監査ログを使用して Microsoft Intune のイベントを追跡および監視する

Microsoft Intune には、変更を生成するアクティビティのレコードを含む監査ログがあります。 たとえば、作成、更新 (編集)、削除、割り当て、リモート 操作はすべて監査イベントを作成します。

管理者は、監査ログを確認して、ほとんどの Intune ワークロードのイベントを追跡および監視できます。 すべての顧客に対して監査が有効になっています。 それを無効にすることはできません。

データにアクセスできるユーザー

次のアクセス許可を持つユーザーが監査ログを確認できます。

• Intune 管理者 Microsoft Entra ロール
• 監査データ - Read アクセス許可を持つ Intune ロールに割り当てられた管理者。 このアクセス許可を持つ組み込みの Intune ロールの一覧については、「 Microsoft Intune の組み込みロールのアクセス許可」を参照してください。

監査ログを表示する

コンプライアンスや条件付きアクセスなど、Intune ワークロードごとに監視グループの監査ログを確認できます。

1. Microsoft Intune 管理センターにサインインします。

2. [ テナント管理>監査ログ] を選択します。

3. ログの一覧が表示されます。 一覧からログを選択すると、アクティビティの詳細が表示されます。

4. ログが多数ある場合は、次のことができます。

   1. [ 日付] を 選択し、開始日と終了日を入力します。 この日付範囲には、前の月、週、または日のログを表示できます。

      

   2. [ フィルターの追加>カテゴリ] を選択します。 一覧からコンプライアンス、デバイス、ロールなどのカテゴリを選択します。 次に、[ 適用] を選択します。

   3. [ フィルターの追加>Activity] を選択します。 使用可能なオプションは、選択した カテゴリ によって異なります。 次に、[ 適用] を選択します。

      たとえば、[ コンプライアンス ] カテゴリを選択した場合、 アクティビティ フィルター オプションは次の図のようになります。

      

監査ログに関する関連情報については、次のページを参照してください。

• Intune でのデータの保存と処理
• Intune 全体で監査ログを使用する
• Intune での個人データの監査、エクスポート、または削除

Azure Monitor へのログのルーティング

監査ログと操作ログは、 Azure Monitor にルーティングすることもできます。 Intune 管理センターで、 テナント管理>Audit ログ>Export を選択します。

エクスポートすると、 .csv ファイルがローカルに作成され、 C:\Users\UserName\AppData\Local\Temp\MicrosoftEdgeDownloads\GUIDに保存されます。

.csv ファイルを確認する場合:

• によって開始された (アクター) には、タスクを実行したユーザーと、タスクが実行された場所に関する情報が含まれます。

  たとえば、Azure portal で Intune でアクティビティを実行した場合、 アプリケーション は常に Microsoft Intune ポータル拡張機能を一覧表示し、 アプリケーション ID は常に同じ GUID を使用します。

• [ ターゲット] セクションには、複数の ターゲットと変更されたプロパティが一覧表示されます。

前提条件など、この機能の詳細については、「 ストレージ、イベント ハブ、またはログ分析にログ データを送信する」を参照してください。

Graph API を使用して監査イベントを取得する

Graph API を使用して、1 年間の監査イベントを取得することもできます。 詳細については、「 auditEvents の一覧表示」を参照してください。

関連記事

• ストレージ、イベント ハブ、またはログ分析にログ データを送信する
• クライアント アプリの保護ログを確認する