Microsoft Purview 監査ソリューションは、セキュリティ イベント、フォレンジック調査、内部調査、コンプライアンス義務に組織が効果的に対応するための統合ソリューションが用意されています。 organizationの統合監査ログは、数十の Microsoft サービスとソリューションで実行された何千ものユーザーと管理者の操作をキャプチャ、記録、保持します。 organizationのセキュリティ運用、IT 管理者、インサイダー リスク チーム、コンプライアンスおよび法務調査官は、これらのイベントの監査レコードを検索できます。 この機能により、organization全体で実行されるアクティビティが可視化されます。
主要機能の比較
次の表は、監査 (標準) と監査 (プレミアム) で使用できる主な機能を比較したものです。 監査 (Premium) には、すべての監査 (Standard) 機能が含まれています。
| 機能 | 監査 (標準) | 監査 (プレミアム) |
|---|---|---|
| 既定で有効 |
|
|
| 検索可能な数千件の監査イベント |
|
|
| Microsoft Purview ポータルの監査検索ツール |
|
|
| 監査検索Graph API |
|
|
| Search-UnifiedAuditLog コマンドレット |
|
|
| 監査記録を CSV ファイルにエクスポートします |
|
|
| Office 365 マネージメント アクティビティ API 1 を介した監査ログにアクセスする |
|
|
| 180 日間の監査ログ保有期間 |
|
|
| 最大 1 年間の監査ログ保有期間 |
|
|
| 10 年間の監査ログの保持 2 |
|
|
| 監査ログの保持ポリシー |
|
|
| インテリジェントな分析情報 |
|
注:
1 監査 (プレミアム) には、Office 365 マネージメント アクティビティ API へのより高い帯域幅のアクセスが含まれており、監査データへのアクセスが高速化されます。
2 監査 (Premium) に必要なライセンス (次のセクションで説明します) に加えて、監査レコードを 10 年間保持するには、ユーザーに 10 年間の監査ログ保持アドオン ライセンスを割り当てる必要があります。
監査 (標準)
Microsoft Purview 監査 (Standard) を使用すると、フォレンジック、IT、コンプライアンス、法的調査をサポートするために、監査されたアクティビティをログに記録して検索できます。
既定で有効。 監査 (Standard) は、適切なサブスクリプションを持つすべての組織に対して既定で有効になっています。 この構成は、監査されたアクティビティの検索可能なレコードをキャプチャして作成します。 監査ログ検索ツール (および対応するコマンドレット) にアクセスするために必要なアクセス許可を割り当て、ユーザーがMicrosoft Purview 監査 (Premium) 機能の適切なライセンスを持っていることを確認する必要があります。
検索可能な数千件の監査イベント。 organizationのほとんどの Microsoft サービスで発生するさまざまな監査アクティビティを検索できます。 検索できるアクティビティの一覧については、「 監査ログ アクティビティ」を参照してください。 監査活動をサポートするサービスや機能のリストについては、「監査ログ記録タイプ」を参照してください。
Microsoft Purview ポータルの監査検索ツール。 ポータルの監査ログ検索ツールを使用して、監査レコードを検索します。 特定のアクティビティ、特定のユーザーによって実行されたアクティビティ、および日付範囲内で発生したアクティビティを検索できます。
監査検索Graph API。 Microsoft Graph では、1 つの応答で複数の Microsoft クラウド サービスからデータにアクセスするための統合 API エンドポイントが提供されます。 監査検索Graph APIを使用すると、Microsoft Graph を介して監査検索エクスペリエンスにプログラムでアクセスできます。
Search-UnifiedAuditLog コマンドレット。 Exchange Online PowerShell の Search-UnifiedAuditLog コマンドレット (検索ツールの基礎となるコマンドレット) を使用して、監査イベントを検索したり、スクリプトで使用したりすることができます。 詳細については、以下を参照してください。
監査記録を CSV ファイルにエクスポートします。 Microsoft Purview ポータルで監査ログ検索ツールを実行した後、検索によって返された監査レコードを CSV ファイルにエクスポートできます。 このプロセスを使用すると、Microsoft Excel を使用して、さまざまな監査レコード プロパティを並べ替えてフィルター処理できます。 また、Excel Power Query の変換機能を使って、AuditData JSON オブジェクトの各プロパティを個別の列に分割することもできます。 このプロセスを使用すると、さまざまなイベントに対して同様のデータを効果的に表示および比較できます。 詳細については、「監査ログ レコードをエクスポート、構成、表示する」を参照してください。
Office 365 マネージメント アクティビティ API を介した監査ログにアクセスします。 監査記録にアクセスして取得する 3 つ目の方法は、Office 365 マネージメント アクティビティ API を使用することです。 この方法を使用すると、組織は監査データを既定の 180 日よりも長い期間保持でき、監査データを SIEM ソリューションにインポートできます。 詳細については、「Office 365 管理アクティビティ API のリファレンス」を参照してください。
