Microsoft Purview での監査について説明する

  • 4 分

Microsoft Purview の監査ソリューションによって、セキュリティ イベント、フォレンジック調査、内部調査、コンプライアンス義務に組織が効果的に対応できるようになります。 Microsoft 365 の多数のサービスとソリューションと、Security Copilot (有効な場合) で実行されるユーザーや管理者の何千もの操作が、組織の統合監査ログにキャプチャ、記録、保持されます。 これらのイベントの監査レコードは、組織のセキュリティ操作、IT 管理者、インサイダー リスク チーム、コンプライアンスおよび法的調査担当者によって検索できます。 この機能により、Microsoft 365 組織全体で実行されたアクティビティを把握できます。

Microsoft Purview には、2 つの監査ソリューションがあります。

  • 監査 (標準)
  • 監査 (プレミアム)

監査 (標準)

監査 (Standard) は、適切なサブスクリプションを持ち、適切なアクセス許可を持つユーザーが使用できるすべての組織に対して、既定で有効になっています。 監査対象のアクティビティがユーザーまたは管理者によって行われると、監査レコードが生成され、組織の監査ログに格納されます。 監査 (Standard) のレコードは、180 日間保有されます。 次の方法を使用して、組織内のほとんどの Microsoft 365 サービスで発生する監査ログを取得できます。

  • Microsoft Purview ポータル上の監査ログ検索ツール。
  • Office 365 マネージメント アクティビティ API
  • Exchange Online PowerShell 上の Search-UnifiedAuditLog コマンドレット

監査ログを検索した後に、検索から返された監査レコードを CSV ファイルにエクスポートし、Microsoft Excel や Excel Power Query を使ってさらに分析することができます。

監査 (プレミアム)

監査 (プレミアム) は、監査 (標準) の機能をベースに、監査ログの保持ポリシー、監査記録の長期保持、価値の高い重要なイベント、Office 365 マネージメント アクティビティ API への高い帯域幅でのアクセスが用意されています。

  • 監査ログの保持ポリシー。 組織はカスタマイズした監査ログ保持ポリシーを作成して、監査レコードを最大 1 年間 (所要のアドオン ライセンスを取得したユーザーの場合は最大 10 年間) の長期にわたり保持できます。
  • 監査記録の長期保持。 Microsoft Entra ID、Exchange、OneDrive、SharePoint の監査レコードは、既定で 1 年間保持されます。 他のすべてのアクティビティの監査レコードは、既定で 180 日間保持されます。また、監査ログのアイテム保持ポリシーを使って、より長い保持を構成することもできます。
  • 監査 (Premium) インテリジェントな分析情報。 重要なイベントの監査記録は、いつメール項目がアクセスされたか、いつメール項目が返信されたか、または転送されたか、ユーザーがいつ何を Exchange Online や SharePoint Online で検索したかなどの可視性を提供することで、組織によるフォレンジック調査やコンプライアンス調査の実施をサポートします。 これらのイベントは、起こりうる侵害を調査し、侵害の範囲を決定するのに役立ちます。
  • Office 365 管理アクティビティ API への高帯域幅。 監査 (プレミアム) は、組織が Office 365 マネージメント アクティビティ API を通じて監査ログにアクセスするための帯域幅を増やします。

ライセンス

監査 (Standard) または監査 (Premium) のライセンスには、適切な組織レベルのサブスクリプションと、対応するユーザーごとのライセンスが必要です。 ライセンス要件について詳しくは、「まとめとリソース」ユニットの「詳細情報」セクションをご覧ください。

Security Copilot 対応の Microsoft Purview の監査ログ

Security Copilot の監査ログ機能では、Microsoft Purview を使用して、管理者アクション、ユーザー アクション、および Copilot 応答を処理して格納します。 このログには、Microsoft および Microsoft 以外の統合からのデータが含まれます。

Copilot の所有者は、Microsoft Security Copilot ポータル (スタンドアロン エクスペリエンス) から、Microsoft Purview による Security Copilot サービスからの顧客データに対するアクセス、処理、コピー、および保存を許可できます。 Copilot でこの機能を有効にすると、組織が既に Microsoft Purview を使用している場合は、他のアクションは必要ありません。 監査ログは、Microsoft 365 組織では既定で有効になっています。 ただし、新しい Microsoft 365 組織を設定する場合は、組織の監査状態を確認する必要があります。 組織で Microsoft Purview をまだ使用していない場合は、監査ログをプロビジョニングする必要があります。 詳細については、「監査のオンとオフを切り替える」を参照してください。

Microsoft Purview は、Microsoft 365 データが格納されているリージョンに顧客データを格納します。 詳細については、Microsoft Security Copilot のプライバシーとデータ セキュリティに関する説明を参照してください。