Mesh の監査ログ

監査ログは、組織がセキュリティ イベント、フォレンジック調査、内部調査、コンプライアンスの義務に効果的に対応するのに役立ちます。 この記事では、Microsoft Mesh の操作とイベントの監査ログに対してクエリを実行して要求する方法について説明します。 メッシュ固有の操作もあれば、M365(Exchange、SharePoint、Microsoft Entra (Azure AD) 操作、Microsoft Teams など) などの他の M365 操作に関連付けられている操作もあります。

Mesh の監査ログを使用すると、管理者は、Microsoft Mesh の M365 サービスとの対話に起因するユーザー アクティビティまたは操作に関連する個々の操作または一括操作に関する分析情報を収集できます。

Mesh の監査ログは、Microsoft Purview または Exchange Online PowerShell を使用して実行できます。

Note

Microsoft Mesh には、Teams のイマーシブ スペースとカスタムイマーシブ スペースの 2 つの主なオファリングがあります。 監査ログは、これらのオファリングを独立した内容として扱わないので、クエリを実行するイベントによっては、監査内のイベントがオファリングまたは両方のオファリングを参照する場合があります。

Mesh に対して管理者が関心を持つ可能性があるユーザー アクティビティと操作の例を次に示します。

• Teams/Mesh Browser の Mesh のエンド ユーザー - Mesh セッションに参加します。

• Mesh Portal でイベントを作成するメッシュ管理者 とユーザー。

• Mesh Toolkit (Mesh Uploader) を使用して成果物を作成およびアップロードするコンテンツ作成者 。

Microsoft Mesh の監査可能なイベント

現在使用できる監査イベントを次に示します。 イベントは、Mesh 管理ポータルのユーザー アクティビティ、または Mesh アプリケーションのセッション/テンプレートのカスタマイズ アクティビティに基づいて生成されます。

Event Name	説明
EnvironmentDeleted	メッシュ環境を削除します。
EnvironmentPublished	メッシュ環境の新しいバージョンを発行します。
ComponentCreated	特定の Mesh セッションのセッション コンポーネントを作成します。
ComponentDeleted	特定のメッシュ セッションのセッション コンポーネントを削除します。
TemplateCreated	新しいメッシュ ワールド/コレクション テンプレートを作成します。
TemplateDeleted	Mesh World テンプレートの内容とメタデータを削除します。
TemplateUpdated	既存のメッシュ ワールド/コレクション テンプレートを更新します。
WorldCreated	メッシュ ワールド/コレクションを作成します。
WorldDeleted	メッシュ ワールド/コレクションを削除します。
WorldUpdated	メッシュワールド/コレクションを更新します。
WorldMembersAdded	Mesh World/Collection にメンバーを追加します。
WorldOwnersAdded	メッシュ ワールド/コレクションの所有者を追加します。
WorldMembersRemoved	Mesh World/Collection からメンバーを削除します。
WorldOwnersRemoved	メッシュ ワールド/コレクションから所有者を削除します。
EnvironmentStorageCreated	メッシュ環境の新しい保存場所を作成します。
SessionMetadataCreated	Mesh World/Collection セッション メタデータを作成します。
SessionMetadataDeleted	Mesh World/Collection セッション メタデータを削除します。
SessionMetadataUpdated	Mesh World/Collection セッション メタデータを更新します。
SessionMetadataTemplateCreated	Mesh World/Collection のテンプレートカスタマイズを作成します。
SessionEnvironmentSet	コラボレーション セッションの環境を設定します。
SessionJoin	Mesh サービスは、必要なシステム リソースをプロビジョニングし、Mesh セッションに参加するために必要な情報をクライアント アプリケーションに提供しました。

これらのイベントの用語が何を指しているのかを説明します。

• セッション: 環境または会議に対して特定のものが構成されている場合のセッションを指します。 監査ログによってキャプチャされるセッションには、次の 3 種類があります。

  • テンプレート カスタマイズ セッション: ユーザーがイベント テンプレートをカスタマイズし、変更を Mesh アプリケーションに保存すると、ログがキャプチャされます。
  • イベント カスタマイズ セッション: ユーザーが 1 つのイベントをカスタマイズし、Mesh アプリケーションに変更を保存すると、ログがキャプチャされます。
  • イベント セッション: Mesh イベントが発生するとログがキャプチャされます。 たとえば、ユーザーがライブ イベントにコンポーネントを配置できないため、通常、構成は変更できません。

