defender for Endpoint からデバイスを削除するために使用するパッケージをダウンロードしました。
ダウンロードしたオンボード パッケージ DownloadOnboardingPkg デバイスを Defender for Endpoint にオンボードするために使用するパッケージをダウンロードしました。
変更されたデータ保持期間 ChangeDataRetention Defender for Endpoint のデータ保持設定を編集しました。
高度な機能を設定する SetAdvancedFeatures Defender for Endpoint の高度な機能が変更され、インシデント時により正確な制御が可能になりました。 一般公開されている高度な機能の設定のみが、Microsoft 365 監査ログに記録されます。

インジケーター設定アクティビティのMicrosoft Defender for Endpoint

次の表に、Microsoft 365 監査ログに記録されるMicrosoft Defender for Endpointインジケーター設定のアクティビティを示します。 Microsoft Defender for Endpointインジケーターの詳細については、「インジケーターの管理」を参照してください。

Microsoft Defender for Endpointアクティビティを表示するには、Microsoft Defender XDR ポータルで統合監査ログを有効にする必要があります。 詳細については、「 統合監査ログを有効にする」を参照してください。

フレンドリ名 操作​​ 説明
インジケーターを追加しました AddIndicator 攻撃やイベントの追跡に使用できる新しい侵害のインジケーターを作成しました。
編集済みインジケーター EditIndicator 侵害のインジケーターを編集しました。
削除されたインジケーター DeleteIndicator 侵害のインジケーターを削除しました。

応答アクションアクティビティのMicrosoft Defender for Endpoint

次の表に、Microsoft 365 監査ログに記録されるMicrosoft Defender for Endpoint応答アクション (ライブ応答など) のアクティビティを示します。 Microsoft Defender for Endpoint応答アクションの詳細については、「デバイスで応答アクションを実行する」を参照してください。

Microsoft Defender for Endpointアクティビティを表示するには、Microsoft Defender XDR ポータルで統合監査ログを有効にする必要があります。 詳細については、「 統合監査ログを有効にする」を参照してください。

フレンドリ名 操作​​ 説明
収集された調査パッケージ CollectInvestigationPackage 攻撃ツールと手法を理解するために使用されるデバイスに関する情報を収集しました。
ウイルス対策スキャンを実行しました RunAntiVirusScan デバイスMicrosoft Defenderウイルス対策スキャンを実行しました。
制限付きアプリの実行 RestrictAppExecution 悪意のあるアプリの実行を防ぎます。
アプリの制限を削除しました RemoveAppRestrictions アプリの実行を許可します。
分離デバイス IsolateDevice ネットワークからデバイスを分離し、攻撃の拡散を防ぎます。
分離から解放される ReleaseFromIsolation 分離されたデバイスをネットワークに追加しました。
停止したファイルと検疫されたファイル StopAndQuarantineFile 詳細な分析のために疑わしいファイルを検疫しました。
ファイルのダウンロード DownloadFile 詳細な調査のために疑わしいファイルをダウンロードしました。
オフボード デバイス DeviceOffBoarding Defender for Endpoint からデバイスを削除しました。
ライブ応答 API の実行 RunLiveResponseApi API 呼び出しを介してライブ応答セッションを開き、リモート シェルをデバイスに開きます。
収集されたログ LogsCollection Defender for Endpoint に関するログ情報を収集しました。
ライブ応答ファイルの取得リンクを実行しました LiveResponseGetFile ライブ応答セッションを開き、リモート シェルをデバイスに開きます。
ライブ応答セッションの実行 RunLiveResponseSession ライブ応答セッションを実行し、リモート シェルをデバイスに開きます。

ロール設定アクティビティのMicrosoft Defender for Endpoint

次の表に、Microsoft 365 監査ログに記録されるMicrosoft Defender for Endpointロール設定のアクティビティを示します。 Microsoft Defender for Endpointのロールの詳細については、「ロールベースのアクセス制御のロールを作成および管理する」を参照してください。

Microsoft Defender for Endpointアクティビティを表示するには、Microsoft Defender XDR ポータルで統合監査ログを有効にする必要があります。 詳細については、「 統合監査ログを有効にする」を参照してください。

フレンドリ名 操作​​ 説明
AddRole ロールを追加しました 新しいセキュリティ ロールとアクセス許可を追加しました。
EditRole 編集されたロール 編集されたセキュリティ ロールとアクセス許可。
DeleteRole 削除されたロール セキュリティ ロールとアクセス許可を削除しました。

エキスパート活動のMicrosoft Defender

次の表に、Microsoft 365 監査ログにログインMicrosoft Defenderエキスパートのアクティビティを示します。 Microsoft Defenderエキスパートの詳細については、「Microsoft Defender Experts for XDRの詳細」と「Microsoft Defender エキスパートによる追求について学習する」を参照してください。

フレンドリ名 操作​​ 説明
Defender Experts アナリストのアクセス許可が作成されました DefenderExpertsAnalystPermissionCreated 管理者は、インシデントの調査や脅威の修復を行うために、Defender Experts アナリストに 1 つ以上のロールアクセス許可を付与しました。
Defender Experts アナリストのアクセス許可が変更されました DefenderExpertsAnalystPermissionModified 管理者は、インシデントを調査したり脅威を修復したりするために、Defender Experts アナリストのロールのアクセス許可を変更しました。

Microsoft Defender for Identityアクティビティ

次の表に、Microsoft 365 監査ログに記録されるMicrosoft Defender for Identityのアクティビティを示します。

Microsoft Defender for Identityアクティビティを表示するには、Microsoft Defender XDR ポータルで統合監査ログを有効にする必要があります。 詳細については、「 統合監査ログを有効にする」を参照してください。

フレンドリ名 操作​​ 説明
更新されたエンティティ タグ TaggingConfigurationUpdated タグがエンティティに追加または削除されました。
除外の構成を追加しました ExclusionConfigurationAdded アラートまたはエンティティに対してグローバル除外が追加されました。
除外の構成を更新しました ExclusionConfigurationUpdated アラートまたはエンティティのグローバル除外が更新されました。
削除された除外の構成 ExclusionConfigurationDeleted アラートまたはエンティティのグローバル除外が削除されました。
アラートしきい値の構成を更新しました WorkspaceAlertThresholdLevelUpdated アラートしきい値の構成が更新されました。
ダウンロードしたセキュリティ アラート Excel AlertExcelDownloaded アラートの詳細な Excel ファイルがダウンロードされました。
修復アクションを追加しました RemediationActionAdded 修復アクションがキューに追加されました。
修復アクションの更新 RemediationActionUpdated 修復アクションが完了しました。
センサー構成の更新 SensorConfigurationUpdated センサーの構成が更新されました。
センサーを追加しました SensorCreated 新しいセンサーが追加されました。
センサーを削除しました SensorDeleted センサーが削除されました。
センサーのデプロイ キーを取得しました SensorDeploymentAccessKeyReceived センサーのアクセス キーが取得されました。
再生成されたセンサーデプロイ キー SensorDeploymentAccessKeyUpdated センサーのアクセス キーが再生成されました。
センサーのアクティブ化モードを更新しました SensorActivationMethodConfigurationUpdated センサーのアクティブ化モードが変更されました。
ダウンロードしたドメイン コントローラーカバレッジ Excel DomainControllerCoverageExcelDownloaded ドメイン コントローラー カバレッジの Excel ファイルがダウンロードされました。
ディレクトリ サービス アカウントの構成を更新しました DirectoryServicesAccountConfigurationUpdated ディレクトリ サービス アカウント セットが変更されました。
修復アクションの構成を更新しました RemediationActionConfigurationUpdated [アクション アカウントの管理] セットが変更されました。
更新されたエンティティ修復構成 EntityRemediatorConfigurationUpdated [アクション アカウントの管理] モードが変更されました。
正常性の問題を更新しました MonitoringAlertUpdated 正常性の問題が変更されました。
レポートのダウンロード ReportDownloaded レポートがダウンロードされました。
更新されたレポーター構成 ReporterConfigurationUpdated レポートのスケジュールが変更されました。
Syslog 転送構成を更新しました SyslogServiceConfigurationUpdated syslog 転送構成が変更されました。
セキュリティ通知の構成を更新しました NotificationConfigurationUpdated セキュリティ アラートまたは正常性の問題通知の構成が変更されました。
アラート通知の受信者を追加しました AlertNotificationsRecipientAdded 受信者がセキュリティ アラート通知の構成に追加されました。
アラート通知の受信者を削除しました AlertNotificationsRecipientDeleted 受信者がセキュリティ アラート通知の構成から削除されました。
正常性の問題の通知受信者を追加しました MonitoringAlertNotificationRecipientAdded 正常性の問題の通知構成に受信者が追加されました。
削除された正常性の問題の通知受信者 MonitoringAlertNotificationRecipientDeleted 受信者がヒートイシュー通知構成から削除されました。
VPN 構成の更新 VpnConfigurationUpdated VPN (radius アカウンティング) 構成が変更されました。
統合 RBAC 構成の更新 URbacAuthorizationStatusChanged 統合ロールベースのAccess Control構成が変更されました。
作成されたワークスペース WorkspaceCreated ワークスペースが作成されました。
削除されたワークスペース WorkspaceDeleted ワークスペースが削除されました。

カスタム検出アクティビティのMicrosoft Defender XDR

次の表は、Microsoft 365 監査ログに記録されるMicrosoft Defender XDRのカスタム検出アクティビティの一覧です。 カスタム検出のMicrosoft Defender XDRの詳細については、「カスタム検出ルールの作成と管理」を参照してください。

Microsoft Defender XDRアクティビティを表示するには、Microsoft Defender XDR ポータルで統合監査ログを有効にする必要があります。 詳細については、「 統合監査ログを有効にする」を参照してください。

フレンドリ名 操作​​ 説明
作成されたカスタム検出ルール CreateCustomDetection 新しいカスタム検出ルールが作成されました。
編集されたカスタム検出ルール EditCustomDetection カスタム検出ルールが変更されました。
カスタム検出ルールの状態を変更しました ChangeCustomDetectionRuleStatus カスタム検出ルールがオフまたはオンになりました。
カスタム検出ルールを実行しました RunCustomDetection カスタム検出ルールが手動で実行されました。
削除されたカスタム検出ルール DeleteCustomDetection カスタム検出ルールが削除されました。

インシデントアクティビティのMicrosoft Defender XDR

次の表に、Microsoft 365 監査ログに記録されるMicrosoft Defender XDRのインシデント アクティビティを示します。 Microsoft Defender XDRのインシデントの詳細については、「インシデントの概要」を参照してください。

Microsoft Defender XDRアクティビティを表示するには、Microsoft Defender XDR ポータルで統合監査ログを有効にする必要があります。 詳細については、「 統合監査ログを有効にする」を参照してください。

フレンドリ名 操作​​ 説明
インシデントにコメントを追加しました AddCommentToIncident。 インシデントにコメントを追加しました。
インシデントに割り当てられたユーザー AssignUserToIncident インシデントに割り当てられたユーザー。
インシデントに割り当てられていないユーザー UnAssignUserFromIncident インシデントに割り当てられていないユーザー。
更新されたインシデントの状態 UpdateIncidentStatus インシデントの状態を更新しました。
インシデント分類の編集 EditIncidentClassification インシデント分類を編集します。
インシデントにタグを追加しました AddTagsToIncident インシデントにタグを追加しました。
インシデントからタグを削除しました RemoveTagsFromIncident インシデントからタグを削除しました。

抑制ルールアクティビティのMicrosoft Defender XDR

次の表に、Microsoft 365 監査ログに記録されるMicrosoft Defender XDRの抑制ルールのアクティビティを示します。 Microsoft Defender XDRの抑制ルールの詳細については、「抑制ルールの管理」を参照してください。

Microsoft Defender XDRアクティビティを表示するには、Microsoft Defender XDR ポータルで統合監査ログを有効にする必要があります。 詳細については、「 統合監査ログを有効にする」を参照してください。

フレンドリ名 操作​​ 説明
作成された抑制ルール CreateSuppressionRule アラート抑制ルールを作成しました。
編集された抑制ルール EditSuppressionRule アラート抑制ルールを削除しました。
抑制ルールを有効にする EnableSuppressionRule アラート抑制ルールを有効にしました。
抑制ルールを無効にしました DisableSuppressionRule アラート抑制ルールを無効にしました。
削除された抑制ルール DeleteSuppressionRule アラート抑制ルールを削除しました。

Microsoft Entraグループ管理活動

次の表に、管理者かユーザーが Microsoft 365 グループを作成または変更したとき、あるいは管理者が Microsoft 365 管理センターか Azure 管理ポータルを使用してセキュリティ グループを作成したときに記録されるグループ管理アクティビティを示します。 Microsoft 365 のグループの詳細については、「Microsoft 365 管理センターでグループを表示、作成、削除する」を参照してください。

注:

次の表の [操作] 列にリストされている操作名には、ピリオド ( . ) が含まれています。 監査ログの検索、監査保持ポリシーの作成、アラート ポリシーの作成、またはアクティビティ アラートの作成時に PowerShell コマンドで操作を指定する場合は、操作名にピリオドを含める必要があります。 また、操作名を含める場合は、二重引用符 (" ") を使用してください。

フレンドリ名 操作​​ 説明
グループの追加 グループを追加します。 グループが作成されました。
グループへのメンバーの追加 グループにメンバーを追加する メンバーがグループに追加されました。
グループの削除 グループを削除します。 グループが削除されました。
グループからのメンバーの削除 グループからメンバーを削除します。 メンバーがグループから削除されました。
グループの更新 グループを更新します。 グループのプロパティが変更されました。

Microsoft Fabric アクティビティ

監査ログで Power BI のアクティビティを検索できます。 監査設定の詳細については、「 監査と使用状況のテナント設定」を参照してください。

Microsoft 365 組織では、監査ログが既定で有効になっています。 organizationに対して監査が有効になっていない場合は、ユーザーと管理者のアクティビティの記録を開始するように求めるバナーが表示されます。 手順については、「 監査を有効にする」を参照してください。

Microsoft Forms アクティビティ

このセクションの表には、監査ログに記録された Microsoft Forms のユーザー アクティビティおよび管理者アクティビティの一覧が表示されています。 Microsoft Forms は、データを収集し分析するために使用するフォーム/クイズ/アンケート ツールです。 下記の説明に別途記載するとおり、一部の操作には追加のアクティビティ パラメーターが含まれます。

