Microsoft Purview での監査について説明する
Microsoft Purview の監査ソリューションによって、セキュリティ イベント、フォレンジック調査、内部調査、コンプライアンス義務に組織が効果的に対応できるようになります。 Microsoft 365 の多数のサービスとソリューションで実行されるユーザーや管理者の何千もの操作が、組織の統合監査ログにキャプチャ、記録、保持されます。 これらのイベントの監査レコードは、組織のセキュリティ操作、IT 管理者、インサイダー リスク チーム、コンプライアンスおよび法的調査担当者によって検索できます。 この機能により、Microsoft 365 組織全体で実行されたアクティビティを把握できます。
Microsoft Purview には、2 つの監査ソリューションがあります。
- 監査 (標準)
- 監査 (プレミアム)
監査 (標準)
監査 (Standard) は、適切なサブスクリプションを持ち、適切なアクセス許可を持つユーザーが使用できるすべての組織に対して、既定で有効になっています。 監査対象のアクティビティがユーザーまたは管理者によって行われると、監査レコードが生成され、組織の監査ログに格納されます。 監査 (Standard) のレコードは、180 日間保有されます。 次の方法を使用して、組織内のほとんどの Microsoft 365 サービスで発生する監査ログを取得できます。
- Microsoft Purview ポータル上の監査ログ検索ツール。
- Office 365 マネージメント アクティビティ API
- Exchange Online PowerShell 上の Search-UnifiedAuditLog コマンドレット
監査ログを検索した後に、検索から返された監査レコードを CSV ファイルにエクスポートし、Microsoft Excel や Excel Power Query を使ってさらに分析することができます。
監査 (プレミアム)
監査 (プレミアム) は、監査 (標準) の機能をベースに、監査ログの保持ポリシー、監査記録の長期保持、価値の高い重要なイベント、Office 365 マネージメント アクティビティ API への高い帯域幅でのアクセスが用意されています。
- 監査ログの保持ポリシー。 組織はカスタマイズした監査ログ保持ポリシーを作成して、監査レコードを最大 1 年間 (所要のアドオン ライセンスを取得したユーザーの場合は最大 10 年間) の長期にわたり保持できます。
- 監査記録の長期保持。 Microsoft Entra ID、Exchange、OneDrive、SharePoint の監査レコードは、既定で 1 年間保持されます。 他のすべてのアクティビティの監査レコードは、既定で 180 日間保持されます。また、監査ログのアイテム保持ポリシーを使って、より長い保持を構成することもできます。
- 監査 (Premium) インテリジェントな分析情報。 重要なイベントの監査記録は、いつメール項目がアクセスされたか、いつメール項目が返信されたか、または転送されたか、ユーザーがいつ何を Exchange Online や SharePoint Online で検索したかなどの可視性を提供することで、組織によるフォレンジック調査やコンプライアンス調査の実施をサポートします。 これらのイベントは、起こりうる侵害を調査し、侵害の範囲を決定するのに役立ちます。
- Office 365 管理アクティビティ API への高帯域幅。 監査 (プレミアム) は、組織が Office 365 マネージメント アクティビティ API を通じて監査ログにアクセスするための帯域幅を増やします。
ライセンス
監査 (Standard) または監査 (Premium) のライセンスには、適切な組織レベルのサブスクリプションと、対応するユーザーごとのライセンスが必要です。 ライセンス要件について詳しくは、「まとめとリソース」ユニットの「詳細情報」セクションをご覧ください。