Microsoft Purview 監査 (プレミアム) を探す
Microsoft Purview の監査機能を使用すると、組織は Microsoft 365 のさまざまなサービスにわたって、さまざまな種類の監査済みアクティビティを可視化できます。 Microsoft Purview では、監査 (標準) と監査 (プレミアム) の 2 つの監査ソリューションが用意されています。
前のモジュールでは、Microsoft Purview 監査 (標準) は、監査対象のアクティビティをログに記録して検索する機能を組織に提供することを説明しました。 また、組織はフォレンジック、IT、コンプライアンス、および法的な調査を強化できます。
このモジュールでは、Microsoft Purview 監査 (プレミアム) が Microsoft Purview 監査 (標準) の機能に基づいて構築されていることを説明します。 フォレンジックおよびコンプライアンス調査を実施する組織向けに特別に設計された高度な機能を提供します。 これらの機能は次を提供します:
- 調査を行うために必要な監査ログの保持期間の増加。
- 侵害の範囲を特定するのに役立つ重要なイベントへのアクセス。
- 帯域幅アクセスの向上と、Office 365 Management Activity API へのアクセスの高速化。
このユニットでは、監査 (プレミアム) 機能の概要について説明します。
組織のサブスクリプションとユーザー ライセンス
監査 (プレミアム) は、Office 365 E5/A5/G5 または Microsoft 365 Enterprise E5/A5/G5 サブスクリプションを契約している組織に提供されます。 E5/A5/G5 サブスクリプションを持つ組織の場合、適格な顧客と適切な E5/A5/G5 ライセンスが割り当てられているユーザーは、監査 (プレミアム) イベントにアクセスできます。 監査 (プレミアム) イベントは、E5/A5/G5 ライセンスを持つユーザーに対して、これらのライセンスが割り当てられた後にのみ生成されます。
ユーザー レベルの監査 (プレミアム) 機能を利用するには、ユーザーに E5/A5/G5 ライセンスを割り当てる必要があります。 適切なライセンスをチェックして、ユーザーに機能を公開するための機能がいくつかあります。 たとえば、90 日を超えて適切なライセンスが割り当てられていないユーザーの監査レコードを保持しようとすると、システムはエラー メッセージを返します。
監査ログの長期保持
監査対象のアクティビティがユーザーまたは管理者によって実行されると、監査レコードが生成され、組織の監査ログに保存されます。 Microsoft Purview 監査 (標準) では、監査ログ レコードは 90 日間保持されます。 これに対し、監査 (Premium) では、すべての Exchange、SharePoint、およびMicrosoft Entra監査レコードが 1 年間保持されます。
監査 (プレミアム) は、既定の監査ログ保持ポリシーを実装することで、この余分な保持時間を提供します。 監査レコードの長期間にわたる保持は、継続的なフォレンジック調査やコンプライアンス調査に役立ちます。 詳細については、「監査ログの保持ポリシーの管理」の「既定の監査ログの保持ポリシー」セクションを参照してください。
注:
監査 (プレミアム) の 1 年間の保持機能に加えて、Microsoft 365 ではオプションで監査ログを 10 年間保持できます。 監査ログを 10 年間保持することで、長期間にわたる調査や、規制上、法律上、および組織内の義務への対応をサポートします。 監査ログを 10 年間保持するには、ユーザー毎の追加のアドオン ライセンスが必要です。 このライセンスがユーザーに割り当てられ、適切な 10 年間の監査ログ保持ポリシーがそのユーザーに対して設定されると、そのポリシーの対象の監査ログは以降 10 年間保持されるようになります。このライセンスがユーザーに割り当てられ、適切に 10 年間の監査ログ保持ポリシーが設定されると、そのポリシーが担保する監査ログは以降 10 年間保持されるようになります。 このポリシーは遡及的ではありません。 そのため、10 年間の監査ログ保持ポリシーが作成される前に生成された監査ログを保持することはできません。
監査ログの保持ポリシー
既定の監査ログの保持ポリシーが適用されていない他のサービスで生成されたすべての監査レコードは、90 日間保持されます。 ただし、カスタマイズした監査ログの保持ポリシーを作成して、最大 10 年間他の監査レコードを保持できます。 次の 1 つ以上の基準に基づいて、監査レコードを保持するポリシーを作成できます。
- 監査されたアクティビティが発生する Microsoft 365 サービス。
- 特定の監査されたアクティビティ。
- 監査されたアクティビティを実行するユーザー。
ポリシーと優先度レベルに一致する監査レコードを保持する期間を指定することもできます。 この設計により、特定のポリシーが他のポリシーよりも優先されます。
Organizationの一部またはすべてのユーザーに対して、Exchange、SharePoint、またはMicrosoft Entra監査レコードを 1 年未満 (または最大 10 年間) 保持する必要がある場合は、カスタム監査ログ保持ポリシーが既定の監査アイテム保持ポリシーよりも優先されます。
注意
2020 年の第 4 四半期に機能が一般提供リリースされた後に作成された 10 年間の監査ログ保持ポリシーの対象となる任意の監査ログ データについては、10 年間にわたって保持されます。 この設計には、必須のアドオン ライセンスが 2021 年 3 月にリリースされて購入可能となった以前に作成された 10 年間の監査ログ保持ポリシーが含まれます。 ただし、現在は 10 年間の監査ログ保持アドオン ライセンスが提供されているため、10 年間の監査保持ポリシーが適用されている監査データの対象となるすべてのユーザーについて、アドオン ライセンスを購入して割り当てる必要があります。