• World : Web 上の Mesh のコレクションを参照します。 コレクションは、Mesh イベントで使用される環境と環境のテンプレートを保持するバケットです。 ユーザーがコレクションの作成、コレクションの削除、コレクションへのメンバーの追加、コレクションへの所有者の追加、またはコレクションからの所有者の削除を行うときの監査ログ キャプチャ。

• コンポーネント: イベント、テンプレート、またはカスタマイズ セッションのセッションが開始されたときに環境でレンダリングされるオブジェクトを参照します。 ユーザーが環境に入ろうとすると、その環境内のコンポーネントがコンポーネント ログによって読み込まれ、キャプチャされます。

Microsoft Purview

Microsoft Purview 監査ソリューションは、組織がセキュリティ イベント、フォレンジック調査、内部調査、コンプライアンスの義務に効果的に対応するのに役立つ統合ソリューションを提供します。

Purview 監査ログ ソリューションの前提条件

Microsoft Purview 監査ログ ソリューションの使用を開始する方法について説明します。

検索の使用を開始する

Microsoft Purview で監査ログを検索する方法について説明します。

監査ログ レコードのエクスポート、構成、および表示

監査ログ レコードをエクスポート、構成、および表示する方法。

Exchange Online PowerShell

Exchange Online PowerShell を使用するための前提条件

Mesh 操作の監査ログを実行するには、次の前提条件が必要です。

• 監査ログに関する Microsoft Purview へのアクセスと知識
• PowerShell Exchange コマンドレットへの アクセスと知識
• コマンドレット コマンドを実行するために必要な管理者のアクセス許可
• 収集されたデータを分析するための Microsoft Excel または別のデータ分析ツール
• PowerShell v7

Mesh の監査ログを収集する

リモート PowerShell による Exchange への接続

PowerShell で、Exchange Online PowerShell モジュールを読み込みます

Import-Module ExchangeOnlineManagement

接続と認証

Connect-ExchangeOnline -UserPrincipalName [USER]@[AADDOMAIN].com

詳細については、Exchange Online PowerShell に接続する方法を参照してください。

監査ログがオンになっていることを確認する

Microsoft 365 組織では、監査ログが既定で有効になっています。 ただし、新しい Microsoft 365 組織を設定するときは、組織の監査状態を確認する必要があります。 手順については、監査のオンとオフを 切り替える方法を参照してください。

ヒント

各コマンドレットに必要なアクセス許可を確認するには、「Exchange コマンドレットを実行するために必要なアクセス許可を見つける」を参照してください。

統合 AuditLog イベントを検索する

監査ログが有効になっていることを確認し、コマンドレットを実行するための適切なアクセス許可を持っていると、さまざまなフィルターで Search-UnifiedAuditLog コマンドを使用してログ レコードを検索できるようになりました。

重要

のためのパラメータ Search-UnifiedAuditLogの広い配列があります. Search-UnifiedAuditLog のドキュメントを確認 してください |詳細については、Microsoft Learn をご覧ください。

監査レコードの内容には、次のフィールドが含まれます。

• RecordType - ワークロードの種類 (SharePoint や MeshWorlds など)
• CreationDate
• UserIds - 操作を実行しているユーザー。
• 操作 - 通常、操作名または操作名。
• AuditData - JSON でエンコードされた詳細なイベント データ。 内容はワークロードの種類によって異なります。
• ResultIndex - PowerShell スクリプト (1 から N...) によって返される結果の行のインデックス。
• ResultCount - PowerShell スクリプトによって返された行の合計数。
• ID - ユーザーの Azure ID/Microsoft Entra GUID。

Search-UnifiedAuditLog の例 1

とを含-StartDate-EndDateむ監査ログの基本的なクエリ。

Search-UnifiedAuditLog -StartDate 2024-04-01 -EndDate 2024-05-01 | Export-Csv -Path .\export-all.csv -NoTypeInformation

レコードの内容は、最初は解析が難しい可能性がある形式になりますが、一度書式設定すると理解できるはずです。

応答の例:

"AzureActiveDirectory","4/9/2024 6:49:03 PM","[XXXXXXX]@[XXXXX].com","Update group.","{""CreationTime"":""2024-04-09T18:49:03"",""Id"":""871d4a2e-8e38-488e-a83e-b7a7c6c65228"",""Operation"":""Update group."",""OrganizationId"":""05e05ab5-f8a3-409d-bfa5-01edb8cecf82"",""RecordType"":8,""ResultStatus"":""Success"",""UserKey"":""10032002CCA9134A@meshrp.onmicrosoft.com"",""UserType"":0,""Version"":1,""Workload"":""AzureActiveDirectory"",""ClientIP"":""20.171.55.147"",""ObjectId"":""Group_1ae6e759-85e0-4f8f-b6b5-691b72ca1ba7"",""UserId"":""[XXXXXXX]@[XXXXX].com"",""AzureActiveDirectoryEventType"":1,""ExtendedProperties"":[{""Name"":""additionalDetails"",""Value"":""{\""GroupType\"":\""Unified\"",\""User-Agent\"":\""kiota-dotnet\/1.3.4\""}""},{""Name"":""extendedAuditEventCategory"",""Value"":""Group""}],""ModifiedProperties"":[{""Name"":""Description"",""NewValue"":""[\r\n  \""New collection of stuff for M365 Audit feature testing\""\r\n]"",""OldValue"":""[\r\n  \""New collection of stuff\""\r\n]""},{""Name"":""MailNickname"",""NewValue"":""[\r\n  \""MyCollectionofStuff2272\""\r\n]"",""OldValue"":""[\r\n  \""MyCollectionofStuff2\""\r\n]""},{""Name"":""Included Updated Properties"",""NewValue"":""Description, MailNickname"",""OldValue"":""""},{""Name"":""TargetId.GroupType"",""NewValue"":""Unified"",""OldValue"":""""}],""Actor"":[{""ID"":""[XXXXXXX]@[XXXXX].com"",""Type"":5},{""ID"":""10032002CCA9134A"",""Type"":3},{""ID"":""Microsoft Mesh Services"",""Type"":1},{""ID"":""3016d0ce-47cc-4005-b11d-5fcabb1b643d"",""Type"":2},{""ID"":""User_c7e95ea2-64f6-4743-b8e6-52ce520cba81"",""Type"":2},{""ID"":""c7e95ea2-64f6-4743-b8e6-52ce520cba81"",""Type"":2},{""ID"":""User"",""Type"":2}],""ActorContextId"":""05e05ab5-f8a3-409d-bfa5-01edb8cecf82"",""ActorIpAddress"":""20.171.55.147"",""InterSystemsId"":""2cd62b4e-4744-4c55-8a88-e64771393266"",""IntraSystemId"":""0b9fe72c-eca5-4ad5-a9c5-5986e8bc963d"",""SupportTicketId"":"""",""Target"":[{""ID"":""Group_1ae6e759-85e0-4f8f-b6b5-691b72ca1ba7"",""Type"":2},{""ID"":""1ae6e759-85e0-4f8f-b6b5-691b72ca1ba7"",""Type"":2},{""ID"":""Group"",""Type"":2},{""ID"":""My Collection of Stuff 2"",""Type"":1}],""TargetContextId"":""05e05ab5-f8a3-409d-bfa5-01edb8cecf82""}","4","2148","871d4a2e-8e38-488e-a83e-b7a7c6c65228","True","Unchanged"

ヒント

-NoTypeInformation は 、.csvエクスポートをよりクリーンにする PowerShell ユーティリティ です。

Search-UnifiedAuditLog の例 2

文字列を含むすべてのWorld監査ログ-Operationsの基本的なクエリ。

Search-UnifiedAuditLog -StartDate 2024-04-01 -EndDate 2024-05-01 -Operations World* | Export-Csv -Path .\export-all-world.csv -NoTypeInformation

Search-UnifiedAuditLog の例 3

文字列を含むすべての[email@company.com]監査ログ-UserIdsの基本的なクエリ。

Search-UnifiedAuditLog -StartDate 2024-04-01 -EndDate 2024-04-10 -UserIds [email@company.com] | Export-Csv -Path .\export-all-Max.csv -NoTypeInformation

レコードの内容の分析

監査ログ レコードの内容は JSON 形式で返されます。 AuditData 分析には、JSON または XML としてのテキストの解析に関する知識が必要な場合があります。

レコードのセットは、分析のために Excel にインポートできます。 詳細については、ソースから Excel にデータをインポートする方法を参照してください。