Forms アクティビティが共同編集者または匿名レスポンダーによって実行された場合、ログに記録される方法が若干異なります。 詳細については、共同作成者および匿名のレスポンダーによって実行される Forms アクティビティ セクションを参照してください。

フレンドリ名 操作​​ 説明
コメントが作成される CreateComment フォーム所有者がコメントまたはスコアをクイズに追加する。
フォームが作成される CreateForm フォーム所有者が新しいフォームを作成する。

プロパティ DataMode:string は、プロパティ値が DataSync と等しい場合、現在のフォームが新規または既存の Excel ブックと同期するように設定されていることを示します。 プロパティ ExcelWorkbookLink:string は、関連する現在のフォームの Excel ブック ID を示します。
フォームが編集される EditForm フォーム所有者が質問の作成、削除、編集など、フォームを編集する。 プロパティ EditOperation:string は、編集操作名を示します。 次の操作を実行できます。
- CreateQuestion
- CreateQuestionChoice
- DeleteQuestion
- DeleteQuestionChoice
- DeleteFormImage
- DeleteQuestionImage
- UpdateQuestion
- UpdateQuestionChoice
- UploadFormImage/Bing/Onedrive
- UploadQuestionImage
- ChangeTheme

FormImage には、クエリ内や背景テーマなど、ユーザーが画像をアップロードできるフォーム内のすべての場所が含まれます。
フォームが移動される MoveForm フォーム所有者がフォームを移動する。

プロパティ DestinationUserId:string は、フォームを移動したユーザーのユーザー ID を示します。 プロパティ NewFormId:string は、新たにコピーされたフォームの新しい ID です。 プロパティ IsDelegateAccess:boolean は、現在のフォーム移動アクションが管理委任ページ経由で実行されていることを示します。
フォームが削除される DeleteForm フォーウ所有者がフォームを削除する。 これには、SoftDelete (削除オプションが使用され、フォームがごみ箱に移動されます) と HardDelete (ごみ箱が空になります) が含まれます。
フォームが表示される (デザイン時) ViewForm フォーム所有者が既存のフォームを編集するために開く。

プロパティ AccessDenied:boolean は、現在のフォームのアクセスがアクセス許可チェックで拒否されたことを示します。 プロパティ FromSummaryLink:boolean は、現在の要求が概要リンクページで発生したことを示します。
フォームがプレビューされる PreviewForm フォーム所有者がプレビュー機能を使用してフォームをプレビューする。
フォームがエクスポートされる ExportForm フォーム所有者が結果を Excel にエクスポートする。

プロパティ ExportFormat:string は、Excel ファイルがダウンロードなのかオンラインなのかを示します。
コピー用のフォームの共有が許可される AllowShareFormForCopy フォームを他のユーザーと共有するためのテンプレート リンクをフォーム所有者が作成する。 このイベントは、フォーム所有者がテンプレート URL の生成を選択したときにログに記録されます。
コピー用のフォームの共有が許可されない DisallowShareFormForCopy フォーム所有者がテンプレートリンクを削除する。
フォームの共同編集者が追加される AddFormCoauthor 回答のデザインや表示のための共同作業リンクをユーザーが使用する。 このイベントは、共同作業 URL が最初に生成されたときではなくユーザーが共同作業 URL を使用したときにログに記録されます。
フォームの共同編集者が削除される RemoveFormCoauthor フォーム所有者が共同作業リンクを削除する。
回答ページが表示される ViewRuntimeForm ユーザーが回答ページを開いて表示する。 このイベントは、ユーザーが回答を送信するかどうかに関わらずログに記録されます。
回答が作成される CreateResponse 新しい回答の受信と似ています。 ユーザーがフォームへの回答を送信しました。

プロパティ ResponseId:string とプロパティ ResponderId:string は、どの結果が表示されたかを示します。

匿名レスポンダーの場合、ResponderId プロパティは null です。
回答が更新される UpdateResponse フォーム所有者がクイズのコメントまたはスコアを更新した。

プロパティ ResponseId:string とプロパティ ResponderId:string は、どの結果が表示されたかを示します。

匿名レスポンダーの場合、ResponderId プロパティは null です。
すべての回答が削除される DeleteAllResponses フォーム所有者がすべての回答データを削除する。
回答が削除される DeleteResponse フォーム所有者が回答を 1 件削除する。

プロパティ ResponseId:string は、削除される回答を示します。
複数の回答が表示される ViewResponses フォーム所有者が回答の集計リストを表示する。

プロパティ ViewType:string は、フォーム所有者は「詳細」を表示しているのか、「集計」を表示しているのかを示します。
1 件の回答が表示される ViewResponse フォーム所有者が特定の 1 件の回答を表示する。

プロパティ ResponseId:string とプロパティ ResponderId:string は、どの結果が表示されたかを示します。

匿名レスポンダーの場合、ResponderId プロパティは null です。
概要リンクが作成される GetSummaryLink 結果を共有するための概要結果リンクをフォーム所有者が作成する。
概要リンクが削除される DeleteSummaryLink フォーム所有者が概要結果リンクを削除する。
フォームのフィッシング状態が更新される UpdatePhishingStatus このイベントは、内部セキュリティ状態の詳細値が変更されたとき、この変更により最終的なセキュリティの状態 (たとえば、現在フォームは「終了済み」または「開始済み」) が変更されたかどうかに関わらずログに記録されます。 つまり、最終的なセキュリティ状態が変更されない場合でも、重複するイベントが表示されることがあります。 このイベントの可能な状態の値は次のとおりです。
- 削除
- 管理者による削除
- 管理者のブロック解除
- 自動ブロック
- 自動ブロック解除
- 顧客から報告
- 顧客からの報告をリセット
ユーザーのフィッシング状態が更新される UpdateUserPhishingStatus このイベントは、ユーザーのセキュリティ状態の値が変更されるたびにログに記録されます。 監査レコードのユーザー状態の値は、ユーザーが Microsoft Online の安全チームによって削除されたフィッシング フォームを作成したときに、フィッシング詐欺師として確認されました。 管理者がユーザーのブロックを解除すると、ユーザーの状態の値は [通常のユーザーとしてリセット] に設定されます。
Forms Pro の招待が送信される ProInvitation ユーザーが Pro 試用版をアクティブ化することを選択します。
フォームの設定が更新される UpdateFormSetting フォーム所有者は 1 つ以上のフォーム設定を更新します。

プロパティ FormSettingName:string は、更新済みの機密設定の名前を示します。 プロパティ NewFormSettings:string は、更新済みの設定の名前および新しい値を示します。 プロパティ thankYouMessageContainsLink:boolean は、URL リンクを含む更新済みの感謝メッセージを示します。
ユーザー設定が更新される UpdateUserSetting フォーム所有者がユーザー設定を更新する。

プロパティ UserSettingName:string は、設定名と新しい値を示します。
フォームが一覧表示される ListForms フォーム所有者がフォームの一覧を表示している。

プロパティ ViewType:string は、フォーム所有者が表示に使用しているビュー ([すべてのフォーム]、[自分と共有]、または [グループ フォーム]) を示します。
回答が送信される SubmitResponse ユーザーがフォームへの回答を送信する。

プロパティ IsInternalForm:boolean は、回答者がフォーム所有者と同じ組織内にいるかどうかを示します。
すべてのユーザーを応答可能にする設定を有効にしました AllowAnonymousResponse フォーム所有者が、すべてのユーザーにフォームへの応答を許可する設定をオンにしている。
すべてのユーザーを応答可能にする設定を無効にしました DisallowAnonymousResponse フォーム所有者が、すべてのユーザーにフォームへの応答を許可する設定をオフにしている。
特定のユーザーを応答可能にする設定を有効にしました EnableSpecificResponse フォーム所有者が、現在の組織の特定のユーザーまたは特定のグループのみフォームへの応答を許可する設定をオンにしている。
特定のユーザーを応答可能にする設定を無効にしました DisableSpecificResponse フォーム所有者が、現在の組織の特定のユーザーまたは特定のグループのみフォームへの応答を許可する設定をオフにしている。
特定の回答者を追加しました AddSpecificResponder フォーム所有者が特定の回答者リストに新しいユーザーまたはグループを追加する。
特定の回答者を削除しました RemoveSpecificResponder フォーム所有者がに新しいユーザーまたはグループを特定の回答者リストから削除する。
共同作業を無効にしました DisableCollaboration フォーム所有者がフォームでの共同作業の設定をオフにしている。
Office 365 での職場または学校アカウントの共同作業を有効にしました EnableWorkOrSchoolCollaboration フォーム所有者が、Microsoft 365 の職場または学校アカウントを使用するユーザーにフォームの表示および編集を許可する設定をオンにしている。
所属組織内のユーザーの共同作業を有効にしました EnableSameOrgCollaboration フォーム所有者が、現在の組織のユーザーにフォームの表示および編集を許可する設定をオンにしている。
特定のユーザーの共同作業を有効にしました EnableSpecificCollaboaration フォーム所有者が、現在の組織の特定のユーザーまたは特定のグループのみフォームへの表示および編集を許可する設定をオンにしている。
Excel ブックに接続しました ConnectToExcelWorkbook フォームを Excel ブックに接続しました。

プロパティ ExcelWorkbookLink:string は、関連する現在のフォームの Excel ブック ID を示します。
コレクションの作成 CollectionCreated フォーム所有者がコレクションを作成しました。
コレクションの更新 CollectionUpdated フォーム所有者がコレクション プロパティを更新しました。
ごみ箱からのコレクションの削除 CollectionHardDeleted フォーム所有者がごみ箱からコレクションを物理的に削除しました。
ごみ箱へのコレクションの移動 CollectionSoftDeleted フォーム所有者がコレクションをごみ箱に移動しました。
コレクションの名前の変更 CollectionRenamed フォーム所有者がコレクションの名前を変更しました。
フォームへのコレクションの移動 MovedFormIntoCollection フォームの所有者がフォームをコレクションに移動しました。
フォームをコレクションから移動しました MovedFormOutofCollection フォームの所有者がフォームをコレクションから移動しました。

共同作成者および匿名のレスポンダーによって実行される Forms アクティビティ

Forms は、フォームの設計時および回答の分析時の協同作業をサポートします。 フォームの協力者は、共同作成者 として知られています。 共同作成者は、フォームの削除または移動を除き、フォームの所有者が実行できるすべての操作を実行できます。 また、Forms を使用すると、匿名で回答できるフォームを作成できます。 これは、フォームに回答するためにレスポンダーが組織にサインインする必要がないことを意味します。

次の表は、共同作成者と匿名のレスポンダーによって実行されたアクティビティの監査アクティビティおよび監査レコードの情報を示しています。

アクティビティの種類 内部または外部ユーザー ログに記録されたユーザー ID ログインしている組織 Forms ユーザーの種類
共同編集のアクティビティ 内部 UPN フォームの所有者の組織 共同編集者
共同編集のアクティビティ 外部 UPN
共同作成者の組織
共同編集者
共同編集のアクティビティ 外部 urn:forms:coauthor#a0b1c2d3@forms.office.com
(ID の 2 番目の部分はハッシュであり、ユーザーによって異なります)
フォームの所有者の組織
共同編集者
回答アクティビティ 外部 UPN
レスポンダーの組織
レスポンダー
回答アクティビティ 外部 urn:forms:external#a0b1c2d3@forms.office.com
(ユーザー ID の 2 番目の部分はハッシュであり、ユーザーによって異なります)
フォームの所有者の組織 レスポンダー
回答アクティビティ 匿名 urn:forms:anonymous#a0b1c2d3@forms.office.com
(ユーザー ID の 2 番目の部分はハッシュであり、ユーザーによって異なります)
フォームの所有者の組織 レスポンダー

Microsoft Graph データ接続

次の表に、監査のためにログに記録される Microsoft Graph Data Connect のユーザーアクティビティと管理者アクティビティの一覧を示します。 テーブルには、[ アクティビティ ] 列に表示されるフレンドリ名と、検索結果をエクスポートするときに監査レコードの詳細情報と CSV ファイルに表示される対応する操作の名前が含まれます。

フレンドリ名 操作​​ 説明
アプリを承認または拒否しました ConsentModificationRequest ユーザーが同意の変更要求を実行しました。
抽出の実行 DataAccessRequestOperation ユーザーが抽出を実行しました。 パートナー データセットと ISV 実行は除外されます。

Microsoft Plannerアクティビティ

次の表は、監査のためにログに記録されるMicrosoft Plannerのユーザーアクティビティと管理者アクティビティの一覧です。 テーブルには、[ アクティビティ ] 列に表示されるフレンドリ名と、検索結果をエクスポートするときに監査レコードの詳細情報と CSV ファイルに表示される対応する操作の名前が含まれます。

注:

Plannerのポートフォリオ アクティビティは、Microsoft Project for Web ロードマップ アクティビティでログに記録されます。 詳細については、「Microsoft Project for the web アクティビティ」セクションを参照してください。

フレンドリ名 操作​​ 説明
プランの読み取り PlanRead プランは、ユーザーまたはアプリによって読み取られます。 読み取り操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、ContainerType は ContainerType.Invalid を示し、ContainerId は null を示します。
プランを作成しました PlanCreated プランは、ユーザーまたはアプリによって作成されます。 作成操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、ObjectId は null を示し、ContainerType は ContainerType.Invalid を示し、ContainerId は null を示します。
プランを変更しました PlanModified プランは、ユーザーまたはアプリによって変更されます。
プランを削除しました PlanDeleted プランは、ユーザーまたはアプリによって削除されます。
プランをコピーしました PlanCopied プランは、ユーザーまたはアプリによってコピーされます。 コピー操作が ResultStatus.Failure または ResultStatus.Failure の場合、newPlanId は null、newContainerType は ContainerType.Invalid、newContainerId は null を示します。
タスクの読み取り TaskRead タスクは、ユーザーまたはアプリによって読み取られます。 読み取り操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、PlanId は null を示します。
タスクを作成しました TaskCreated タスクは、ユーザーまたはアプリによって作成されます。 作成操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、ObjectId は null を示し、PlanId は null を示します。
タスクを変更しました TaskModified タスクは、ユーザーまたはアプリによって変更されます。
タスクを削除しました TaskDeleted タスクは、ユーザーまたはアプリによって削除されます。
タスクの割り当て TaskAssigned タスクの担当者は、ユーザーまたはアプリによって変更されます。 これは、割り当て済みの未割り当てタスク、または割り当てられたタスクに新しい担当者が含まれます。
タスクを完了しました TaskCompleted タスクは、ユーザーまたはアプリによって完了済みとしてマークされます。
名簿を作成しました 名簿作成 名簿は、ユーザーまたはアプリによって作成されます。 作成操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、ObjectId は null を示し、MemberIds は空の文字列を示します。
名簿を削除しました RosterDeleted 名簿は、ユーザーまたはアプリによって削除されます。
名簿にメンバーを追加しました RosterMemberAdded メンバーが名簿に追加されます。 追加操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、MemberIds は試行されたメンバー ID の一覧を示します。
メンバーを名簿に削除しました RosterMemberDeleted メンバーが名簿から削除されます。 削除操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、MemberIds は試行されたメンバー ID の一覧を示します。
プランの一覧を読み取る PlanListRead プランの一覧は、ユーザーまたはアプリによって照会されます。 クエリ操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、PlanList は空の文字列を示します。
タスクの一覧を読み取る TaskListRead タスクの一覧は、ユーザーまたはアプリによって照会されます。 クエリ操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、TaskList は空の文字列を示します。
テナント設定の更新 TenantSettingsUpdated テナント設定は、テナント管理者によって更新されます。更新操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、ObjectId は元の設定を示し、TenantSettings はテナント設定の試行を示します。
名簿の秘密度ラベルを更新しました RosterSensitivityLabelUpdated ユーザーまたはアプリは、名簿の秘密度ラベルを更新します。