監査 (プレミアム) イベント
監査 (Premium) は、次のような重要なイベントへのアクセスを提供することで、組織がフォレンジックおよびコンプライアンス調査を実施するのに役立ちます:
- メール アイテムがアクセスされたとき。
- メール アイテムが返信または転送されたとき。
- Exchange Online および SharePoint Online でユーザーが検索した日時と内容。
これらのイベントは、起こりうる侵害を調査し、侵害の範囲を決定するのに役立ちます。 Exchange および SharePoint のこれらのイベントと共に、他の Microsoft 365 サービスにも重要なイベントと見なされるイベントがあります。 これらのイベントでは、ユーザーに適切な監査 (プレミアム) ライセンスが割り当てられている必要もあります。
重要
ユーザーがこれらのイベントを実行する場合に監査ログが生成されるために、ユーザーに監査 (プレミアム) ライセンスを割り当てる必要があります。
監査 (プレミアム) では、次の新しいイベントが提供されます。これらはそれぞれ、次のセクションで紹介します:
- MailItemsAccessed イベント
- Send イベント
- SearchQueryInitiatedExchange イベント
- SearchQueryInitiatedSharePoint イベント
- Microsoft 365 のその他の監査 (プレミアム) イベント
注:
監査 (プレミアム) イベントのこれらの新しいイベントは、Office 365 Management Activity API で利用できます。 適切なライセンスを持つユーザーの監査レコードが生成されている限り、Office 365 管理アクティビティ API を介してこれらのレコードにアクセスできます。
MailItemsAccessed イベント
MailItemsAccessed イベントはメールボックス監査アクションです。 メール プロトコルとメール クライアントがメール データにアクセスしたときにトリガーされます。 イベントは、調査者がデータ違反を識別し、侵害された可能性があるメッセージの範囲を特定するのに役立ちます。 攻撃者がメール メッセージへのアクセスを取得すると、メッセージが読まれたことを示す明示的なシグナルがない場合でも、MailItemsAccessed アクションがトリガーされます。 つまり、バインドや同期などのアクセスの種類が監査レコードに記録されます。
MailItemsAccessed イベントは、Exchange Online のメールボックスの監査ログの MessageBind を置き換えます。 これにより、次の改善が行われます:
- MessageBind は、AuditAdmin ユーザー サインインの種類に対してのみ構成可能でした。 委任アクションまたは所有者アクションには適用されませんでした。
- 機能強化。 MailItemsAccessed は、すべてのサインインの種類に適用されます。
- MessageBind は、メール クライアントによるアクセスのみを対象としています。 同期アクティビティには適用されませんでした。
- 機能強化。 MailItemsAccessed イベントは、バインド アクセスの種類と同期アクセスの種類の両方によってトリガーされます。
- MessageBind アクションによって、同じメール メッセージにアクセスしたときに複数の監査レコードが作成されます。 この設計により、"ノイズ" が監査されました。
- 機能強化。 MailItemsAccessed イベントは、少数の監査レコードに集約されます。
MailItemsAccessed 監査レコードを検索するために、組織は、Microsoft Purview コンプライアンス ポータル内の監査ログ検索ツールの Exchange メールボックス アクティビティ ドロップダウン リストでメールボックス アイテムへのアクセス アクティビティを検索できます。
Exchange Online PowerShell で Search-UnifiedAuditLog -Operations MailItemsAccessed または Search-MailboxAuditLog -Operations MailItemsAccessed コマンドを実行することもできます。
Send イベント
Send イベントは、別のメールボックス監査アクションです。 ユーザーが次のいずれかのアクションを完了したときにトリガーされます:
- メール メッセージの送信。
- メール メッセージへの返信。
- メール メッセージの転送。
調査担当者は Send イベントを使用して、侵害されたアカウントから送信されたメールを特定することができます。 Send イベントの監査レコードには、次のようなメッセージに関する情報が含まれています:
- メッセージが送信されたとき。
- InternetMessage ID。
- 件名。
- メッセージに添付ファイルが含まれているかどうか。
この監査情報は、調査担当者が侵害されたアカウントから送信された、または攻撃者によって送信されたメール メッセージに関連する情報を特定するのに役立ちます。 さらに、調査担当者は Microsoft 365 の電子情報開示ツールを使用して (件名やメッセージ ID を使用して) メッセージを検索できます。 これにより、メッセージが送信された受信者と、送信されたメッセージの実際の内容を識別できます。
Send 監査レコードを検索するには、Microsoft Purview コンプライアンス ポータル内の監査ログ検索ツールの Exchange メールボックス アクティビティ ドロップダウン リストで送信済みメッセージ アクティビティを検索できます。
Exchange Online PowerShell で Search-UnifiedAuditLog -Operations Send または Search-MailboxAuditLog -Operations Send コマンドを実行することもできます。
