次の方法で共有

監査ログの検索

Microsoft Purview 監査 (Standard) と Audit (Premium) で検索すると、重要な監査ログ イベント データにorganizationアクセスできるため、分析情報を得て、ユーザー アクティビティをさらに調査できます。

  • Microsoft Purview ポータルから開始する検索ジョブでは、Web ブラウザー ウィンドウを開いたままで完了する必要はありません。 ブラウザー ウィンドウを閉じても、これらのジョブは実行され続けます。
  • これで、システムは完了した検索ジョブを 30 日間保持するため、過去の監査検索を振り返ることができます。
  • 各管理者監査アカウント ユーザーは、フィルター処理されていない検索ジョブを 1 つ制限して、最大 10 個の検索ジョブを同時に実行できます。

監査ログを検索する前に

監査ログの検索を開始する前に、次の項目を確認してください。

  • Microsoft 365 および Office 365 Enterprise 組織では、監査ログ検索は規定でオンになっています。 監査ログ検索が有効になっていることを確認するには、PowerShell で次のコマンドExchange Online実行します。

    Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

    UnifiedAuditLogIngestionEnabled プロパティの値Trueは、監査ログ検索が有効になっていることを示します。 詳細については、「監査ログの検索を有効または無効にする」をご覧ください。

    重要

    PowerShell で前のコマンドExchange Online実行してください。 Get-AdminAuditLogConfig コマンドレットは Security & Compliance PowerShell でも使用できますが、監査ログ検索が有効になっている場合でも、UnifiedAuditLogIngestionEnabled プロパティは常にFalseされます。

  • 監査ログを検索するには、Microsoft Purview ポータルで監査ログロールまたは監査ログの表示専用ロールを割り当てる必要があります。 詳細については、「 監査ソリューションの概要」を参照してください。 監査コマンドレットにアクセスするには、Exchange 管理センターで 監査ログ または 監査ログの表示のみの 役割を割り当てる必要があります。 また、ビューのみの監査ログまたは監査ログロールをカスタム ロール グループに追加することで、監査ログを検索できるカスタム ロール グループを作成することもできます。 詳細については、「 Microsoft Purview ポータルのアクセス許可」を参照してください。

  • ユーザーまたは管理者が監査アクティビティを実行すると、システムによって監査レコードが生成され、organizationの監査ログに格納されます。 監査レコードが保持される時間 (および監査ログで検索可能) の長さは、Office 365またはMicrosoft 365 Enterpriseサブスクリプション、具体的には特定のユーザーに割り当てられているライセンスの種類によって異なります。

    • Office 365 E5またはMicrosoft 365 E5 ライセンスが割り当てられているユーザー (またはMicrosoft Purview スイート (旧称 Microsoft 365 E5 Compliance) を持つユーザー) またはMicrosoft 365 E5電子情報開示および監査アドオン ライセンス) では、既定で 1 年間、Microsoft Entra ID、Exchange、および SharePoint アクティビティの監査レコードが保持されます。 また、組織では、監査ログの保持ポリシーを作成して、その他のサービスのアクティビティについての監査レコードを最大 1 年間保持します。 詳細については、「監査ログ保持ポリシーを管理する」を参照してください。

      注:

      organizationが監査レコードの 1 年間のリテンション期間のプライベート プレビュー プログラムに参加している場合、一般提供ロールアウト日より前に生成された監査レコードの保持期間はリセットされません。

    • 他の (E5 以外の) Office 365または Microsoft 365 ライセンスが割り当てられているユーザーの場合、システムは 180 日間監査レコードを保持します。 統合監査ログをサポートするOffice 365と Microsoft 365 サブスクリプションの一覧については、監査 (Standard) と監査 (Premium) のサブスクリプション要件に関するページを参照してください。

      重要

      監査 (Standard) の既定の保持期間が 90 日から 180 日に変更されました。 2023 年 10 月 17 日より前に生成された監査 (Standard) ログは、90 日間保持されます。 2023 年 10 月 17 日以降に生成された監査 (Standard) ログは、180 日間の新しい既定の保持期間に従います。

      注:

      既定でメールボックス監査がオンになっている場合でも、一部のユーザーのメールボックス監査イベントが Microsoft Purview ポータルの監査ログ検索やOffice 365管理アクティビティ API を介して見つからないことに気付く場合があります。 詳細については、「More information about mailbox audit logging (メールボックス監査ログの詳細)」を参照してください。

  • organizationの監査ログ検索を無効にするには、PowerShell で次のコマンドExchange Online実行します。

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

    監査検索を再度有効にするには、powerShell で次のコマンドExchange Online実行します。

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    詳細については、「監査ログの検索を無効にする」を参照してください。