Microsoft Power Apps アクティビティ

Power Apps では、アプリ関連のアクティビティの監査ログを検索できます。 これらのアクティビティには、アプリの作成、起動、公開が含まれます。 アプリへのアクセス許可の割り当ても監査されます。 Power Apps のすべてのアクティビティの説明については、「Activity logging for Power Apps のアクティビティのログ」を参照してください。

注:

アラート ポリシー (保護アラート) 監査イベント (RecordType:45) は現在、PowerAppsではサポートされていません。

Microsoft Power Automate のアクティビティ

Power Automate (旧称: Microsoft Flow) では、監査ログを検索できます。 これらのアクティビティには、フローの作成、編集、および削除と、フローのアクセス許可の変更があります。 Power Automate アクティビティの監査の詳細については、 コンプライアンス ポータルで利用可能になった Power Automate 監査イベントに関するブログを参照してください。

Microsoft Project for the web アクティビティ

監査ログで、Microsoft Project for the webのアクティビティを検索できます。 Microsoft Project for the webは Microsoft Dataverse 上に構築され、Project Power App が関連付けられています。 ユーザーが Microsoft Dataverse または Project Power App を使用しているシナリオの監査を有効にするには、 システム設定の [監査] タブのガイダンスを 参照してください。 Project for the webに関連するエンティティの一覧については、「Project for the webからのユーザー データのエクスポート」ガイダンスを参照してください。

Microsoft Project for the webの詳細については、「Microsoft Project for the web」を参照してください。

注:

Microsoft Project for the web アクティビティの監査イベントには、有料のProject Plan 1 ライセンス (またはそれ以上) が必要です。

フレンドリ名 操作​​ 説明
作成されたプロジェクト ProjectCreated プロジェクトは、ユーザーまたはアプリによって作成されます。
作成されたロードマップ ロードマップ作成 ロードマップまたはポートフォリオは、ユーザーまたはアプリによって作成されます。
作成されたロードマップ項目 RoadmapItemCreated ロードマップまたはポートフォリオ アイテムは、ユーザーまたはアプリによって作成されます。
作成されたタスク TaskCreated タスクは、ユーザーまたはアプリによって作成されます。
削除されたプロジェクト ProjectDeleted プロジェクトは、ユーザーまたはアプリによって削除されます。
削除されたロードマップ ロードマップDeleted ロードマップまたはポートフォリオは、ユーザーまたはアプリによって削除されます。
削除されたロードマップ項目 RoadmapItemDeleted ロードマップまたはポートフォリオ アイテムは、ユーザーまたはアプリによって削除されます。
削除されたタスク TaskDeleted タスクはユーザーまたはアプリによって削除されます。
アクセスされたプロジェクト ProjectAccessed プロジェクトは読み取りまたはアプリです。
プロジェクト ホームにアクセスしました ProjectListAccessed プロジェクトやロードマップの一覧は、ユーザーによって照会されます。
ロードマップにアクセスしました ロードマップアクセス済み ロードマップまたはポートフォリオは、ユーザーまたはアプリによって読み取られます。
ロードマップ項目にアクセスしました RoadmapItemAccessed ロードマップまたはポートフォリオ アイテムは、ユーザーまたはアプリによって読み取られます。
アクセスされたタスク TaskAccessed タスクは、ユーザーまたはアプリによって読み取られます。
更新されたプロジェクト設定 ProjectForTheWebProjectSettings プロジェクト設定は管理者によって更新されます。
ロードマップの更新 RoadmapUpdated ロードマップまたはポートフォリオは、ユーザーまたはアプリによって変更されます。
ロードマップ項目を更新しました RoadmapItemUpdated ロードマップまたはポートフォリオ アイテムは、ユーザーまたはアプリによって変更されます。
ロードマップの設定を更新しました ProjectForTheWebRoadmaptSettings ロードマップまたはポートフォリオの設定は、管理者によって更新されます。
更新されたタスク TaskUpdated タスクは、ユーザーまたはアプリによって変更されます。
更新されたプロジェクト ProjectUpdated プロジェクトは、ユーザーまたはアプリによって変更されます。

ソリューション アクティビティのMicrosoft Purview 監査

次の表に、Microsoft Purview ポータル、Microsoft Purview コンプライアンス ポータル、監査検索Graph APIの監査ソリューションに関連付けられているアクティビティを示します。 これらのアクティビティは、 SecurityComplianceCenter ワークロードで監査されます。 詳細については、「監査ログの検索」を参照してください。

Search-UnifiedAuditLog を使用して実行された検索アクティビティとエクスポート アクティビティの監査は監査されません。

フレンドリ名 操作​​ 説明
作成された監査検索 AuditSearchCreated 新しい監査検索要求が送信されます。
監査検索が完了しました AuditSearchCompleted 監査検索ジョブが完了しました。
監査検索が取り消されました AuditSearchCancelled 監査検索ジョブが取り消されます。
監査検索が削除されました AuditSearchDeleted 監査検索ジョブが削除されます。
作成された監査検索エクスポート ジョブ AuditSearchExportJobCreated 監査検索クエリの検索結果をエクスポートするエクスポート ジョブが作成されます。
検索エクスポート ジョブの監査が完了しました AuditSearchExportJobCompleted 監査検索クエリの検索結果をエクスポートするエクスポート ジョブが完了しました。
ダウンロードした監査検索エクスポートの結果 AuditSearchExportResultsDownloaded 監査検索クエリの検索結果がダウンロードされました。

Microsoft Purview ガバナンス アクティビティ

次の表に、Microsoft 365 監査ログに記録される Microsoft Purview ガバナンス アクティビティの一覧を示します。 詳細については、「 Microsoft Purview ガバナンス ソリューション」を参照してください。

フレンドリ名 操作​​ 説明
作成された資産またはエンティティ EntityCreated 新しい資産またはエンティティが作成されるか、既存の資産に追加されます。
分類の追加 ClassificationAdded 資産エンティティに分類を追加します。
作成された分類定義 ClassificationDefinitionCreated 分類の種類を作成します。
分類定義が削除されました ClassificationDefinitionDeleted 分類の種類を削除します。
分類定義が更新されました ClassificationDefinitionUpdated 分類の種類を更新します。
分類が削除されました ClassificationDeleted 資産エンティティから分類を削除します。
分類の更新 ClassificationUpdated 資産エンティティの分類を更新します。
削除されたエンティティ EntityDeleted 資産またはエンティティは、既存の資産から削除されます。
エンティティが更新されました EntityUpdated 含まれるもの: 属性の更新、ビジネス属性の更新、コレクション情報 (コレクション ID のみを含む)、連絡先の更新、customAttributes、階層、homeId、ラベル、sourceDetails
用語集の用語が割り当てられている GlossaryTermAssigned 資産エンティティに用語を割り当てます。
用語集の用語が作成されました GlossaryTermCreated 用語を作成します。
用語集の用語が削除されました GlossaryTermDeleted 用語を削除します。
用語集の用語の関連付け解除 GlossaryTermDisassociated 資産エンティティから用語の関連付けを解除します。
用語集の用語が更新されました GlossaryTermUpdated 用語を更新します。
秘密度ラベルを変更済み SensitivityLabelChanged 秘密度ラベルが追加/更新/削除されます。

Microsoft Stream アクティビティ

監査ログで Microsoft Stream のアクティビティを検索できます。 これらのアクティビティには、ユーザーが実行するビデオ アクティビティ、グループ チャネル アクティビティ、管理アクティビティ (ユーザーの管理、組織の設定の管理、レポートのエクスポートなど) が含まれます。 これらのアクティビティの詳細については、「Microsoft Stream の監査ログ」の「Stream に記録されたアクション」を参照してください。

Microsoft Teams アクティビティ

次の表に、Microsoft 365 監査ログに記録されるアクティビティMicrosoft Teams一覧を示します。 監査ログで Microsoft Stream のユーザーおよび管理者のアクティビティを検索できます。 Teams は Microsoft 365 のチャット中心のワークスペースです。 これにより、チームの会話、会議、ファイル、およびノートが 1 つの場所に集められます。 詳細な検索ガイダンスについては、「 Microsoft Teamsのイベントの監査ログを検索する」を参照してください。

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。

フレンドリ名 操作名 説明
チームへのボットの追加 BotAddedToTeam ユーザーがチームにボットを追加しました。
チャネルの追加 ChannelAdded ユーザーがチームにチャネルを追加しました。
コネクタの追加 ConnectorAdded ユーザーがチャネルにコネクタを追加しました。
Teams 会議 9 の詳細を追加しました MeetingDetail Teams は、開始時刻、終了時刻、会議に参加するための URL など、会議に関する情報を追加しました。
会議参加者に関する情報を追加しました 9 MeetingParticipantDetail Teams は、各参加者のユーザー ID、参加者が会議に参加した時刻、参加者が会議を離れた時刻など、会議の参加者に関する情報を追加しました。
メンバー 6、8 を追加しました MemberAdded チームの所有者が、チーム、チャネル、またはグループ チャットにメンバーを追加しました。
タブの追加 TabAdded ユーザーがチャネルにタブを追加しました。
適用された秘密度ラベル SensitivityLabelApplied ユーザーまたは会議の開催者は、Teams 会議に秘密度ラベルを適用しました。
チャネルの設定の変更 ChannelSettingChanged 次のアクティビティがチーム メンバーにより実行されると、ChannelSettingChanged 操作が記録されます。 これらのアクティビティごとに、監査ログの検索結果の [項目 ] 列に変更された設定の説明 (かっこで囲んで表示) が表示されます。
  • チーム チャネルの変更名 (チャネル名)
  • チーム チャネルの説明を変更する (チャネルの説明)
組織の設定の変更 TeamsTenantSettingChanged TeamsTenantSettingChanged 操作は、Microsoft 365 管理センターのグローバル管理者が次のアクティビティを実行するとログに記録されます。 これらのアクティビティは、組織全体の Teams 設定に影響します。 詳細については、「organizationの Teams 設定を管理する」を参照してください。
これらのアクティビティごとに、監査ログの検索結果の [項目 ] 列に変更された設定の説明 (かっこで囲んで表示) が表示されます。
  • organization (Microsoft Teams) の Teams を有効または無効にします。
  • organizationのMicrosoft TeamsとSkype for Businessの間の相互運用性 (Skype for Business相互運用性) を有効または無効にします。
  • Microsoft Teams クライアントの組織図ビュー (組織図ビュー) を有効または無効にします。
  • チーム メンバーがプライベート会議をスケジュールする機能を有効または無効にします (プライベート会議のスケジュール設定)。
  • チーム メンバーがチャネル会議をスケジュールする機能を有効または無効にします (チャネル会議のスケジュール設定)。
  • Teams 会議 (Skype 会議のビデオ) でのビデオ通話を有効または無効にします。
  • organizationのMicrosoft Teams会議で画面共有を有効または無効にします (Skype 会議の画面共有)。
  • Teams 会話 (アニメーション画像) にアニメーション画像 (Giphys と呼ばれる) を追加する機能を有効または無効にします。
  • organization (コンテンツレーティング) のコンテンツレーティング設定を変更します。 コンテンツの評価により、会話に表示されるアニメーション画像の種類が制限されます。
  • チーム メンバーがカスタマイズ可能なイメージ (カスタム ミームと呼ばれる) をインターネットからチームの会話 (インターネットからカスタマイズ可能なイメージ) に追加する機能を有効または無効にします。
  • チーム メンバーがチーム会話 (編集可能な画像) に編集可能な画像 (ステッカー) を追加する機能を有効または無効にします。
  • チーム メンバーがチャットとチャネル (組織全体のボット) でボットを使用Microsoft Teams機能有効または無効にします。
  • Microsoft Teamsの特定のボットを有効にします。 組織でボットを有効にすると利用可能になる、Teams のヘルプ ボットである T-Bot はこれに含まれません (個々のボット)。
  • チーム メンバーが拡張機能またはタブ (拡張機能またはタブ) を追加する機能を有効または無効にします。
  • Microsoft Teamsの専用ボットのサイドローディング (ボットのサイドローディング) を有効または無効にします。
  • ユーザーがMicrosoft Teams チャネル (チャネル 電子メール) に電子メール メッセージを送信する機能を有効または無効にします。
チーム内のメンバーの役割変更 MemberRoleChanged チーム所有者がチームのメンバーの役割を変更します。 次の値は、ユーザーに割り当てられたロールの種類を示します。