SearchQueryInitiatedExchange イベント
SearchQueryInitiatedExchange イベントは、ユーザーが Outlook を使用してメールボックス内のアイテムを検索するときにトリガーされます。 次の Outlook 環境で検索が実行されると、イベントがトリガーされます。
- Outlook (デスクトップ クライアント)
- Outlook on the web (OWA)
- Outlook for iOS
- Outlook for Android
- Windows 10 用メール アプリ
調査担当者は SearchQueryInitiatedExchange イベントを使用し、アカウントを侵害した可能性のある攻撃者がメールボックス内の機密情報を探したり、アクセスしようとしたかどうかを判断することができます。 SearchQueryInitiatedExchange イベントの監査レコードには、検索クエリの実際のテキストなどの情報が含まれています。 監査レコードは、検索が実行された Outlook 環境も示します。 攻撃者が実行した可能性のある検索クエリを調査することで、調査担当者は検索されたメール データの意図をより深く理解することができます。
SearchQueryInitiatedExchange 監査レコードを検索するには、Microsoft Purview コンプライアンス ポータル内の監査ログ検索ツールの検索アクティビティ ドロップダウン リストで実行されたメール検索アクティビティを検索できます。
また、Exchange Online PowerShell で Search-UnifiedAuditLog -Operations SearchQueryInitiatedExchange を実行することもできます。
監査ログでこのイベントを検索するには、SearchQueryInitiatedExchange を有効にして記録する必要があります。
SearchQueryInitiatedSharePoint イベント
SearchQueryInitiatedSharePoint イベントは、メールボックス アイテムの検索に似ています。 ユーザーが SharePoint 内のアイテムを検索したときにトリガーされます。 次の種類の SharePoint サイトのルートまたは既定のページで検索が実行されるとイベントがトリガーされます。
- ホーム サイト
- コミュニケーション サイト
- ハブ サイト
- Microsoft Teams に関連付けられているサイト
調査担当者は、SearchQueryInitiatedSharePoint イベントを使用して攻撃者が SharePoint 内の機密情報を見つけようとした (そしてアクセスした可能性がある) かどうかを判断することができます。 SearchQueryInitiatedSharePoint イベントの監査レコードには、検索クエリの実際のテキストも含まれています。 監査レコードには、検索された SharePoint サイトの種類も示されます。 攻撃者が実行した可能性のある検索クエリを調査することで、調査担当者は攻撃者が検索したファイル データの意図や範囲をより深く理解することができます。
SearchQueryInitiatedSharePoint 監査レコードを検索するには、Microsoft Purview コンプライアンス ポータル内の監査ログ検索ツールの検索アクティビティ ドロップダウン リストで実行された SharePoint 検索アクティビティを検索できます。
また、Exchange Online PowerShell で Search-UnifiedAuditLog -Operations SearchQueryInitiatedSharePoint を実行することもできます。
注:
監査ログでこのイベントを検索するには、SearchQueryInitiatedSharePoint を有効にして記録する必要があります。
Microsoft 365 のその他の監査 (プレミアム) イベント
Exchange Online と SharePoint Online のイベントに加えて、その他の Microsoft 365 サービスにもイベントとみなされるイベントがあり、ユーザーに適切な監査 (プレミアム) ライセンスが割り当てられている場合は、ログに記録されます。 次の Microsoft 365 サービスでは、監査 (プレミアム) イベントを提供します。 対応するリンクを選択して、これらのイベントを特定し説明する記事に移動します。
Office 365 管理アクティビティ API への高帯域幅アクセス
以前に Office 365 管理アクティビティ API を使用して監査ログにアクセスしていた組織は、発行者レベルの調整制限により制限されていました。 つまり、発行者が複数のお客様に代わってデータをプルする場合、制限はそれらすべてのお客様で共有されていました。
監査 (プレミアム) のリリースにより、Microsoft 365 は発行者レベルの制限からテナント レベルの制限に移行します。 その結果、各組織は、監査データにアクセスするために独自に完全に割り当てられた帯域幅を取得します。 帯域幅は、静的で定義済みの制限ではありません。 代わりに、因子の組み合わせでモデル化されます。 これらの要因には、組織内のシート数と、E5/A5/G5 組織が非 E5/A5/G5 組織よりも多くの帯域幅を取得するという事実が含まれます。
すべての組織には、最初に 1 分あたり 2,000 件の要求のベースラインが割り当てられます。 この制限は、組織のシート数とライセンス サブスクリプションに応じて動的に増加します。 E5/A5/G5 組織は、E5/A5/G5 以外の組織の約 2 倍の帯域幅を利用できます。 また、サービスの正常性を保護するために、最大帯域幅の上限も設定されます。
追記。 詳細については、「Office 365 管理アクティビティ API リファレンス」の「API 調整」のセクションを参照してください。
理解度チェック
次の各質問に最適な回答を選択します。