  • 監査ログの検索に使用される基になるコマンドレットは、Exchange Online コマンドレットです。これは Search-UnifiedAuditLog です。 つまり、Microsoft Purview ポータルの [監査] ページで検索ツールを使用する代わりに、このコマンドレットを使用して 監査 ログを検索できます。 このコマンドレットは、Exchange Online PowerShell で実行する必要があります。 詳細については、「Search-UnifiedAuditLog」を参照してください。

    Search-UnifiedAuditLog コマンドレットによって返された検索結果を CSV ファイルにエクスポートする方法の詳細については、「監査ログ レコードをエクスポート、構成、表示する」の「監査ログをエクスポート、表示するためのヒント」のセクションを参照してください。

  • プログラムによって監査ログからデータをダウンロードするには、PowerShell スクリプトを使用するのではなく、Office 365 Management Activity API を使用することをお勧めします。 Office 365管理アクティビティ API は、organizationの運用、セキュリティ、コンプライアンス監視ソリューションの開発に使用できる REST Web サービスです。 詳細については、「Office 365 管理アクティビティ API のリファレンス」を参照してください。

  • Microsoft Entra ID は、Microsoft 365 のディレクトリ サービスです。 統合監査ログには、Microsoft 365 管理センターまたは Azure 管理ポータルで実行されたユーザー、グループ、アプリケーション、ドメイン、およびディレクトリのアクティビティが記録されます。 Microsoft Entra イベントの完全な一覧については、「レポート イベントの監査Microsoft Entra」を参照してください。

  • Microsoft は、イベント発生後に、対応する監査レコードが監査ログ検索の結果に返される時間を保証しません。 コア サービス (Exchange、SharePoint、OneDrive、Teams など) の場合、イベントの可用性は通常 60 分から 90 分です。 他のサービスの場合、監査レコードの可用性が長くなる可能性があります。 ただし、避けられない問題 (サーバーの停止など) は、監査レコードの可用性を遅延する監査サービスの外部で発生する可能性があります。 これらの理由により、Microsoft は時間を確約しておりません。

  • 監査ログ内の Power BI アクティビティを検索するには、Power BI 管理ポータルで監査を有効にする必要があります。 手順については、Power BI 管理ポータルの「監査ログ」セクションをご覧ください。

検索を開始するには、次の手順を実行します。

  1. [Microsoft Purview ポータル] にサインインします。

  2. [監査ソリューション] カードを選択します。 [監査ソリューション] カードが表示されない場合は、[すべてのソリューションを表示] を選択し、[コア] セクションから [監査] を選択します。

  3. [ 検索 ] ページで、必要に応じて次の検索条件を構成します。

    1. 日付と時刻の範囲 (UTC): 過去 7 日間が既定で選択されています。 日付と時間の範囲を選択し、その期間内に発生したイベントを表示します。 日付と時刻は協定世界時 (UTC) で表示されます。 指定できる最大日付範囲は 180 日です。 選択した日付範囲が 180 日を超える場合、エラーが表示されます。

      ヒント

      最大日付範囲 180 日を使用する場合は、開始日の現在の時刻を選択 します。 それ以外の場合は、開始日が終了日より前であることを示すエラーが表示されます。 過去 180 日以内に監査を有効にした場合、監査が有効になった日付より前に最大日付範囲を開始することはできません。

    2. キーワード検索: 監査ログで検索するキーワード (keyword)または語句を入力します。 キーワード (keyword)または語句は、監査ログまたはファイル、フォルダー、またはサイト (指定されている場合) で検索されます。 特殊文字を含むテキストを検索するには、キーワード (keyword)検索で特殊文字をアスタリスク(*) に置き換えます。 たとえば、 test_search_documentを検索するには、 test*search*document を使用します。

      重要

      [キーワード検索] フィールドに入力された用語は、インデックス付きコンテンツ (監査共通スキーマ内のコンテンツ) 内でのみ検索されます。 監査ログ内の監査 データ コンテンツ は、これらのキーワードを検索しません。

    3. [ユニットの管理]: ドロップダウン リストを選択して、監査対象のアクティビティのスコープを検索する管理単位を表示します。 検索の範囲を指定する 1 つ以上の管理単位を選択できます。 organization内のすべての管理単位のエントリを返すには、このボックスを空白のままにします。