1 - メンバー ロールを示します。
2 - 所有者ロールを示します。
3 - ゲスト ロールを意味します。

Members プロパティには、organizationの名前とメンバーのメール アドレスも含まれます。
チームの設定の変更 TeamSettingChanged 次のアクティビティがチームの所有者により実行されると、TeamSettingChanged 操作が記録されます。 これらのアクティビティごとに、監査ログの検索結果の [項目 ] 列に変更された設定の説明 (かっこで囲んで表示) が表示されます。
  • チームのアクセスの種類を変更します。 Teams は、プライベートまたはパブリック (チーム アクセスの種類) として設定できます。 チームが非公開 (既定の設定) の場合、ユーザーはチームには招待状でのみアクセスでき暗ます。 チームが公開されている場合、誰でもチームにアクセスできます。
  • チームの情報分類 (チーム分類) を変更します。 たとえば、チーム データは、事業影響度高、事業影響度中、事業影響度低として分類できます。
  • チームの名前 (チーム名) を変更します。
  • チームの説明 (チームの説明) を変更します。
  • チーム設定に加えられた変更。 これらの設定にアクセスするには、チーム所有者がチームを右クリックし、[ チームの管理] を選択し、[ 設定 ] タブを選択します。これらのアクティビティの場合、変更された設定の名前は、監査ログ検索結果の [項目] 列に表示されます。
秘密度ラベルを変更しました SensitivityLabelChanged ユーザーが Teams 会議で秘密度ラベルを変更しました。
チャットを作成 しました 1, 6 ChatCreated Teams チャットが作成されました。
チームの作成 TeamCreated ユーザーがチームを作成しました。
メッセージを削除しました 2 MessageDeleted チャットまたはチャネル内のメッセージが削除されました。
すべてのorganizationアプリを削除しました DeletedAllOrganizationApps カタログからすべてのorganization アプリを削除しました。
削除されたアプリ AppDeletedFromCatalog アプリがカタログから削除されました。
チャネルの削除 ChannelDeleted ユーザーがチームからチャネルを削除しました。
チームの削除 TeamDeleted チーム所有者がチームを削除しました。
Teams の URL リンクを含むメッセージを編集しました MessageEditedHasLink ユーザーがメッセージを編集し、Teams で URL リンクを追加します。
エクスポートされたメッセージ 1,2 MessagesExported チャットまたはチャネル メッセージがエクスポートされました。
エクスポートされた録音 1 RecordingExported チャットの記録がエクスポートされました。
エクスポートされたトランスクリプト 1 TranscriptsExported チャットトランスクリプトがエクスポートされました。
共有チャネル 3 への招待を検証できませんでした FailedValidation ユーザーは共有チャネルへの招待に応答しますが、招待の検証に失敗しました。
フェッチされたチャット 1 ChatRetrieved Microsoft Teams チャットが取得されました。
メッセージのホストされているすべてのコンテンツをフェッチしました1 MessageHostedContentsListed 画像やコード スニペットなど、メッセージ内のすべてのホストされたコンテンツが取得されました。
アプリをインストールしました AppInstalled アプリがインストールされました。
カードに対して実行されたアクション PerformedCardAction ユーザーがチャット内のアダプティブ カードに対してアクションを実行しました。 アダプティブ カードは、通常、ボットによって使用され、チャットでの情報と対話の豊富な表示を可能にします。

手記:監査ログでは、チャット内のアダプティブ カードに対するインライン入力アクションのみを使用できます。 たとえば、ユーザーがポーリング ボットによって生成されたアダプティブ カードのチャネル会話でポーリング応答を送信するとします。 ダイアログを開く "結果の表示" などのユーザー アクションや、ダイアログ内のユーザー アクションは監査ログでは使用できません。
新しいメッセージ 1、6、8 を投稿しました MessageSent 新しいメッセージがチャットまたはチャネルに投稿されました。
チャットで AI によって生成されたノートを設定する AINotesUpdate AI によって生成されたノートは、グループ チャット用に設定されています。
ライブ会議で AI によって生成されたメモを設定する LiveNotesUpdate AI によって生成されたノートは、ライブ会議用に設定されています。
発行済みアプリ AppPublishedToCatalog アプリがカタログに追加されました。
メッセージの読み取り 1 MessageRead チャットまたはチャネルのメッセージが取得されました。
メッセージのホストされたコンテンツを読み取る 1 MessageHostedContentRead イメージやコード スニペットなどのメッセージ内のホストされたコンテンツが取得されました。
チームからのボットの削除 BotRemovedFromTeam ユーザーがチームからボットを削除しました。
コネクタの削除 ConnectorRemoved ユーザーは、チャネルからコネクタを削除します。
メンバー 6、8 を削除しました MemberRemoved チームの所有者が、チーム、チャネル、またはグループ チャットからメンバーを削除しました。
秘密度ラベルを削除しました SensitivityLabelRemoved ユーザーが Teams 会議から秘密度ラベルを削除しました。
チーム チャネル 3 の共有を削除しました TerminatedSharing チームまたはチャネル所有者は、共有チャネルの共有を無効にしました。
チーム チャネル 3 の共有を復元しました SharingRestored チームまたはチャネル所有者は、共有チャネルの共有を再度有効にします。
タブの削除 TabRemoved ユーザーがチャネルからタブを削除しました。
共有チャネル 3 の招待に応答しました InviteeResponded ユーザーが共有チャネルの招待に応答しました。
共有チャネル 3 への招待者の応答に応答しました ChannelOwnerResponded チャネル所有者が、共有チャネルの招待に応答したユーザーからの応答に応答しました。
取得されたメッセージ 1 MessagesListed チャットまたはチャネルからのメッセージが取得されました。
Teams で URL リンクを含むメッセージを送信しました MessageCreatedHasLink ユーザーは、Teams で URL リンクを含むメッセージを送信します。
メッセージ作成用に送信された変更通知 1 MessageCreatedNotification サブスクライブされたリスナー アプリケーションに新しいメッセージを通知する変更通知が送信されました。
メッセージ削除の変更通知を送信 しました 1 MessageDeletedNotification サブスクライブされたリスナー アプリケーションに削除されたメッセージを通知する変更通知が送信されました。
メッセージ更新プログラム 1 の送信された変更通知 MessageUpdatedNotification 更新されたメッセージをサブスクライブしているリスナー アプリケーションに通知するために、変更通知が送信されました。
共有チャネルの招待を送信 しました 3 InviteSent チャネル所有者またはメンバーが共有チャネルに招待を送信します。 チャネル ポリシーが外部ユーザーとチャネルを共有するように構成されている場合は、共有チャネルへの招待をorganization外のユーザーに送信できます。
メッセージ変更通知をサブスクライブ しました 1 SubscribedToMessages メッセージの変更通知を受け取るために、リスナー アプリケーションによってサブスクリプションが作成されました。
アンインストールされたアプリ AppUninstalled アプリがアンインストールされました。
更新されたアプリ AppUpdatedInCatalog カタログでアプリが更新されました。
チャット 1 を更新しました ChatUpdated Teams チャットが更新されました。
メッセージ 1 を更新しました MessageUpdated チャットまたはチャネルのメッセージが更新されました。
コネクタの更新 ConnectorUpdated ユーザーがチャネルのコネクタを変更しました。
タブの更新 TabUpdated ユーザーがチャネルのタブを変更しました。
アップグレードされたアプリ AppUpgraded アプリがカタログの最新バージョンにアップグレードされました。
Teams へのユーザーのサインイン TeamsSessionStarted ユーザーが Microsoft Teams クライアントにサインインしました。 このイベントは、トークン更新アクティビティをキャプチャしません。
投稿された新しいメッセージ 3,4,6, 8 MessageSent 新しいメッセージがチャットまたはチャネルに投稿されました。

注:

1 このイベントの監査レコードは、Microsoft Graph APIを呼び出して操作を実行した場合にのみ記録されます。 Teams クライアントで操作が実行された場合、監査レコードはログに記録されません
2 このイベントは監査 (Premium) でのみ使用できます。 つまり、これらのイベントが監査ログに記録される前に、ユーザーに適切なライセンスを割り当てる必要があります。 監査 (Premium) でのみ使用できるアクティビティの詳細については、「 Microsoft Purview の監査 (Premium)」を参照してください。 監査 (プレミアム) のライセンス要件については、「Microsoft 365 での監査ソリューション」を参照してください。
3 このイベントはパブリック プレビュー段階です。
4このイベントは、ゲスト、フェデレーション ユーザー、匿名ユーザーが存在する場合にのみ、チャット用に生成されます。
5 このイベントは、現在、Government Community Cloud (GCC)、Government Community Cloud High (GCC-High)、および国防総省 (DoD) 組織では利用できません。
6 このイベントは、フェデレーション チャットに参加しているすべてのテナントに含まれます。
7 このイベントには、1 対 1 のフェデレーション チャットの参加ドメイン情報があります。
8 このイベントは、organizationによって管理されている外部 Teams ユーザーと、organizationによって管理されていない外部 Teams ユーザーとの間のすべてのチャット会話に含まれます。
9 このイベントは現在、Government Community Cloud (GCC) では利用できませんが、Government Community Cloud High (GCC-High) および国防総省 (DoD) 組織で利用できます。

Microsoft Teams 医療活動アクティビティ

組織で Microsoft Teams の 患者用アプリケーション を使用している場合は、患者アプリの使用に関連するアクティビティの監査ログを検索できます。 患者アプリをサポートするように使用環境が構成されている場合、これらのアクティビティの追加アクティビティグループは、アクティビティ 選択リストに表示されます。

アクティビティ選択リスト内の Microsoft Teams 医療活動 アクティビティ。

患者アプリのアクティビティの説明については、患者アプリの監査ログをご覧ください。

Microsoft Teams Shifts アクティビティ

次の表に、Microsoft 365 監査ログに記録されるMicrosoft Teamsアクティビティの Shift アプリの一覧を示します。 組織で Microsoft Teams の Shifts アプリを使用している場合は、Shifts アプリの使用に関連するアクティビティの監査ログを検索できます。 Shifts アプリをサポートするように使用環境が構成されている場合、これらのアクティビティの追加アクティビティ グループは、[アクティビティ] 選択リストに表示されます。

フレンドリ名 操作​​ 説明
スケジュール グループを追加しました ScheduleGroupAdded ユーザーがスケジュールに新しいスケジュール グループを正常に追加しました。
編集済みスケジュール グループ ScheduleGroupEdited ユーザーがスケジュール グループを正常に編集しました。
削除されたスケジュール グループ ScheduleGroupDeleted ユーザーがスケジュールからスケジュール グループを正常に削除しました。
取り下げスケジュール ScheduleWithdrawn ユーザーが発行されたスケジュールを正常に取り消しました。
シフトを追加しました ShiftAdded ユーザーがシフトを正常に追加しました。
編集されたシフト ShiftEdited ユーザーがシフトを正常に編集しました。
削除されたシフト ShiftDeleted ユーザーがシフトを正常に削除しました。
休暇を追加しました TimeOffAdded ユーザーがスケジュールに基づいて休暇を正常に追加しました。
編集済みの休暇 TimeOffEdited ユーザーが休暇を正常に編集しました。
削除された休暇 TimeOffDeleted ユーザーが休暇を正常に削除しました。
オープン シフトを追加しました OpenShiftAdded ユーザーがスケジュール グループにオープン シフトを正常に追加しました。
編集済みのオープン シフト OpenShiftEdited ユーザーがスケジュール グループのオープン シフトを正常に編集しました。
削除されたオープン シフト OpenShiftDeleted ユーザーがスケジュール グループからオープン シフトを正常に削除しました。
共有スケジュール ScheduleShared ユーザーは、日付範囲のチーム スケジュールを正常に共有しました。
時刻クロックを使用してクロックインする ClockedIn ユーザーは、タイム クロックを使用して正常にクロックインします。
タイム クロックを使用して退勤 ClockedOut ユーザーは、タイム クロックを使用して正常に退勤します。
タイム クロックを使用して中断を開始しました BreakStarted ユーザーは、アクティブなタイム クロック セッション中に中断を正常に開始します。
タイム クロックを使用して中断を終了しました BreakEnded ユーザーは、アクティブなタイム クロック セッション中に中断を正常に終了します。
タイム クロック エントリを追加しました TimeClockEntryAdded ユーザーがタイム シートに新しい手動の時刻クロック エントリを正常に追加しました。
編集された時刻クロック エントリ TimeClockEntryEdited ユーザーがタイム シートのタイム クロック エントリを正常に編集しました。
削除された時刻クロック エントリ TimeClockEntryDeleted ユーザーがタイム シートのタイム クロック エントリを正常に削除しました。
シフト要求を追加しました RequestAdded ユーザーがシフト要求を追加しました。
シフト要求に応答しました RequestRespondedTo ユーザーがシフト要求に応答しました。
キャンセルされたシフト要求 RequestCancelled ユーザーがシフト要求を取り消しました。
スケジュール設定の変更 ScheduleSettingChanged ユーザーが Shifts 設定の設定を変更します。
従業員の統合を追加しました WorkforceIntegrationAdded Shifts アプリは、サード パーティのシステムと統合されています。
シフトオフメッセージを受け入れる OffShiftDialogAccepted ユーザーは、シフト時間が経過した後に Teams にアクセスするためのオフシフト メッセージを確認します。

Updates アクティビティのMicrosoft Teams

次の表Updates、Microsoft 365 監査ログに記録されるアクティビティMicrosoft Teamsアプリの一覧です。 organizationがMicrosoft TeamsでUpdates アプリを使用している場合は、Updates アプリを使用して に関連するアクティビティを監査ログで検索できます。 Updatesアプリをサポートするように環境が構成されている場合は、これらのアクティビティの追加のアクティビティ グループを [アクティビティ ピッカー] の一覧で使用できます。

フレンドリ名 操作​​ 説明
更新要求を作成する CreateUpdateRequest ユーザーが更新要求を正常に作成しました。
更新要求を編集する EditUpdateRequest ユーザーが要求編集ウィザードを開き、[ 保存] を選択して変更を確認して保存するか、更新要求を直接有効または無効にします。
更新プログラムを送信する SubmitUpdate ユーザーが更新プログラムを正常に送信しました。
1 つの更新プログラムの詳細を表示する ViewUpdate ユーザーが更新プログラムの詳細を表示します。

Microsoft To Do アクティビティ

次の表は、Microsoft 365 監査ログに記録される Microsoft To Do のアクティビティの一覧です。 Microsoft To Do の詳細については、「Microsoft To Do のサポート」を参照してください。

注:

Microsoft To Do アクティビティの監査イベントには、監査 (Premium) の権利を含む関連する Microsoft 365 ライセンスに加えて、有料のProject Plan 1 ライセンス (以上) が必要です。