180 日間の監査ログの保持。 ユーザーまたは管理者が監査アクティビティを実行すると、システムによって監査レコードが生成され、organizationの監査ログに格納されます。 監査 (Standard) では、レコードは 180 日間保持されます。つまり、過去 6 か月以内に発生したアクティビティを検索できます。
重要
監査 (Standard) の既定の保持期間が 90 日から 180 日に変更されました。 2023 年 10 月 17 日より前に生成された監査 (Standard) ログは、90 日間保持されます。 2023 年 10 月 17 日以降に生成された監査 (Standard) ログは、180 日間の新しい既定の保持期間に従います。
監査 (プレミアム)
重要
クラシック検索は 2023 年 11 月 30 日に廃止されました。 新しい検索 には、検索時間の短縮、追加の検索オプション、検索を保存する機能などの拡張機能が含まれています。
監査 (Premium) は、監査ログ保持ポリシー、監査レコードの長い保持、価値の高いインテリジェントな分析情報、Office 365 Management Activity API への高帯域幅アクセスを提供することで、監査 (Standard) の機能に基づいています。
- 監査ログの保持ポリシー。 監査レコードを保持するカスタマイズされた監査ログ保持ポリシーを作成し、監査レコードを最大 1 年間 (必要なアドオン ライセンスを持つユーザーの場合は最大 10 年間) 保持します。 監査されたアクティビティが発生したサービス、特定の監査アクティビティ、または監査されたアクティビティを実行するユーザーに基づいて監査レコードを保持するポリシーを作成します。
- 監査記録の長期保持。 Microsoft Entra ID、Exchange、OneDrive、および SharePoint 監査レコードは、既定で 1 年間保持されます。 他のすべてのアクティビティの監査レコードは、既定で 180 日間保持されます。または、監査ログ保持ポリシーを使用して、より長い保持期間を構成できます。
- 監査 (Premium) インテリジェントな分析情報。 インテリジェントな分析情報の監査レコードを使用すると、organizationは、メール アイテムがいつアクセスされたか、メール アイテムがいつ返信および転送されたか、ユーザーがExchange Onlineや SharePoint Online で検索したタイミングと内容などのイベントを可視化することで、フォレンジックとコンプライアンスの調査を行うのに役立ちます。 これらのインテリジェントな分析情報は、侵害の可能性を調査し、侵害の範囲を特定するのに役立ちます。
- Office 365 管理アクティビティ API への高帯域幅。 監査 (プレミアム) は、組織が Office 365 マネージメント アクティビティ API を通じて監査ログにアクセスするための帯域幅を増やします。 監査 (Standard) または監査 (Premium) を持つすべての組織は、最初は 1 分あたり 2,000 件の要求のベースラインを受け取りますが、この制限はorganizationのシート数とそのライセンス サブスクリプションに応じて動的に増加します。 この変更により、監査 (Premium) を持つ組織は、監査 (Standard) を持つ組織の約 2 倍の帯域幅を取得します。
監査ログの長期保持
監査 (Premium) では、すべての Exchange、SharePoint、およびMicrosoft Entra監査レコードが 1 年間保持されます。 この保持は、ワークロード プロパティ (アクティビティが発生したサービスを示す) の AzureActiveDirectory、Exchange、OneDrive、または SharePoint の値を含む監査レコードを 1 年間保持する既定の監査ログ保持ポリシーによって行われます。 監査レコードを長期間保持すると、継続的なフォレンジックまたはコンプライアンスの調査に役立ちます。 詳細については、「監査ログの保持ポリシーの管理」の「既定の監査ログの保持ポリシー」セクションを参照してください。
監査 (Premium) の 1 年間の保持機能に加えて、監査ログを 10 年間保持する機能もリリースしました。 監査ログを 10 年間保持することで、長期間にわたる調査や、規制上、法律上、および組織内の義務への対応をサポートします。
注:
監査ログを 10 年間保持するには、追加のユーザーごとのアドオン ライセンスが必要です。 このライセンスをユーザーに割り当て、そのユーザーに適切な 10 年間の監査ログ保持ポリシーを設定すると、そのポリシーの対象となる監査ログは 10 年間保持され始めます。 このポリシーは遡及的ではなく、10 年間の監査ログ保持ポリシーが作成される前に生成された監査ログを保持できません。
監査ログの保持ポリシー
他のサービスによって生成される監査レコードと、既定の監査ログ保持ポリシーに含まれないすべての監査レコードは、180 日間保持されます。 カスタマイズされた監査ログ保持ポリシーを作成して、最大 10 年間、他の監査レコードを長期間保持できます。 次の 1 つ以上の基準に基づいて、監査レコードを保持するポリシーを作成できます。
監査されたアクティビティが発生する Microsoft サービス。
特定の監査されたアクティビティ。
監査されたアクティビティを実行するユーザー。
重要
監査 (Standard) の既定の保持期間が 90 日から 180 日に変更されました。 2023 年 10 月 17 日より前に生成された監査 (Standard) ログは、90 日間保持されます。 2023 年 10 月 17 日以降に生成された監査 (Standard) ログは、180 日間の新しい既定の保持期間に従います。 また、特定のポリシーが他のポリシーよりも優先されるように、ポリシーと優先度レベルに一致する監査レコードを保持する期間を指定することもできます。 Exchange、SharePoint、または Azure Active Directory の監査レコードを 1 年未満、またはorganization内の一部またはすべてのユーザーに対して 10 年間保持する必要がある場合は、カスタム監査ログ保持ポリシーが既定の監査アイテム保持ポリシーよりも優先されます。 詳細については、「監査ログ保持ポリシーを管理する」を参照してください。