    4. アクティビティ - フレンドリ名: ドロップダウン リストを選択して、検索できる監査済みアクティビティのフレンドリ名を表示します。 ユーザーと管理者のアクティビティのフレンドリ名は、関連するアクティビティのグループに編成されます。 フレンドリ名を使用して、特定の監査されたアクティビティを選択するか、アクティビティ グループ名を選択してグループ内のすべてのアクティビティを選択できます。 選択したアクティビティを選択して、選択を解除することもできます。 リスト内のアクティビティのフレンドリ名を検索するには、リストの検索ボックスを使用します。

    5. アクティビティ - 操作名: 検索結果に含める監査済みアクティビティを検索する正確な操作名を入力します。 1 つ以上の操作名をコンマで区切って入力できます。 この検索条件は、PowerShell でのみ使用できる以前の検索と似ています。必要なデータを見つけるのに役立つ柔軟性が高くなります。

      重要

      操作名は、名前の付いたとおりに正確に入力する必要があります。 操作名が正しく入力されていない場合、結果は返されません。

      たとえば、organizationで SharePoint サイトの情報バリアを有効または無効にすることに関連するすべてのアクティビティを検索するには、次の操作を行います。

      • 監査アクティビティに関する記事を確認して、検索する情報バリア アクティビティの正確な操作名を見つけます。 この では、操作名は SPOIBIsEnabledSPOIBIsDisabled です
      • 操作検索フィールド に「SPOIBIsEnabled,SPOIBIsDisabled」と 入力します。 操作名を記事から操作検索フィールドに直接コピーして貼り付けて、入力ミスがなく正しく入力されていることを確認することをお勧めします。

    6. レコードの種類: ドロップダウン リストを選択して、検索できる監査済みアクティビティのレコードの種類を表示します。 検索するレコードの種類を 1 つ以上選択できます。 リスト内のレコードの種類を検索するには、リストの検索ボックスを使用します。

      特定の レコードの種類 は、特定の Microsoft サービスとアプリケーションに関連付けられています。 たとえば、Microsoft Purview Information Protection (MIP) の秘密度ラベルに関連付けられている特定のレコードの種類の検索のスコープを設定する場合は、MIPLabelMipAutoLabelExchangeItemMipAutoLabelSharePointItemMipAutoLabelSharePointPolicyLocation レコード型をリストから選択できます。

    7. 検索名: 検索ジョブのカスタム名を入力します。 この名前は、検索ジョブ履歴で検索ジョブを識別するために使用されます。 名前を入力しない場合、検索ジョブには、検索に対して定義された日付と時刻と他の定義された検索条件値の組み合わせを使用して、自動的に名前が付けられます。

    8. ユーザー: このフィールドを選択し、検索結果を表示する 1 人以上のユーザーの名前を選択します。 このボックスで選択したユーザーによって実行された選択したアクティビティの監査ログ エントリが結果の一覧に表示されます。 組織のすべてのユーザー (およびサービス アカウント) のエントリを返すには、このボックスを空白のままにします。

    9. ファイル、フォルダー、またはサイト: 関連するアクティビティを見つけるには、ファイル名またはフォルダー名の一部またはすべてを入力します。 これにより、一致するファイル、フォルダー、およびサイトの結果が返されます。 完全な URL または URL の一部を入力することもできます。特殊文字やスペースは使用しないでください。 URL の末尾にはワイルドカードとして * を使用できます。 たとえば、「 https://<tenantname>.sharepoint.com/sites/site123* 」のように入力します。 organization内のすべてのファイルとフォルダーのアクティビティを表示するには、フィールドを空白のままにします。

    10. ワークロード: 選択したワークロードに関連するアクティビティを検索するワークロード サービスを入力または検索します。 一覧のワークロードにジャンプするワークロードの名前を入力するか、選択するワークロードまでスクロールします。

  4. [ 検索 ] を選択して検索ジョブを開始します。 1 つのユーザー アカウントに対して、最大 10 個の検索ジョブを並列で実行できます。 ユーザーが 10 個を超える検索ジョブを必要とする場合は、 進行中 のジョブが完了するか、検索ジョブを削除するまで待機する必要があります。

検索ジョブ ダッシュボード

検索ジョブ ダッシュボードには、アクティブな検索ジョブと完了した検索ジョブが表示されます。 検索ジョブごとに、ダッシュボードに次の情報が表示されます。

  • 検索名: 検索ジョブの名前。 検索ジョブ名の上にカーソルを置くと、ジョブの完全な検索名を確認できます。
  • ジョブの状態: 検索ジョブの状態。 状態は、[ キュー]、[ 進行中]、または [完了] のいずれかです。
  • 進行状況 (%): ジョブが完了した検索ジョブの割合。
  • 検索時間: 検索ジョブを完了するまでの合計実行時間。
  • 合計結果: 検索ジョブが返す結果の合計数。
  • 作成時刻: 検索ジョブが UTC で作成された日時。
  • 実行される検索: 検索ジョブを作成するユーザー アカウント。

