Microsoft Purview 監査 (Standard) の実装

  • 4 分

Microsoft 365 の Microsoft Purview 監査 (Standard) を使用すると、組織は、Microsoft 365 サービスのユーザーと管理者が完了したさまざまなアクティビティの監査レコードを検索できます。 監査 (Standard) は、ほとんどの Microsoft 365 および Office 365 組織で既定で有効になっています。 その結果、監査ログを検索する前に組織が行う必要があることはごくわずかです。

ライセンスとアクセス許可の設定を含む、Microsoft Purview 監査 (Standard) を設定する手順を示す図。

組織が監査 (Standard) を使用して監査ログを検索するには、次の手順を実行する必要があります:

  • 監査レコードの生成と保持に必要な適切な組織のサブスクリプションとユーザー ライセンスを確保する。
  • セキュリティ運用、IT、コンプライアンス、法務チームのチーム メンバーにアクセス許可を割り当てる。

これらのシナリオについては、次のセクションでより詳細に検討されます。

手順 1: 組織のサブスクリプションとユーザー ライセンスを確認する

監査 (Standard) のライセンスには、以下を提供する適切な組織サブスクリプションが必要です:

  • 監査ログ検索ツールへのアクセス。
  • 監査レコードのログ記録と保持に必要なユーザーごとのライセンス。

監査されたアクティビティがユーザーや管理者によって実行されると、監査記録が生成され、組織の監査ログに保存されます。 監査 (Standard) では、監査レコードは 180 日間監査ログに保持され、検索できます。

監査 (Standard) のサブスクリプションとライセンス要件のリストについては、「Microsoft 365 の監査ソリューション」を参照してください。

手順 2: 監査ログを検索するためのアクセス許可を割り当てる

監査ログを検索するには、管理者と調査チームのメンバーに、Exchange Online のログの閲覧限定監査またはログの監査の役割が割り当てられている必要があります。

  • 既定では、これらの役割は、Exchange 管理センターの [アクセス許可] ページで、コンプライアンス管理および組織管理の役割グループに割り当てられます。
  • Office 365 および Microsoft 365 のグローバル管理者は、Exchange Online の組織管理の役割グループのメンバーとして自動的に追加されます。

最小限の特権レベルで監査ログを検索する機能をユーザーに付与するために、組織は次のことができます:

  1. Exchange Online でカスタム役割グループを作成します。
  2. ログの閲覧限定監査またはログ監査の役割を役割グループに追加します。
  3. ユーザーを新しい役割グループのメンバーとして追加します。

詳細については、「Exchange Online で役割グループを管理する」を参照してください。

次のスクリーンショットは、Exchange 管理センターの組織管理の役割グループに割り当てられている 2 つの監査関連の役割を示しています。

組織管理の役割と、それに割り当てられているアクセス許可を示す Exchange 管理センターのスクリーンショット。

手順 3: 監査ログを検索する

この時点で、組織は Microsoft Purview コンプライアンス ポータル内で監査ログを検索する準備ができました。

  1. Microsoft Purview コンプライアンス ポータルのナビゲーション ウィンドウで [監査] を選択 します。

  2. [監査] ページの [検索] タブで次の条件を使用して検索を構成します。

    Microsoft Purview コンプライアンス ポータルの [監査] ページのスクリーンショット。監査ログの検索設定が表示されています。

    • A. 日付と時刻の範囲. 日付と時間の範囲を選択し、その期間内に発生したイベントを表示します。 日付と時刻は、ローカル時刻で表示されます。 既定では、過去 7 日間が選択されています。
    • B. アクティビティ. 検索するアクティビティを選択します。 検索ボックスを使用して、リストに追加するアクティビティを検索します。 監査されたアクティビティの一部リストについては、「監査されたアクティビティ」を参照してください。 監査されたすべてのアクティビティのエントリを返すには、このボックスを空白のままにします。
    • C. ユーザー. このボックスを選択し、検索結果を表示するユーザーの名前の入力を開始します。 このボックスで選択したユーザーによって実行された選択済みのアクティビティの監査ログ エントリが結果のリストに表示されます。 組織のすべてのユーザー (およびサービス アカウント) のエントリを返すには、このボックスを空白のままにします。
    • D. Fileフォルダーまたはサイト。 ファイル名またはフォルダー名の一部またはすべてを入力して、指定したキーワードを含むフォルダーのファイルに関連するアクティビティを検索します。 ファイルまたはフォルダーの URL を指定することもできます。 ファイルまたはフォルダーの URL を使用する場合は、完全な URL パスを入力します。または URL の一部を入力する場合は、特殊文字やスペースを含めないでください。 組織内のすべてのファイルおよびフォルダーのエントリを返すには、このボックスを空白のままにします。

  3. [検索] を選択して検索を実行します。

監査ログの検索が実行されていることを示す新しいページが表示されます。 検索が完了すると、監査レコードがページに表示されます。 詳細なプロパティを含むポップアップ ページを表示するレコードを選択します。

注:

この手順については、次のユニットで詳しく説明します。