フレンドリ名 操作​​ 説明
フォルダーの共有リンクを受け入れた AcceptedSharingLinkOnFolder フォルダーの共有リンクを受け入れた。
作成された添付ファイル AttachmentCreated タスクの添付ファイルが作成されました。
添付ファイルの更新 AttachmentUpdated 添付ファイルが更新されました。
添付ファイルが削除されました AttachmentDeleted 添付ファイルが削除されました。
フォルダー共有リンク共有 FolderSharingLinkShared フォルダーの共有リンクを作成しました。
リンクされたエンティティが削除されました LinkedEntityDeleted リンクされたエンティティが削除されました。
リンクされたエンティティが更新されました LinkedEntityUpdated リンクされたエンティティが更新されました。
作成されたリンクされたエンティティ LinkedEntityCreated タスクのリンクされたエンティティが作成されました。
作成された SubTask SubTaskCreated サブタスクが作成されました。
SubTask が削除されました SubTaskDeleted サブタスクが削除されました。
SubTask が更新されました SubTaskUpdated サブタスクが更新されました。
作成されたタスク TaskCreated タスクが作成されました。
タスクが削除されました TaskDeleted タスクが削除されました。
タスク読み取り TaskRead タスクが読み取られました。
更新されたタスク TaskUpdated タスクが更新されました。
TaskList が作成されました TaskListCreated タスク リストが作成されました。
TaskList の読み取り TaskListRead タスク リストが読み取られました。
TaskList が更新されました TaskListUpdated タスク リストが更新されました。
招待されたユーザー UserInvited フォルダーにユーザーを招待しました。

Microsoft Viva Insightsアクティビティ

Viva Insightsでは、グループがorganization全体でどのように共同作業するかについての分析情報が提供されます。 次の表は、Viva Insightsで管理者ロールまたはアナリスト ロールが割り当てられているユーザーによって実行されるアクティビティの一覧です。 アナリストの役割が割り当てられたユーザーは、すべてのサービス機能に完全なアクセス権を持ち、製品を使用して分析を行います。 管理者ロールが割り当てられたユーザーは、プライバシー設定とシステムの既定値を構成でき、Viva Insightsの組織データを準備、アップロード、検証できます。 詳細については、「Microsoft Viva Insightsの概要」を参照してください。

フレンドリ名 操作​​ 説明
OData リンクのアクセス AccessedOdataLink アナリストはクエリの OData リンクにアクセスしました。
デリゲート アクセスを追加しました AddDelegates ユーザーは、organization分析情報または Copilot ダッシュボードのデリゲート アクセスを追加しました。
クエリのキャンセル CanceledQuery アナリストはクエリの実行をキャンセルしました。
会議の除外の作成 MeetingExclusionCreated アナリストは会議の除外ルールを作成しました。
結果の削除 DeletedResult アナリストはクエリ結果を削除しました。
レポートのダウンロード DownloadedReport アナリストはクエリ結果のファイルをダウンロードしました。
クエリの実行 ExecutedQuery アナリストはクエリを実行しました。
デリゲート アクセスを削除しました RemoveDelegates ユーザーがorganization分析情報または Copilot ダッシュボードのデリゲート アクセスを削除しました。
データ アクセス設定の更新 UpdatedDataAccessSetting 管理者はデータ アクセス設定を更新しました。
プライバシー設定の更新 UpdatedPrivacySetting 管理更新されたプライバシー設定 (最小グループ サイズなど)。
組織データのアップロード UploadedOrgData 管理者は組織データのファイルをアップロードしました。
ユーザーが*にログインしました UserLoggedIn ユーザーが自分の Microsoft 365 ユーザー アカウントにサインインしました。
ユーザーが*からログオフしました UserLoggedOff ユーザーが Microsoft 365 ユーザー アカウントからサインアウトしました。
参照の表示 ViewedExplore アナリストは、1 つまたは複数の参照ページ タブで視覚エフェクトを表示しました。

注:

*Microsoft Entraサインインおよびサインオフ アクティビティ イベントは、ユーザーがサインインするときに作成されます。 このアクティビティは、organizationでViva Insightsがオンになっていない場合でもログに記録されます。 ユーザー サインイン アクティビティの詳細については、「Microsoft Entra IDでのサインイン ログ」を参照してください。

個人的な分析情報のアクティビティ

次の表に、Microsoft 365 監査ログに記録される個人用分析情報のアクティビティを示します。 個人の分析情報の詳細については、「個人分析情報の管理 ガイド」を参照してください。

フレンドリ名 操作​​ 説明
更新された組織の MyAnalytics 設定 UpdatedOrganizationMyAnalyticsSettings 管理は、個人の分析情報のorganizationレベルの設定を更新します。
更新されたユーザーの MyAnalytics 設定 UpdatedUserMyAnalyticsSettings 管理は、個人分析情報のユーザー設定を更新します。

検疫アクティビティ

次の表に、監査ログで検索できる検疫アクティビティを示します。 検疫の詳細については、「メール メッセージの検疫」を参照してください。

フレンドリ名 操作​​ 説明
削除された検疫メッセージ QuarantineDeleteMessage 管理者またはユーザーが、有害と見なされたメール メッセージを削除しました。
検疫メッセージのリリース要求が拒否されました QuarantineReleaseRequestDeny 有害と見なされた電子メール メッセージに対するユーザーからのリリース要求に対する管理者拒否。
エクスポートされた検疫メッセージ QuarantineExport 管理者またはユーザーが、有害と見なされるメール メッセージをエクスポートしました。
プレビューされた検疫メッセージ QuarantinePreview 管理者またはユーザーが、有害と見なされるメール メッセージをプレビューしました。
解放された検疫メッセージ QuarantineRelease 管理者またはユーザーが、有害と見なされるメール メッセージを検疫からリリースしました。
リリース要求検疫メッセージ QuarantineReleaseRequest ユーザーは、有害と見なされる電子メール メッセージのリリースを要求しました。
表示された検疫メッセージのヘッダー QuarantineViewHeader 管理者またはユーザーは、有害と見なされた電子メール メッセージをヘッダーに表示しました。

アクティビティを報告する

次の表に、Microsoft 365 監査ログに記録される使用状況レポートのアクティビティを示します。

フレンドリ名 操作名 説明
使用状況レポートのプライバシー設定が更新されました UpdateUsageReportsPrivacySetting 管理者が使用状況レポートのプライバシー設定を更新しました。

アイテム保持ポリシーと保持ラベルのアクティビティ

次の表では、アイテム保持ポリシーと保持ラベルが作成、再構成、または削除された場合の構成アクティビティについて説明します。

フレンドリ名 操作​​ 説明
変更済みのアダプティブ スコープ メンバーシップ ApplicableAdaptiveScopeChange ユーザー、サイト、またはグループがアダプティブ スコープに追加または削除されました。 これらの変更は、スコープのクエリを実行した結果です。 変更はシステムで行われたため、報告されたユーザーはユーザー アカウントではなく GUID で表示されます。
アイテム保持ポリシーの構成された設定 NewRetentionComplianceRule 管理者が新しいアイテム保持ポリシーの保持設定を構成しました。 保持設定には、アイテムを保持する期間、保持期間が終了した際のアイテムへの処理 (アイテムの削除、保持、またはアイテムの保持と削除など)が含まれます。 このアクティビティは、New-RetentionComplianceRule コマンドレットの実行にも対応します。
作成されたアダプティブ スコープ NewAdaptiveScope 管理者がアダプティブ スコープを作成しました。
作成された保持ラベル NewComplianceTag 管理者が新しい保持ラベルを作成しました。
アイテム保持ポリシーが作成されました NewRetentionCompliancePolicy 管理者が新しいアイテム保持ポリシーを作成しました。
削除されたアダプティブ スコープ RemoveAdaptiveScope 管理者がアダプティブ スコープを削除しました。
アイテム保持ポリシーから削除された設定 RemoveRetentionComplianceRule
管理者がアイテム保持ポリシーの構成設定を削除しました。 ほとんどの場合、このアクティビティは、管理者がアイテム保持ポリシーを削除した場合、または Remove-RetentionComplianceRule コマンドレット を実行した場合に記録されます。
削除された保持ラベル RemovecomplianceTag 管理者が保持ラベルを削除しました。
削除されたアイテム保持ポリシー RemoveRetentionCompliancePolicy
管理者がアイテム保持ポリシーを削除しました。
保持ラベルの規制レコード オプションを有効にする
SetRestrictiveRetentionUI 管理者が Set-RegulatoryComplianceUI コマンドレットを実行したため、管理者は保持ラベルの UI 構成オプションを選択して、コンテンツを規制レコードとしてマークできます。
電子メール アイテムを事前に保持する ExchangeDataProactivelyPreserved アダプティブ保護では、アイテムを Exchange に保持するために保持ラベルが自動的に適用されます。
ファイルを事前に保持する SharePointDataProactivelyPreserved アダプティブ保護では、アイテムを SharePoint または OneDrive に保持するために保持ラベルが自動的に適用されます。
更新済みのアダプティブ スコープ SetAdaptiveScope 管理者が既存のアダプティブ スコープの説明またはクエリを変更しました。
アイテム保持ポリシーの更新された設定 SetRetentionComplianceRule 管理者が既存のアイテム保持ポリシーの保持設定を変更しました。 保持設定には、アイテムを保持する期間、保持期間が終了した際のアイテムへの処理 (アイテムの削除、保持、またはアイテムの保持と削除など)が含まれます。 このアクティビティは、Set-RetentionComplianceRule コマンドレットの実行にも対応しています。
更新された保持ラベル SetComplianceTag 管理者が既存の保持ラベルを更新しました。
更新アイテム保持ポリシー SetRetentionCompliancePolicy 管理者が既存のアイテム保持ポリシーを更新しました。 このイベントをトリガーする更新には、アイテム保持ポリシーが適用されるコンテンツの場所の追加または除外が含まれます。

役割管理アクティビティ

次の表は、管理者がMicrosoft 365 管理センターまたは Azure 管理ポータルで管理者ロールを管理するときにログに記録されるロール管理アクティビティMicrosoft Entra一覧です。

注:

次の表の [操作] 列にリストされている操作名には、ピリオド ( . ) が含まれています。 監査ログの検索、監査保持ポリシーの作成、アラート ポリシーの作成、またはアクティビティ アラートの作成時に PowerShell コマンドで操作を指定する場合は、操作名にピリオドを含める必要があります。 また、操作名を含める場合は、二重引用符 (" ") を使用してください。

フレンドリ名 操作​​ 説明
役割にメンバーが追加されました 役割にメンバーを追加しました。 Microsoft 365 の管理者の役割にユーザーが追加されました。
ディレクトリ ロールからのユーザーの削除 役割からメンバーを削除します。 Microsoft 365 の管理者の役割からユーザーが削除されました。
会社の連絡先情報の設定 会社の連絡先情報を設定します。 組織の会社レベルの連絡先設定が更新されました。 これには、Microsoft 365 によって送信されるサブスクリプション関連のメールのメール アドレスと、サービスに関する技術的な通知が含まれます。

機密情報の種類のアクティビティ

次の表では、 機密情報の種類の作成と更新に関連するアクティビティの監査イベントについて説明します。

フレンドリ名 操作​​ 説明
新しく作成された機密情報の種類 CreateRulePackage/ EditRulePackage* 新しい機密情報の種類が 作成されました。 これには、 既定の SIT をコピーして作成されたすべての SID が含まれます。

: このアクティビティは、監査アクティビティ '作成済みルール パッケージ' または '編集済みルール パッケージ' の下に表示されます。

機密情報の種類を編集しました EditRulePackage 既存の機密情報の種類が編集されました。 これには、パターンの追加/削除、機密情報の種類に関連付けられている正規表現/キーワード (keyword)の編集などの操作が含まれます。

手記: このアクティビティは、監査アクティビティ "編集済みルール パッケージ" の下に表示されます。

機密情報の種類を削除しました EditRulePackage/ RemoveRulePackage 既存の機密情報の種類が削除されました。

手記: このアクティビティは、監査アクティビティ "編集されたルール パッケージ" または "削除されたルール パッケージ" の下に表示されます。

機密ラベル アクティビティ

次の表に、Microsoft Purview によって管理されているサイトとアイテムで 秘密度ラベル を使用した結果のイベントを示します。 アイテムには、ドキュメント、電子メール、予定表イベントが含まれます。 自動ラベル付けポリシーの場合、アイテムにはファイルとスキーマ化されたデータ資産もMicrosoft Purview データ マップに含まれます。

フレンドリ名 操作​​ 説明
サイトに適用された機密ラベル SiteSensitivityLabelApplied グループに接続されていない SharePoint サイトまたは Teams サイトに秘密度ラベルが適用されました。
サイトから削除された機密ラベル SiteSensitivityLabelRemoved グループに接続されていない SharePoint サイトまたは Teams サイトから秘密度ラベルが削除されました。
ファイルに適用された機密ラベル FileSensitivityLabelApplied

SensitivityLabelApplied
Microsoft 365 アプリ、Office for the web、または自動ラベル付けポリシーを使用して、秘密度ラベルがアイテムに適用されました。

このアクティビティの操作は、ラベルの適用方法によって異なります。
- Office for the webまたは自動ラベル付けポリシー (FileSensitivityLabelApplied)
- Microsoft 365 アプリ (SensitivityLabelApplied)
ファイルに適用された機密ラベルの変更 FileSensitivityLabelChanged

SensitivityLabelUpdated
項目に別の秘密度ラベルが適用されました。

このアクティビティの操作は、ラベルの変更方法によって異なります。
- Office for the webまたは自動ラベル付けポリシー (FileSensitivityLabelChanged)
- Microsoft 365 Apps (SensitivityLabelUpdated)
サイトで変更された機密ラベル SiteSensitivityLabelChanged グループに接続されていない SharePoint サイトまたは Teams サイトに、別の秘密度ラベルが適用されました。
ファイルから削除された機密ラベル FileSensitivityLabelRemoved

SensitivityLabelRemoved
Microsoft 365 アプリ、Office for the web、自動ラベル付けポリシー、または Unlock-SPOSensitivityLabelEncryptedFile コマンドレットを使用して、秘密度ラベルがアイテムから削除されました。

このアクティビティの操作は、ラベルが削除された方法によって異なります。
- Office for the webまたは自動ラベル付けポリシー (FileSensitivityLabelRemoved)
- Microsoft 365 アプリ (SensitivityLabelRemoved)

秘密度ラベルの追加の監査情報:

  • Microsoft 365 グループに秘密度ラベルを使用し、そのためグループに接続されている Teams サイトを使用すると、ラベルはMicrosoft Entra IDのグループ管理で監査されます。 詳細については、「Microsoft Entra IDでのログの監査」を参照してください。
  • Teams 会議出席依頼と Teams 会議オプションとチャットに秘密度ラベルを使用する場合は、「 Microsoft Teamsでイベントの監査ログを検索する」を参照してください。
  • Power BI で秘密度ラベルを使用する場合は、「Power BI での秘密度ラベルのスキーマの監査」を参照してください。
  • クラウド アプリのMicrosoft Defenderで秘密度ラベルを使用する場合は、「接続されたアプリの管理」とファイル ガバナンス アクションのラベル付け情報に関するページを参照してください。
  • Microsoft Purview Information Protection クライアントまたはスキャナー、または Microsoft Information Protection (MIP) SDK を使用して秘密度ラベルを適用する場合は、「Azure Information Protection監査ログ リファレンス」を参照してください。

SharePoint リスト アクティビティ

次の表では、ユーザーが SharePoint Online のリストとリストアイテムを操作する際に関連するアクティビティを説明します。 一部の SharePoint アクティビティの監査レコードは、ユーザーがアクションを開始したユーザーまたは管理者に代わってアクティビティを実行したapp@sharepointを示します。 詳細については、「監査レコード内の app@sharepoint ユーザー」を参照してください。

フレンドリ名 操作​​ 説明
リストの作成 ListCreated ユーザーが SharePoint リストを作成しました。
リスト列の作成 ListColumnCreated ユーザーが SharePoint リスト列を作成しました。 リスト列は、1 つまたは複数の SharePoint リストに関連付けられている列です。
リスト コンテンツ タイプの作成 ListContentTypeCreated ユーザーがリスト コンテンツ タイプを作成しました。 リスト コンテンツ タイプは、1 つまたは複数の SharePoint リストに関連付けられているコンテンツ タイプです。
リスト アイテムの作成 ListItemCreated ユーザーが既存の SharePoint リストにアイテムを作成しました。
サイト列の作成 SiteColumnCreated ユーザーが SharePoint サイト列を作成しました。 サイト列とは、リストに関連付けられていない列のことです。 サイト列は、特定の Web のすべてのリストで使用できるメタデータ構造でもあります。
サイト コンテンツ タイプの作成 サイトの ContentType の作成 ユーザーがサイト コンテンツ タイプを作成しました。 サイト コンテンツ タイプは、親サイトに関連付けられているコンテンツ タイプです。
リストの削除 ListDeleted ユーザーが SharePoint リストを削除しました。
リスト列の削除 削除されたリスト列 ユーザーが SharePoint リスト列を削除しました。
リスト コンテンツ タイプの削除 ListContentTypeDeleted ユーザーがリスト コンテンツ タイプを削除しました。
リスト アイテムの削除 削除されたリスト アイテム ユーザーが SharePoint リスト アイテムを削除しました。
サイト列の削除 SiteColumnDeleted ユーザーが SharePoint サイト列を削除しました。
サイト コンテンツ タイプの削除 SiteContentTypeDeleted ユーザーがサイト コンテンツ タイプを削除しました。
リスト アイテムのリサイクル ListItemRecycled ユーザーが SharePoint リスト アイテムをごみ箱に移動しました。
リストの復元 ListRestored ユーザーが SharePoint リストをごみ箱から復元しました。
リスト アイテムの復元 ListItemRestored ユーザーが SharePoint リスト アイテムをごみ箱から復元しました。
リストの更新 ListUpdated ユーザーが 1 つ以上のプロパティを変更して SharePoint リストを更新しました。
リスト列の更新 ListColumnUpdated ユーザーが 1 つ以上のプロパティを変更して SharePoint リスト列を更新しました。
リスト コンテンツ タイプの更新 ListContentTypeUpdated ユーザーが 1 つ以上のプロパティを変更してリスト コンテンツ タイプを更新しました。
リスト アイテムの更新 ListItemUpdated ユーザーが 1 つ以上のプロパティを変更して SharePoint リスト アイテムを更新しました。
更新されたリスト ビュー ListViewUpdated ユーザーは、1 つ以上のプロパティを変更して SharePoint リスト ビューを更新しました。
サイト列の更新 SiteColumnUpdated ユーザーが 1 つ以上のプロパティを変更して SharePoint サイト列を更新しました。
サイト コンテンツ タイプの更新 SiteContentTypeUpdated ユーザーが 1 つ以上のプロパティを変更してサイト コンテンツ タイプを更新しました。

共有アクティビティとアクセス要求アクティビティ

次の表では、SharePoint Online および OneDrive for Business でのユーザー共有とアクセス要求アクティビティを説明します。 共有イベントの場合、[結果] の [詳細] 列で、アイテムを共有したユーザーまたはグループの名前と、そのユーザーまたはグループが組織のメンバーかゲストかが識別されます。 詳細については、「監査ログで共有監査を使用する」を参照してください。

注:

ユーザーは、ユーザー オブジェクトの UserType プロパティに基づいて メンバー または ゲスト にすることができます。 メンバーは通常従業員であり、ゲストは通常、organization外のコラボレーターです。 ユーザーが共有の招待を受け入れると (まだorganizationに含まれていない)、organizationのディレクトリにゲスト アカウントが作成されます。 ゲスト ユーザーがディレクトリにアカウントを持った後は、リソースを直接共有できます (招待は必要ありません)。

フレンドリ名 操作​​ 説明
サイト コレクションへのアクセス許可レベルの追加 PermissionLevelAdded サイト コレクションにアクセス許可レベルが追加されました。
アクセス要求の承諾 AccessRequestAccepted サイト、フォルダー、またはドキュメントに対するアクセス要求が承諾されて、要求したユーザーがアクセスを許可されました。
共有への招待の承諾 SharingInvitationAccepted ユーザー (メンバーまたはゲスト) は共有の招待を受け入れ、リソースへのアクセスを許可されました。 このイベントには、招待されたユーザーと、招待を受け入れるために使用されたメール アドレスに関する情報が含まれます (異なる場合があります)。 このアクティビティには、多くの場合、リソースへのアクセス権がユーザーに付与された方法を説明する 2 つ目のイベントが伴います。たとえば、リソースへのアクセス権を持つグループにユーザーを追加するなどです。
共有の招待がブロックされました SharingInvitationBlocked ターゲット ユーザーのドメインに基づいて外部共有を許可または拒否する外部共有ポリシーが原因で、organizationのユーザーから送信された共有招待がブロックされます。 この場合、次の理由で共有の招待がブロックされました。
ターゲット ユーザーのドメインが、許可されたドメインの一覧に含まれていない。
または
ターゲット ユーザーのドメインが、ブロックするドメインの一覧に含まれている。
ドメインに基づく外部共有の許可またはブロックの詳細については、「SharePoint Online and OneDrive for Business での制限付きドメイン共有」を参照してください。
アクセス要求の作成 AccessRequestCreated アクセス許可がないサイト、フォルダー、またはドキュメントに対するアクセスをユーザーが要求しました。
会社の共有可能なリンクの作成 CompanyLinkCreated ユーザーは、リソースへの会社全体のリンクを作成しました。 会社全体のリンクは、organizationのメンバーのみが使用できます。 ゲストは使用できません。
匿名リンクの作成 AnonymousLinkCreated ユーザーがリソースへの匿名リンクを作成しました。 このリンクを持つすべてのユーザーは、認証を受けなくてもリソースにアクセスできます。
セキュリティで保護されたリンクの作成 SecureLinkCreated セキュリティで保護された、このアイテムへの共有リンクが作成されました。
共有への招待の作成 SharingInvitationCreated ユーザーが、組織のディレクトリ内に含まれていないユーザーと SharePoint Online または OneDrive for Business のリソースを共有しました。
セキュリティで保護されたリンクの削除 SecureLinkDeleted セキュリティで保護されたリンクが削除されました。
アクセス要求の拒否 AccessRequestDenied サイト、フォルダー、またはドキュメントに対するアクセスが拒否されました。
会社の共有可能なリンクが削除されました CompanyLinkRemoved ユーザーは、リソースへの会社全体のリンクを削除しました。 リンクを使用してリソースにアクセスできなくなります。
匿名リンクの削除 AnonymousLinkRemoved ユーザーがリソースへの匿名リンクを削除しました。 リンクを使用してリソースにアクセスできなくなります。
ファイル、フォルダー、サイトが共有されました SharingSet ユーザー (メンバーまたはゲスト) が、組織のディレクトリ内のユーザーと SharePoint または OneDrive for Business のファイル、フォルダー、またはサイトを共有しました。 このアクティビティの [詳細] 列の値で、リソースを共有したユーザー名と、そのユーザーがメンバーかゲストかが識別されます。

多くの場合、このアクティビティには、リソースに対してどのようなアクセス権がユーザーに付与されたか、という 2 つ目のイベントが伴います。 たとえば、リソースへのアクセス権を持つグループへのユーザーの追加などです。
アクセス要求の更新 AccessRequestUpdated アイテムに対するアクセス要求が更新されました。
匿名リンクの更新 AnonymousLinkUpdated ユーザーがリソースへの匿名リンクを更新しました。 更新されたフィールドは、検索結果をエクスポートするときに EventData プロパティに含まれます。
共有への招待の更新 SharingInvitationUpdated 外部共有への招待が更新されました。
匿名リンクの使用 AnonymousLinkUsed 匿名ユーザーは、匿名リンクを使用してリソースにアクセスしました。 ユーザーの ID が不明である可能性がありますが、ユーザーの IP アドレスなど、他の詳細を取得できます。
ファイル、フォルダー、またはサイトの共有解除 SharingRevoked ユーザー (メンバーまたはゲスト) が、以前別のユーザーと共有していたファイル、フォルダー、またはサイトの共有を解除しました。
会社の共有可能なリンクの使用 CompanyLinkUsed ユーザーが全社的なリンクを使用してリソースにアクセスしました。
セキュリティで保護されたリンクの使用 SecureLinkUsed ユーザーが、セキュリティで保護されたリンクを使用しました。
セキュリティで保護されたリンクへのユーザーの追加 AddedToSecureLink ユーザーが、セキュリティで保護された共有リンクを使用できるエンティティの一覧に追加されました。
セキュリティで保護されたリンクからのユーザーの削除 RemovedFromSecureLink ユーザーが、セキュリティで保護された共有リンクを使用できるエンティティの一覧から削除されました。
共有への招待の取り消し SharingInvitationRevoked ユーザーが、リソースの共有への招待を取り消しました。

サイト管理アクティビティ

次の表では、SharePoint Online 内のサイト管理タスクによって発生するイベントを一覧表示します。 前に説明したように、一部の SharePoint アクティビティの監査レコードは、ユーザーがアクションを開始したユーザーまたは管理者に代わってアクティビティを実行したapp@sharepointを示します。 詳細については、「監査レコード内の app@sharepoint ユーザー」を参照してください。

