監査のオンとオフを切り替える
Microsoft 365 組織では、監査ログが既定で有効になっています。 ただし、新しい Microsoft 365 organizationを設定するときは、organizationの監査状態を確認する必要があります。 手順については、この記事の「organizationの監査状態を確認する」セクションを参照してください。
Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルで監査が有効になっている場合、organizationのユーザーと管理者のアクティビティは監査ログに記録され、180 日間自動的に保持されます。 監査データの保持期間 (有効期間) は、監査ログに追加されたときに開始され、 監査ログの保持ポリシー とユーザーに割り当てられたライセンスに基づいて保持されます。
重要
監査 (Standard) の既定の保持期間が 90 日から 180 日に変更されました。 2023 年 10 月 17 日より前に生成された監査 (Standard) ログは、90 日間保持されます。 2023 年 10 月 17 日以降に生成された監査 (Standard) ログは、180 日間の新しい既定の保持期間に従います。
ユーザー ライセンスまたは保持ポリシーを変更すると、監査データの有効期限も変更されます。
organizationには、監査ログ データを記録して保持したくない理由がある場合があります。 このような場合、グローバル管理者は、organizationの Microsoft 365 での監査を無効にすることができます。 手順については、この記事の 「監査を無効にする 」セクションを参照してください。
重要
Microsoft 365 で監査を無効にした場合、Office 365 Management Activity API またはMicrosoft Sentinelを使用して、organizationの監査データまたはログにアクセスすることはできません。 この記事の手順に従って監査をオフにすると、Microsoft Purview ポータルまたはコンプライアンス ポータルを使用して監査ログを検索するとき、または PowerShell で Search-UnifiedAuditLog コマンドレットを実行した場合、結果Exchange Online返されません。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview 試用版ハブから開始します。 サインアップと試用期間の詳細については、こちらをご覧ください。
監査をオンまたはオフにする前に
監査をオンまたはオフにするには、Exchange Onlineの監査ログ ロールを割り当てる必要があります。 既定では、このロールは Exchange 管理センターの [アクセス許可] ページのコンプライアンス管理と組織管理の役割グループに割り当てられます。
- 監査ログを検索する手順については、「監査ログ を検索する」を参照してください。
- Microsoft 365 Management Activity API の詳細については、「 Microsoft 365 Management API の概要」を参照してください。
organizationの監査状態を確認する
organizationの監査が有効になっていることを確認するには、Exchange Online PowerShell で次のコマンドを実行します。
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
UnifiedAuditLogIngestionEnabled プロパティの True
の値は、監査が有効になっていることを示します。
False
の値は、監査が有効になっていないことを示します。
重要
PowerShell で前のコマンドExchange Online実行してください。
Get-AdminAuditLogConfig コマンドレットは Security & Compliance PowerShell でも使用できますが、監査が有効になっている場合でも、UnifiedAuditLogIngestionEnabled プロパティは常にFalse
されます。
監査を有効にする
organizationに対して監査が有効になっていない場合は、Microsoft Purview ポータルまたはコンプライアンス ポータルで、または PowerShell Exchange Online使用して有効にすることができます。 監査ログを検索するときに結果を返す前に、監査を有効にしてから数時間かかることがあります。
現在使用しているポータルに該当するタブを選択してください。 Microsoft 365 プランによっては、Microsoft Purview コンプライアンス ポータルは廃止されるか、間もなく廃止されます。
Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。
監査を有効にするには、次の手順を実行します。
- Microsoft Purview ポータルにサインインします。
- [監査ソリューション] カードを選択します。 [監査ソリューション] カードが表示されない場合は、[すべてのソリューションを表示] を選択し、[コア] セクションから [監査] を選択します。
- organizationに対して監査が有効になっていない場合は、ユーザーと管理者のアクティビティの記録を開始するように求めるバナーが表示されます。
- [ ユーザーと管理者のアクティビティの記録を開始する] バナーを選択します 。
変更が有効になるまでに最大 60 分かかる場合があります。
PowerShell を使用して監査を有効にする
次の PowerShell コマンドを実行して、監査を有効にします。
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
変更が有効になるまでに最大 60 分かかる可能性があることを示すメッセージが表示されます。
監査をオフにする
監査をオフにするには、powerShell Exchange Onlineを使用する必要があります。
次の PowerShell コマンドを実行して、監査をオフにします。
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
しばらくしてから、監査がオフになっていることを確認します (無効)。 このようにするには、次の 2 つの方法があります。
PowerShell Exchange Onlineで、次のコマンドを実行します。
Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
UnifiedAuditLogIngestionEnabled プロパティの
False
の値は、監査がオフになっていることを示します。コンプライアンス ポータルの [監査 ] ページに移動します。
organizationに対して監査が有効になっていない場合は、ユーザーと管理者のアクティビティの記録を開始するように求めるバナーが表示されます。
監査状態が変更されたときの監査レコード
organizationの監査状態に対する変更は、それ自体が監査されます。 つまり、監査レコードは、監査がオンまたはオフのときにログに記録されます。 Exchange 管理者監査ログでこれらの監査レコードを検索できます。
監査をオンまたはオフにするときに生成される監査レコードを Exchange 管理者監査ログで検索するには、Exchange Online PowerShell で次のコマンドを実行します。
Search-UnifiedAuditLog -Operations Set-AdminAuditLogConfig
これらのイベントの監査レコードには、監査状態がいつ変更されたか、変更した管理者、変更に使用されたコンピューターの IP アドレスに関する情報が含まれます。 次のスクリーンショットは、organizationの監査状態の変更に対応する監査レコードを示しています。
監査を有効にするための監査レコード
コマンドレットParameters プロパティの Confirm
の値は、Microsoft Purview ポータルまたはコンプライアンス ポータルで統合監査ログが有効になっているか、Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true コマンドレットを実行して有効になっていることを示します。
監査をオフにするための監査レコード
Confirm
の値は、コマンドレットParameters プロパティには含まれません。 これは、 Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false コマンドを実行して、統合監査ログがオフになっていることを示します。
Exchange 管理者監査ログの検索の詳細については、「 Search-UnifiedAuditLog」を参照してください。