Microsoft Purview の監査検索の概要の結果。

ジョブを選択し、コマンド バーの [削除] を選択して、検索ジョブを 削除 します。 検索ジョブを削除しても、検索に関連付けられているバックエンド データは削除されません。 検索ジョブ定義と関連する検索結果のみが削除されます。

既存の検索ジョブの検索条件をコピーするには、ジョブを選択し、コマンド バーで [ この検索をコピー ] を選択します。 検索条件は検索ページにコピーされ、新しい検索に必要に応じて検索条件を変更できます。

検索ジョブの詳細ダッシュボード

検索ジョブの詳細を表示するには、検索ジョブを選択します。 ダッシュボードには、ジョブ内のアイテムの合計数が上部に表示されます。 結果の合計数は重複を削除するため、検索ジョブ ダッシュボードの項目数よりも少なくなる可能性があります。

ジョブ 項目の詳細ダッシュボードを検索します。

検索ジョブの詳細ダッシュボードには、検索ジョブの結果に収集された個々のアイテムに関する次の情報が表示されます。

  • 日付 (UTC): アクティビティが発生した日付と時刻。
  • IP アドレス: アクティビティの実行に使用されたデバイスの IP アドレス。
  • ユーザー: アクティビティを実行したユーザー アカウント。
  • レコードの種類: アクティビティに関連付けられているレコードの種類。
  • アクティビティ: 実行されたアクティビティのフレンドリ名。
  • 項目: アクティビティが実行されたファイル、フォルダー、またはサイトの名前。
  • 管理ユニット: アクティビティを実行したユーザー アカウントが属する管理単位。
  • 詳細: アクティビティに関するその他の詳細。

列ヘッダーを使用して検索ジョブ項目を並べ替えたり、フィルター ウィンドウを使用してカスタム フィルターを作成したりできます。 フィルターを使用して、ダッシュボード列の条件のいずれかの特定の値を検索ジョブ項目にフィルター処理します。 すべての検索ジョブ項目を .csv ファイルにエクスポートするには、コマンド バーの [エクスポート ] を選択します。 エクスポートでは、監査 (Standard) では最大 50 KB、監査 (Premium) では最大 500 KB (500,000 行) の結果がサポートされます。

フライアウト ウィンドウでアクティビティの詳細を表示するには、特定のアクティビティを選択します。 ポップアップ ウィンドウには、アクティビティに関する追加情報が表示されます。

ジョブ 項目の詳細を検索します。

管理単位を使用した監査ログへのアクセスのスコーピング

監査ログを検索するためのアクセス権は、Microsoft Purview ポータルでユーザーに割り当てられた 管理単位 に基づいています。 制限付き管理者は、ユーザーが生成した監査ログを、割り当てられた管理単位のスコープ内でのみ検索およびエクスポートできます。 無制限の管理者は、ユーザー以外のアカウントとシステム アカウントによって生成されたログを含むすべての監査ログにアクセスできます。 Exchange メールボックス アクティビティ ログなど、Microsoft サービスからスコープ付きアクティビティ ログにアクセスするには、 Search-UnifiedAuditLog コマンドレットを使用します。

管理者に割り当てられた管理ユニット スコープ検索を実行するために使用できる管理ユニット 監査ログの検索とエクスポートへのアクセス
なし (既定値): 無制限の管理者 すべての管理単位を使用できます 任意のユーザー、非ユーザー、またはシステム アカウントからすべてのアクティビティ ログにアクセスします。
1 つ以上の管理単位: 制限付き管理者 管理者に割り当てられている管理単位のみを使用できます 一致する管理単位の割り当てを持つユーザーからのアクティビティ ログへのアクセス。

検索クエリを使用して次の監査アクティビティにアクセスできるのは 、無制限の管理者 のみです。 制限付き管理者がクエリを実行したときに、これらのログにアクセスできるように取り組んでいます。これらのアクティビティの監査ログの完全な一覧を表示するには、無制限の管理者アカウントを使用して検索要求を送信します。

サービス 操作
Azure Information Protection 検索
Dynamics 365 CrmDefaultActivity
エンドポイントのデータ損失防止 FileCreated
FileCreatedOnNetworkShare
FileCreatedOnRemovableMedia
FileDeleted
Exchange Set-Mailbox
Set-MailboxPlan
SupervisionBulkEmailExclusion
Microsoft Forms ViewRuntimeForm

管理単位の詳細については、「 Microsoft Purview ポータルのアクセス許可」を参照してください。