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。

フレンドリ名 操作​​ 説明
許可されるデータの場所の追加 AllowedDataLocationAdded SharePoint 管理者またはグローバル管理者が、複数地域環境で許可されるデータの場所を追加しました。
適用除外ユーザー エージェントの追加 ExemptUserAgentSet SharePoint 管理者またはグローバル管理者が、SharePoint 管理センターで適用除外ユーザー エージェントの一覧にユーザー エージェントを追加しました。
地理的位置の管理者の追加 GeoAdminAdded SharePoint 管理者またはグローバル管理者が、地理的位置の管理者としてユーザーを追加しました。
ユーザーに対するグループ作成の許可 AllowGroupCreationSet サイトの管理者または所有者がアクセス許可レベルをサイトに追加しました。そのアクセス許可が割り当てられているユーザーは、そのサイトのグループを作成することが許可されます。
サイトの地域の移動の取り消し SiteGeoMoveCancelled SharePoint またはグローバル管理者が SharePoint または OneDrive サイトの地域の移動を正常にキャンセルしました。 複数地域機能を使用すると、組織が複数の Microsoft データセンターの場所にまたがることができます。これは「地域」と呼ばれます。 詳細については、「OneDrive および SharePoint Online の複数地域機能」を参照してください。
共有ポリシーの変更 SharingPolicyChanged SharePoint またはグローバル管理者が、Microsoft 365 管理センター、SharePoint 管理センター、または SharePoint Online 管理シェルを使用して SharePoint 共有ポリシーを変更しました。 組織の共有ポリシーの設定が変更されると、ログに記録されます。 変更されたポリシーは、イベント レコードの詳細なプロパティの ModifiedProperties フィールドで識別されます。
デバイス アクセス ポリシーの変更 DeviceAccessPolicyChanged SharePoint またはグローバル管理者が、組織の非管理対象デバイス ポリシーを変更しました。 このポリシーは、組織に参加していないデバイスからの SharePoint、OneDrive、および Microsoft 365 へのアクセスを制御します。 このポリシーを構成するには、Enterprise Mobility + Security サブスクリプションが必要です。 詳細については、「非管理対象デバイスからのアクセスを制御する」を参照してください。
適用除外ユーザー エージェントの変更 CustomizeExemptUsers SharePoint またはグローバル管理者は、SharePoint 管理センターで除外ユーザー エージェントの一覧をカスタマイズしました。 インデックスを作成する Web ページ全体の受信の対象外とするユーザー エージェントを指定できます。 つまり、除外として指定したユーザー エージェントが InfoPath フォームを検出すると、フォームは Web ページ全体ではなく XML ファイルとして返されます。 これにより、InfoPath フォームのインデックス作成の時間が短縮されます。
ネットワーク アクセス ポリシーの変更 NetworkAccessPolicyChanged SharePoint またはグローバル管理者は、SharePoint 管理センターまたは SharePoint Online PowerShell を使用して、場所ベースのアクセス ポリシー (信頼されたネットワーク境界とも呼ばれます) を変更しました。 この種類のポリシーは、指定した承認された IP アドレス範囲に基づいて、organization内の SharePoint および OneDrive リソースにアクセスできるユーザーを制御します。 詳細については、「 ネットワークの場所に基づいて SharePoint Online と OneDrive データへのアクセスを制御する」を参照してください。
完了した移行ジョブ MigrationJobCompleted 移行ジョブが正常に完了しました。
サイトの地域の移動の完了 SiteGeoMoveCompleted 組織のグローバル管理者がスケジュールしたサイトの地域の移動が正常に完了しました。 複数地域機能を使用すると、組織が複数の Microsoft データセンターの場所にまたがることができます。これは「地域」と呼ばれます。 詳細については、「OneDrive および SharePoint Online の複数地域機能」を参照してください。
送信接続の作成 SendToConnectionAdded SharePoint またはグローバル管理者は、SharePoint 管理センターのレコード管理ページに新しい Send To 接続を作成します。 送信先接続では、ドキュメントのリポジトリまたはレコード センターの設定を指定します。 送信先接続を作成する際、コンテンツ オーガナイザーはドキュメントを指定した場所に送信できます。
サイト コレクションの作成 SiteCollectionCreated SharePoint 管理者または全体管理者が、SharePoint Online 組織でサイト コレクションを作成したか、ユーザーが OneDrive for Business サイトをプロビジョニングしました。
孤立したハブ サイトの削除 HubSiteOrphanHubDeleted SharePoint 管理者またはグローバル管理者が、孤立したハブサイトを削除しました。これは、それに関連付けられているサイトがないハブサイトです。 孤立したハブは、元のハブサイトの削除が原因である可能性が大きいです。
送信接続の削除 SendToConnectionRemoved SharePoint 管理者または全体管理者が、SharePoint 管理センターの [レコード管理] ページで、送信接続を削除しました。
サイトの削除 SiteDeleted サイト管理者がサイトを削除しました。
ドキュメント プレビューの有効化 PreviewModeEnabledSet サイト管理者がサイトのドキュメントのプレビューを有効にしました。
レガシー ワークフローの有効化 LegacyWorkflowEnabledSet サイト管理者または所有者が、SharePoint 2013 ワークフロー タスク コンテンツの種類をサイトに追加します。 グローバル管理者は、SharePoint 管理センターの組織全体のワーク フローを有効にすることもできます。
オンデマンドでの Office の有効化 OfficeOnDemandSet サイト管理者は、Office オンデマンドを有効にします。これによりユーザーは、Office デスクトップ アプリケーションの最新バージョンにアクセスできます。 Office オンデマンドは SharePoint 管理センターで有効にされ、インストール済みのすべての Office アプリケーションを含む Microsoft 365 サブスクリプションを必要とします。
人の検索の検索先の有効化 PeopleResultsScopeSet サイト管理者が、サイトの人の検索の検索先を作成しました。
RSS フィードの有効化 NewsFeedEnabledSet サイト管理者または所有者は、サイトの RSS フィードを有効にします。 グローバル管理者は、SharePoint 管理センターで組織全体の RSS フィードを有効にできます。
サイトのハブサイトへの結合 HubSiteJoined サイト所有者が、サイトをハブサイトに関連付けました。
サイト コレクション クォータの変更 SiteCollectionQuotaModified サイト管理者は、サイト コレクションのクォータを変更します。
ハブサイトの登録 HubSiteRegistered SharePoint またはグローバル管理者がハブ サイトを作成しました。 その結果、サイトがハブ サイトとして登録されます。
許可されるデータの場所の削除 AllowedDataLocationDeleted SharePoint 管理者またはグローバル管理者が、複数地域環境で許可されるデータの場所を削除しました。
地理的位置の管理者の削除 GeoAdminDeleted SharePoint 管理者またはグローバル管理者が、ユーザーの地理的位置の管理者の役割を削除しました。
サイトの名前変更 SiteRenamed サイトの管理者または所有者がサイトの名前を変更しました
サイトの地域の移動のスケジュール設定 SiteGeoMoveScheduled SharePoint またはグローバル管理者が SharePoint または OneDrive サイトの地域の移動を正常にスケジュール設定しました。 複数地域機能を使用すると、組織が複数の Microsoft データセンターの場所にまたがることができます。これは「地域」と呼ばれます。 詳細については、「OneDrive および SharePoint Online の複数地域機能」を参照してください。
ホスト サイトの設定 HostSiteSet SharePoint 管理者または全体管理者が、個人用サイトまたは OneDrive for Business サイトをホストするために指定されたサイトを変更しました。
地理的位置のストレージ クォータの構成 GeoQuotaAllocated SharePoint 管理者またはグローバル管理者が、複数地域環境での地理的位置のストレージ クォータを構成しました。
サイトのハブサイトへの結合解除 HubSiteUnjoined サイト所有者が、ハブサイトへのサイトの関連付けを解除しました。
ハブサイトの登録解除 HubSiteUnregistered SharePoint またはグローバル管理者が、ハブサイトとしてのサイトの登録を解除しました。 ハブサイトが解除されると、そのサイトはハブサイトとして機能しなくなります。

サイトの権限のアクティビティ

次の表では、SharePoint でのアクセス許可の割り当てとグループの使用によるサイトへのアクセス権の付与に関連するイベントを一覧表示します。 前に説明したように、一部の SharePoint アクティビティの監査レコードは、ユーザーがアクションを開始したユーザーまたは管理者に代わってアクティビティを実行したapp@sharepointを示します。 詳細については、「監査レコード内の app@sharepoint ユーザー」を参照してください。

フレンドリ名 操作​​ 説明
サイト コレクション管理者の追加 SiteCollectionAdminAdded サイト コレクション管理者または所有者が、サイトのサイト コレクション管理者としてユーザーを追加します。 サイト コレクション管理者には、サイト コレクションとすべてのサブサイトのフル コントロール権限があります。 このアクティビティは、SharePoint 管理センターでユーザー プロファイルを編集するか Microsoft 365 管理センターを使用することにより、管理者がユーザーの OneDrive アカウントへのアクセス権限を自分自身に付与する際にも記録されます。
SharePoint グループへのユーザーまたはグループの追加 AddedToGroup ユーザーが SharePoint グループにメンバーまたはゲストを追加しました。 これは意図的なアクションか、共有イベントなどの別のアクティビティの結果である可能性があります。
アクセス許可レベルの継承の停止 PermissionLevelsInheritanceBroken アイテムが変更されたので、アクセス許可レベルが親から継承されなくなりました。
共有の継承の停止 SharingInheritanceBroken アイテムが変更されたので、共有アクセス許可が親から継承されなくなりました。
グループの作成 GroupAdded サイト管理者または所有者は、サイトのグループを作成するか、グループが作成されるタスクを実行します。 たとえば、ユーザーがファイルを共有するためのリンクを初めて作成すると、システム グループがユーザーの OneDrive for Business に追加されます。 このイベントは、ユーザーが共有ファイルに対して編集のアクセス許可を持つリンクを作成する結果として発生することもあります。
グループの削除 GroupRemoved ユーザーがサイトからグループを削除しました。
アクセス要求の設定の変更 WebRequestAccessModified サイトでアクセス要求の設定が変更されました。
[メンバーが共有可能] 設定の変更 WebMembersCanShareModified サイトで [メンバーが共有可能] 設定が変更されました。
サイト コレクションのアクセス許可レベルの変更 PermissionLevelModified サイト コレクションでアクセス許可レベルが変更されました。
サイト アクセス許可の変更 SitePermissionsModified サイト管理者または所有者 (またはシステム アカウント) がサイトのグループに割り当てられたアクセス許可レベルを変更しました。 すべてのアクセス許可がグループから削除された場合も、このアクティビティが記録されます。

: この操作は、SharePoint Online で廃止されました。 関連するイベントを見つけるには、サイト コレクション管理者の追加SharePoint グループへのユーザーまたはグループの追加ユーザーに対するグループ作成の許可グループの作成グループの削除などのその他のアクセス許可関連のアイテムを検索することができます。
サイト コレクションからのアクセス許可レベルの削除 PermissionLevelRemoved サイト コレクションからアクセス許可レベルが削除されました。
サイト コレクション管理者の削除 SiteCollectionAdminRemoved サイト コレクション管理者または所有者が、サイトのサイト コレクション管理者としてユーザーを削除します。 このアクティビティは、(SharePoint 管理センターでユーザー プロファイルを編集することにより) 管理者がユーザーの OneDrive アカウントのサイト コレクション管理者のリストから自分自身を削除する際にも記録されます。 監査ログの検索結果にこのアクティビティを返すには、すべてのアクティビティを検索する必要があります。
SharePoint グループからのユーザーまたはグループの削除 RemovedFromGroup ユーザーが SharePoint グループからメンバーまたはゲストを削除しました。 これは意図的なアクションか、非共有イベントなどの別のアクティビティの結果である可能性があります。
サイト管理者アクセス許可の要求 SiteAdminChangeRequest ユーザーは、サイト コレクションのサイト コレクション管理者として追加するように要求します。 サイト コレクション管理者には、サイト コレクションとすべてのサブサイトのフル コントロール権限があります。
共有の継承の復元 SharingInheritanceReset 変更が加えられたので、共有アクセス許可が親から継承されなくなりました。
グループの更新 GroupUpdated サイト管理者または所有者は、サイトのグループの設定を変更します。 これには、グループ名の変更、グループのメンバーシップを表示または変更できるユーザーの変更、およびメンバーシップ要求の処理方法の変更があります。

同期アクティビティ

次の表では、SharePoint Online および OneDrive for Business 内のファイル同期アクティビティを一覧表示します。

フレンドリ名 操作​​ 説明
コンピューターによってファイルの同期が許可されました ManagedSyncClientAllowed ユーザーがサイトとの同期関係を正常に確立しました。 ユーザーのコンピューターが、組織内のドキュメント ライブラリにアクセスできるドメインのリスト (宛先セーフ リストと呼ばれる) に追加されているドメインのメンバーであるため、同期関係は成功しました。

この機能の詳細については、「Windows PowerShell コマンドレットを使用して宛先セーフ リスト上のドメインに対して OneDrive 同期を有効にする」 を参照してください。
コンピューターに対するファイル同期のブロック UnmanagedSyncClientBlocked ユーザーは、organizationのドメインのメンバーではないコンピューター、またはorganization内のドキュメント ライブラリにアクセスできるドメインの一覧 (安全な受信者リストと呼ばれる) に追加されていないドメインのメンバーであるコンピューターから、サイトとの同期関係を確立しようとします。 同期関係は許可されておらず、ユーザーのコンピューターはドキュメント ライブラリ上のファイルの同期、ダウンロード、またはアップロードをブロックされます。

この機能については、「Windows PowerShell コマンドレットを使用して宛先セーフ リスト上のドメインに対して OneDrive 同期を有効にする」 を参照してください。
コンピューターへのファイルのダウンロード FileSyncDownloadedFull ユーザーは、OneDrive 同期アプリ (OneDrive.exe) を使用して、SharePoint ドキュメント ライブラリまたは OneDrive for Business からコンピューターにファイルをダウンロードします。
コンピューターへのファイル変更のダウンロード FileSyncDownloadedPartial このイベントは、古い OneDrive for Business 同期アプリ (Groove.exe) とともに非推奨になりました。
ファイルがドキュメント ライブラリにアップロードされました FileSyncUploadedFull ユーザーは、OneDrive 同期アプリ (OneDrive.exe) を使用して、SharePoint ドキュメント ライブラリまたは OneDrive for Business に新しいファイルまたはファイルへの変更をアップロードします。
ドキュメント ライブラリへのファイル変更のアップロード FileSyncUploadedPartial このイベントは、古い OneDrive for Business 同期アプリ (Groove.exe) とともに非推奨になりました。

SystemSync アクティビティ

次の表に、Microsoft 365 監査ログに記録される SystemSync のアクティビティを示します。

フレンドリ名 操作​​ 説明
作成済の Data Share DataShareCreated データ エクスポートがユーザーによって作成された場合。
削除済みの Data Share DataShareDeleted データ エクスポートがユーザーによって削除された場合。
Lake Data のコピーを生成する GenerateCopyOfLakeData Lake Data のコピーが生成された場合。
Lake Data のコピーをダウンロードする DownloadCopyOfLakeData Lake Data のコピーがダウンロードされた場合。

ユーザー管理アクティビティ

次の表では、管理者が Microsoft 365 管理センターまたは Azure 管理ポータルを使用してユーザー アカウントを追加または変更したときに記録されるユーザー管理アクティビティを一覧表示します。

注:

次の表の [操作] 列にリストされている操作名には、ピリオド ( . ) が含まれています。 監査ログの検索、監査保持ポリシーの作成、アラート ポリシーの作成、またはアクティビティ アラートの作成時に PowerShell コマンドで操作を指定する場合は、操作名にピリオドを含める必要があります。 また、操作名を含める場合は、二重引用符 (" ") を使用してください。

アクティビティ 操作​​ 説明
ユーザーが追加されました ユーザーを追加します。 ユーザー アカウントが作成されました。
ユーザー ライセンスの変更 ユーザー ライセンスを変更します。 変更されたユーザーに割り当てられたライセンス。 変更されたライセンスを確認するには、対応する更新された ユーザー アクティビティを参照してください。
ユーザー パスワードが変更されました ユーザー パスワードを変更します。 ユーザーがパスワードを変更します。 ユーザーがパスワードをリセットするには、組織内のすべてのユーザーまたは選択したユーザーに対して、セルフサービスパスワードリセットを有効にする必要があります。 Microsoft Entra IDでセルフサービス パスワード リセット アクティビティを追跡することもできます。 詳細については、「Microsoft Entra パスワード管理のレポート オプション」を参照してください。
ユーザーの削除 ユーザーを削除します。 ユーザー アカウントが削除されました。
Reset user password ユーザー パスワードを再設定します。 管理者がユーザーのパスワードを再設定します。
ユーザーへパスワードの変更を強制するプロパティの設定 ユーザー パスワードの強制変更を設定します。 管理者が、ユーザーが次に Microsoft 365 にサインインしたときにパスワードを強制的に変更させるプロパティを設定しました。
Set license properties ライセンス プロパティを設定する 管理者が、ユーザーに割り当てられたライセンスのプロパティを変更しました。
ユーザーの更新 ユーザーを更新します。 管理者は、ユーザー アカウントの 1 つ以上のプロパティを変更します。 更新できるユーザー プロパティの一覧については、「レポート イベントの監査」の「ユーザー属性の更新」セクションMicrosoft Entra参照してください。

Viva Goalsアクティビティ

次の表に、監査のためにログに記録されるViva Goalsのユーザーアクティビティと管理者アクティビティを示します。 テーブルには、[アクティビティ] 列に表示されるフレンドリ名と、検索結果をエクスポートするときに監査レコードの詳細情報と CSV ファイルに表示される対応する操作の名前が含まれます。