重要
データの監査項目の有効期間は、監査パイプラインがデータを追加するときに決定され、ライセンスの既定値または適用可能な保持ポリシーに基づいています。 ライセンスまたは適用可能な保持ポリシーに対する変更は、更新後に監査データの有効期限を変更します。 これらの変更は、以前にコミットされた項目には影響しません。
監査 (Premium) アクティビティのプロパティ
監査 (Premium) は、ユーザーがメール アイテムにアクセスしたり、メール アイテムに返信したり転送したり、Exchange Onlineや SharePoint Online で検索したりするなど、重要なイベントへのアクセスを提供することで、組織がフォレンジックとコンプライアンスの調査を行うのに役立ちます。 これらのイベントは、起こりうる侵害を調査し、侵害の範囲を決定するのに役立ちます。 Exchange および SharePoint のこれらのイベントに加えて、他の Microsoft サービスには、 ユーザーに適切な監査 (Premium) ライセンスを割り当てる必要がある重要なイベントが含まれています。 監査 (Premium) ライセンスをユーザーに割り当てて、これらのイベントの実行時に監査ログが生成されるようにします。
これらのアクティビティでは、 適切な監査 (Premium) ライセンスをユーザーに割り当てる必要があります。 監査 (Premium) ライセンスをユーザーに割り当てて、これらのアクティビティとプロパティの実行時に監査ログが生成されるようにします。
Audit (Premium) では、次のアクティビティ プロパティにアクセスできます。
Exchange Online
| アクティビティ | プロパティ |
|---|---|
| MailItemsAccessed | SensitivityLabel |
Microsoft Teams
| アクティビティ | プロパティ |
|---|---|
| ChatCreated | AppAccessContext |
| ChatRetrieved | AppAccessContext |
| ChatUpdated | AppAccessContext |
| MeetingParticipantDetail | IsJoinedFromLobby ArtifactShared |
| MessageCreatedNotification | AppAccessContext |
| MessageDeletedNotification | AppAccessContext |
| MessageHostedContentsListed | AppAccessContext |
| MessageHostedContentRead | AppAccessContext |
| MessagesListed | AppAccessContext |
| MessageRead | AppAccessContext |
| MessageSent | AppAccessContext ParticipatingDomainInformation ParticipantInfo |
| MessageUpdated | ParticipantInfo AppAccessContext |
| MessageUpdatedNotification | AppAccessContext |
| SubscribedToMessages | AppAccessContext |
Office 365 管理アクティビティ API への高帯域幅アクセス
Office 365 Management Activity API を介して監査ログにアクセスする組織は、発行元レベルで調整制限に直面しました。 この調整制限は、パブリッシャーが複数の顧客のデータをプルした場合、それらのすべての顧客が同じ制限を共有することを意味しました。
監査 (Premium) では、この制限は発行元レベルの制限からテナント レベルの制限に変更されました。 各organizationは、監査データにアクセスするために、独自の完全に割り当てられた帯域幅クォータを取得するようになりました。 帯域幅は、静的で定義済みの制限ではありません。 代わりに、organizationのシート数など、要因の組み合わせでモデル化されます。 E5、A5、G5 の各組織は、E5 以外、非 A5、G5 以外の組織よりも多くの帯域幅を取得します。
すべての組織は、最初は 1 分あたり 2,000 件の要求のベースラインを取得します。 この制限は、organizationのシート数とライセンス サブスクリプションに基づいて動的に増加します。 E5、A5、G5 の各組織は、E5 以外、非 A5、G5 以外の組織の約 2 倍の帯域幅を取得します。 最大帯域幅の上限は、サービスの正常性を保護します。
詳細については、「Office 365 Management Activity API リファレンス」の「API調整」セクションを参照してください。
ライセンスの要件
開始する前に、監査 (Standard) と監査 (Premium) のサブスクリプション要件を確認してください。
トレーニング
監査 (Standard) と監査 (Premium) の基礎に関するセキュリティ運用チーム、IT 管理者、コンプライアンス調査担当者をトレーニングすると、監査を使用して調査に役立つorganizationをより迅速に開始できます。 Microsoft Purview には、organizationのユーザーが監査を開始するのに役立つ次のリソースが用意されています。Microsoft Purview の電子情報開示と監査機能について説明します。