Microsoft Purview ポータルとコンプライアンス ポータルから監査ログを検索する方法について、監査ログの詳細を検索します。 ユーザーは、グローバル管理者であるか、監査ログにアクセスするための監査読み取りアクセス許可を持っている必要があります。 [アクティビティ] フィルターを使用すると、特定のアクティビティを検索したり、[レコードの種類] フィルターで [VivaGoals] を選択できるすべてのViva Goalsアクティビティを一覧表示したりできます。 日付範囲ボックスと [ユーザー] リストを使用して、検索結果をさらに絞り込むこともできます。

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。

フレンドリ名 操作​​ 説明
作成された組織 作成された組織 管理またはユーザーがViva Goalsに新しいorganizationを作成しました。
ユーザーの追加 ユーザーの追加 Viva Goalsのorganizationに新しいユーザーが追加されました。
非アクティブ化されたユーザー 非アクティブ化されたユーザー ユーザーがorganizationで非アクティブ化されました。
ユーザーが削除されました ユーザーが削除されました ユーザーがViva Goalsのorganizationから削除されました。
ユーザーがにログインしました ユーザーがにログインしました ユーザーがViva Goalsにログインしました。
チームが追加されました チームが追加されました Viva Goalsのorganization内に新しいチームが作成されました。
チームが更新されました チームが更新されました Viva Goalsのorganization内のチームが変更または更新されました。
チームが削除されました チームが削除されました Viva Goalsのorganization内のチームがユーザーによって削除されました。
エクスポートされたデータ エクスポートされたデータ ユーザーが、Viva Goalsのorganizationで OKR の一覧またはユーザーの一覧をエクスポートしました。
Goals ポリシーが更新されました Goals ポリシーが更新されました グローバル管理者は、Viva Goalsのテナント レベルでポリシーまたは設定を変更しました。 たとえば、グローバル管理者は、Viva Goalsで組織を作成できるユーザーを構成しています。
組織の設定が更新されました 組織の設定が更新されました ユーザー (通常は組織の所有者または管理者) が、Viva Goalsの特定organization設定を更新しました。
組織の統合が更新されました 組織の統合が更新されました ユーザー (通常は組織の所有者または管理者) は、サード パーティ統合を構成しているか、Viva Goals上のorganizationの既存のサード パーティ統合を更新しました。
OKR またはプロジェクトが作成されました OKR またはプロジェクトが作成されました ユーザーは、Viva Goalsで OKR またはプロジェクトを作成しました。
OKR またはプロジェクトが更新されました OKR またはプロジェクトが更新されました OKR/Project が変更されたか、ユーザーまたはViva Goalsの統合によってチェックが行われました。
OKR またはプロジェクトが削除されました OKR またはプロジェクトが削除されました ユーザーが OKR またはプロジェクトを削除しました。
作成されたダッシュボード 作成されたダッシュボード ユーザーがViva Goalsに新しいダッシュボードを作成しました
ダッシュボードが更新されました ダッシュボードが更新されました ユーザーがViva Goalsのダッシュボードを更新しました
ダッシュボードが削除されました ダッシュボードが削除されました ユーザーがViva Goalsのダッシュボードを削除しました。

Viva Engageアクティビティ

次の表に、監査ログに記録されるViva Engageのユーザーアクティビティと管理者アクティビティを示します。 監査ログからViva Engage関連するアクティビティを返すには、[アクティビティ] 一覧のすべてのアクティビティの結果を表示するを選択する必要があります。 日付範囲のボックスと [ユーザー] リストを使用して、検索結果を絞り込みます。

注:

一部のViva Engage監査アクティビティは、監査 (Premium) でのみ使用できます。 つまり、これらのアクティビティが監査ログに記録される前に、ユーザーに適切なライセンスを割り当てる必要があります。 詳細については 監査 (プレミアム) を参照してください。 監査 (プレミアム) のライセンス要件については、「Microsoft 365 での監査ソリューション」を参照してください。

次の表では、監査 (プレミアム) アクティビティがアスタリスク (*) で強調表示されています。

フレンドリ名 操作​​ 説明
企業コミュニケーターを追加しました AddUserRole ユーザーは企業コミュニケーターとして割り当てられます。
カスタム使用状況ポリシーを変更しました UsagePolicyUpdated テナント管理者は、カスタム使用状況ポリシーを更新します。
データの保持ポリシーが変更されました SoftDeleteSettingsUpdated 確認済みの管理者は、ネットワーク データ保持ポリシーの設定を [ハード削除] または [論理的な削除] に更新します。 この操作を実行できるのは、確認済みの管理者のみです。
ネットワークの構成の変更 NetworkConfigurationUpdated ネットワークまたは検証済みの管理者は、Viva Engage ネットワークの構成を変更します。 これには、データのエクスポート間隔の設定とチャットの有効化が含まれます。
ネットワーク プロファイル設定の変更 ProcessProfileFields ネットワーク管理者または認証管理者が、ネットワーク ユーザーのネットワークのメンバー プロファイルに表示される情報を変更しました。
プライベート コンテンツ モードの変更 SupervisorAdminToggled 確認済みの管理者は 、プライベート コンテンツ モード のオンとオフを切り替えます。 管理者は、このモードを使用して、プライベート グループの投稿や、各ユーザー (またはユーザーのグループ) 間のプライベート メッセージを閲覧できます。 この操作を実行できるのは、認証管理者のみです。
セキュリティの構成が変更されました NetworkSecurityConfigurationUpdated 検証された管理者は、Viva Engage ネットワークのセキュリティ構成を更新します。 これには、パスワードの有効期限ポリシーの設定と IP アドレスに対する制限が含まれます。 この操作を実行できるのは、確認済みの管理者のみです。
会話が終了しました CloseConversation Viva Engage スレッドが閉じられ、ユーザーが返信できなくなります。 このアクションは、管理者、企業コミュニケーター、またはユーザー デリゲートによって実行できます。
会話を開いた OpenConversation Viva Engageスレッドの会話が開かれているので、ユーザーはスレッドに返信できます。 このアクションは、管理者、会社のコミュニケーション、またはユーザー デリゲートによって実行できます。
ファイルの作成 FileCreated ユーザーがファイルをアップロードしました。
グループの作成 GroupCreation ユーザーがグループを作成しました。
メッセージの作成 MessageCreation ユーザーがメッセージを作成しました。
グループの削除 GroupDeletion グループがViva Engageから削除されます。
メッセージの削除 MessageDeleted ユーザーがメッセージを削除しました。
ファイルのダウンロード FileDownloaded ユーザーがファイルをダウンロードしました。
データのエクスポート DataExport 検証された管理者は、ネットワーク データViva Engageエクスポートします。 この操作を実行できるのは、確認済みの管理者のみです。
ファイルへのアクセスに失敗しました FileAccessFailure ユーザーはファイルへのアクセスに失敗しました。
グループへのアクセスに失敗しました GroupAccessFailure ユーザーがグループにアクセスできませんでした。
スレッドへのアクセスに失敗しました ThreadAccessFailure ユーザーがメッセージ スレッドにアクセスできませんでした。
メッセージに反応しました MarkedMessageChanged ユーザーがメッセージに反応しました。
企業コミュニケーターを削除しました RemoveUserRole ユーザーが企業コミュニケーター ロールから削除されます。
キュレーションされたトピックを削除する* RemoveCuratedTopic ユーザーは、キュレーションされたトピックを削除します。
ファイルの共有 FileShared ユーザーが別のユーザーとファイルを共有しました。
ネットワーク ユーザーの一時停止 NetworkUserSuspended ネットワーク管理者または検証済み管理者は、ユーザーをViva Engageから一時停止 (非アクティブ化) します。
ユーザーの一時停止 UserSuspension ユーザー アカウントが一時停止 (非アクティブ化) されました。
テナント使用状況ポリシーの同意 UsagePolicyAcceptance ユーザーはテナント固有の使用ポリシーを受け入れます。
スレッドミュート AdminThreadMuted 管理者またはwatchアラート (システム ユーザー) によってスレッドがミュートされました。 watchアラートは、スレッドに特定のテーマ (管理者によって設定) のフラグが設定され、システムによって自動ミュートされたときに発生します。
スレッドのミュート解除 AdminThreadUnmuted 管理スレッドをミュート解除します。
ファイルの説明の更新 FileUpdateDescription ユーザーがファイルの説明を変更しました。
ファイル名の更新 FileUpdateName ユーザーがファイルの名前を変更しました。
メッセージの更新 MessageUpdated ユーザーがメッセージを更新しました。
ネットワーク 管理のロールの割り当てを更新しました NetworkAdminUpdated ユーザーは、Network 管理 ロールに昇格または降格されます。
検証済み管理のロールの割り当てを更新しました NetworkVerifiedAdminUpdated ユーザーが昇格されるか、検証済み管理ロールに降格されます。
ファイルの表示 FileVisited ユーザーがファイルを表示しました。
表示されたスレッド ThreadViewed ユーザーはメッセージ スレッドを表示します。

Vivaパルスアクティビティ

次の表に、監査のためにログに記録されるViva Pulse のユーザーアクティビティと管理者アクティビティを示します。 テーブルには、[アクティビティ] 列に表示されるフレンドリ名と、検索結果をエクスポートするときに監査レコードの詳細情報と CSV ファイルに表示される対応する操作の名前が含まれます。

Microsoft Purview ポータルとコンプライアンス ポータルから監査ログを検索する方法について、監査ログの詳細を検索します。 ユーザーは、グローバル管理者であるか、監査ログにアクセスするための監査読み取りアクセス許可を持っている必要があります。 [アクティビティ] フィルターを使用すると、特定のアクティビティを検索したり、[レコードの種類] フィルターで [VivaPulse] を選択できるすべてのVivaパルス アクティビティを一覧表示したりできます。 日付範囲ボックスと [ユーザー] リストを使用して、検索結果をさらに絞り込むこともできます。

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。

フレンドリ名 操作​​ 説明
ユーザーがパルス調査に対して送信した応答 PulseSubmit 管理またはユーザーは、Viva Pulse フィードバック要求に関するフィードバックを提供しました。
ユーザーが Pulse アンケートを作成しました PulseCreate 新しいVivaパルス フィードバック要求が作成されます。
ユーザーがパルス調査の期限を延長しました PulseExtendDeadline 既存の Viva Pulse フィードバック要求の期限が延長されました。
ユーザーが追加のユーザーを Pulse アンケートに招待しました PulseInvite 追加のユーザーが、既存の Viva Pulse フィードバック要求に招待されました。
ユーザーが Pulse アンケートをキャンセルしました PulseCancel ユーザーが Pulse アンケートをキャンセルしました。
ユーザーがパルス レポートを共有しました PulseShareResults Vivaパルス フィードバックの結果がユーザーと共有されました。
ユーザーがパルス ドラフトを作成しました PulseCreateDraft ユーザーがパルスドラフトを作成しました。
ユーザーがパルスドラフトを削除しました PulseDeleteDraft ユーザーはパルスドラフトを削除しました。
ユーザーのデータを削除管理 PulseDeleteUserData 管理ユーザーのデータを削除しました。
更新されたテナントの設定を管理する PulseTenantSettingsUpdate 管理パルスのorganization設定Viva更新されました。

カスタマー ロックボックス アクティビティのWindows 365

次の表に、監査ログに記録される Customer Lockbox Windows 365ユーザーアクティビティと管理者アクティビティを示します。 監査ログから顧客ロックボックス関連のアクティビティWindows 365返すには、[レコードの種類] で [Windows365CustomerLockbox] を選択します。 日付範囲のボックスと [ユーザー] リストを使用して、検索結果を絞り込みます。

フレンドリ名 操作​​ 説明
デバイスの修復をトリガーする デバイスの修復をトリガーする デバイスの修復をトリガーします。
フォルダーを BLOB にアップロードする フォルダーを BLOB にアップロードする 顧客のデバイスのフォルダーを圧縮して BLOB にアップロードします。
PowerShell 実行ポリシーを確認する PowerShell 実行ポリシーを確認する PowerShell 実行ポリシーを確認します。
RD エージェントをインストールする RD エージェントをインストールする ユーザーのデバイスに RD エージェントをインストールします。
ハイブリッド AADJ 拡張機能を実行する ハイブリッド AADJ 拡張機能を実行する ユーザーのデバイスでハイブリッド AADJ 拡張機能を実行します。
VmExtension 要求を作成する VmExtention 要求を作成する VM 拡張機能を実行して顧客デバイスでカスタム スクリプトを実行する VM 拡張機能要求を作成します。
トリガー オーケストレーター トリガー オーケストレーター ユーザーのオーケストレーターをトリガーします。
SaaF による汎用アクションのトリガー SaaF による汎用アクションのトリガー ユーザーのデバイス アクション (リターゲット、EnableRdpAccessForCitrix、DisableRdpAccessFprCitrix) をトリガーします。
汎用アクションをトリガーする 汎用アクションをトリガーする ユーザーのデバイス アクションをトリガーします。
オプションを使用して汎用アクションをトリガーする オプションを使用して汎用アクションをトリガーする 一般的なアクションをトリガーするよりも強力なオプション パラメーターを使用してデバイス アクションをトリガーします。
新しい作業項目を作成する (Scheduler) 新しい作業項目を作成する (Scheduler) 新しい作業項目 (プロビジョニング、プロビジョニング解除、再プロビジョニングなど) を作成します。
リモート アクション操作の後 リモート アクション操作の後 リモート アクションを投稿し、GetActions 操作で結果をポーリングします。
OCE VM でコマンドを実行する OCE VM でコマンドを実行する tenantID、deviceID リスト、スクリプトでコマンドを実行します。
LogCollection 要求を作成する LogCollection 要求を作成する Cloud PC へのログ収集要求を作成します。
CMD エージェントカナリア チェックをトリガーします。 CMD エージェントカナリア チェックをトリガーします。 特定のデバイスで CMD エージェントカナリア チェックをトリガーします。
AppHealthPlugin を実行する AppHealthPlugin を実行する AppHealthPlugin を実行します。
バックフィル CMD エージェント AddDevicesToBackfill 操作 Cloud PC 上の CMD エージェントをバックフィルします。
CMD エージェントを再インストールする AddDevicesToReinstall 操作 必要に応じて CMD エージェントを再インストールします。
CMD エージェントを一括再インストールする TriggerClientAgentCheckBulkAction 操作 必要に応じて CMD エージェントを一括で再インストールします。
ActionModeratorService でリモート アクション操作を作成する ActionModeratorService でリモート アクション操作を作成する tenantID、workspaceID、actionType、actionParameters によってリモート アクションを作成します。