監査ソリューションの概要

Microsoft Purview 監査 (Standard) と監査 (Premium) を使用すると、ユーザーと管理者がさまざまな Microsoft サービスで実行するアクティビティの監査レコードを検索できます。 ほとんどの Microsoft 365 組織では監査 (Standard) が既定で有効になっているため、organizationの他のユーザーが監査ログを検索する前に、いくつかの手順を完了するだけで済みます。 監査 (Premium) でのみ使用できる機能を使用するには、さらにいくつかの構成手順を完了する必要があります。

監査 (Standard) と監査 (Premium) 機能の詳細については、「Microsoft Purview 監査ソリューション」を参照してください。

手順 1: サブスクリプションと課金organization確認する

監査 (Standard) と監査 (Premium) のライセンスには、監査ログ検索ツールへのアクセスを提供する適切なorganization サブスクリプションと、監査レコードのログ記録と保持に必要なユーザーごとのライセンスが必要です。

ユーザーまたは管理者が監査アクティビティを実行すると、システムによって監査レコードが生成され、organizationの監査ログに格納されます。 監査 (Standard) と監査 (Premium) では、監査ログの監査レコードを 180 日間保持および検索できます。

これらの監査ソリューションのサブスクリプションとライセンス要件の一覧については、監査 (Standard) と監査 (Premium) のサブスクリプション要件に関するページを参照してください。

Microsoft 365 以外の AI データ (Microsoft の他のジェネレーティブ AI アプリケーションや接続された外部 AI アプリケーションからの情報を含む) とのユーザー操作を監査するには、organizationの従量課金制課金を有効にする必要があります。 このデータ型には、Microsoft Fabric の Copilot、Microsoft Security Copilot、Microsoft Copilot Studio、接続またはクラウドの AI アプリケーションが含まれます。

手順 2: 監査ログを検索するためのアクセス許可を割り当てる

監査ログを検索またはエクスポートするには、管理者と調査チームのメンバーに、Microsoft Purview ポータルの [監査ログの表示のみ] ロールまたは [監査ログ ] ロールを割り当てる必要があります。 既定では、Microsoft Purview ポータルの [役割グループ] ページでは、これらのロールが 監査閲覧者 と 監査マネージャー の役割グループに割り当てられます。

また、ビューのみの監査ログまたは監査ログロールをカスタム ロール グループに追加することで、監査ログを検索できるカスタム ロール グループを作成することもできます。 詳細については、「 Microsoft Purview ポータルのアクセス許可」を参照してください。

スコープ監査ログにアクセス許可を割り当てる

監査ログを検索またはエクスポートするには、調査チームの管理者またはメンバーを、Microsoft Purview ポータルで次の監査関連ロール グループの少なくとも 1 つに割り当てる必要があります。

• 監査マネージャー: Audit Manager ロール グループに割り当てられたユーザーは、監査ログを検索およびエクスポートし、テナントの監査設定を管理できます (監査ログの有効化や無効化など)。 この役割グループは、 表示のみの監査ログ ロールと 監査ログ ロールをユーザーに付与します。
• 監査閲覧者: 監査閲覧 者ロール グループに割り当てられたユーザーは、監査ログのみを検索およびエクスポートできます。 監査ログを有効または無効にすることはできません。 この役割グループは、 表示のみの監査ログ ロールをユーザーに付与します。

手順 3: SearchQueryInitiated イベントを有効にする

ユーザーが Exchange Online と SharePoint で検索を実行するときにログを記録するには、2 つのイベント (SearchQueryInitiatedExchange と SearchQueryInitiatedSharePoint) を明示的に有効にする必要があります。

ユーザーに対してこれら 2 つのイベントを監査できるようにするには、powerShell で次のコマンドレット (ユーザーごとに) Exchange Online実行します。

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

複数地域環境では、ユーザーのメールボックスが配置されているフォレストで Set-Mailbox コマンドを実行する必要があります。 ユーザーのメールボックスの場所を特定するには、次のコマンドレットを実行します。

Get-Mailbox <user identity> | FL MailboxLocations

以前にコマンドレットを実行して、ユーザーのメールボックスがあるフォレストとは異なるフォレスト内の検索クエリの監査を有効にした場合は、ユーザーのメールボックスから SearchQueryInitiated 値を削除します。 値を削除するには、 Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"}を実行します。 次に、ユーザーのメールボックスが配置されているフォレスト内のユーザーのメールボックスに追加します。

手順 4: ユーザーの監査 (Premium) を設定する

インテリジェントな分析情報をログに記録する機能など、監査 (Premium) 機能には、適切な E5 ライセンスがユーザーに割り当てられている必要があります。 さらに、これらのユーザーに対して高度な監査アプリ/サービス プランを有効にする必要があります。

ユーザーに対して高度な監査サービス プランを有効にするには、ユーザーごとに次の手順を実行します。

1. Microsoft 365 管理センターで、[ユーザー>アクティブ なユーザー] に移動し、ユーザーを選択します。
2. [ユーザー プロパティ] ポップアップ ページで、[ ライセンスとアプリ] を選択します。
3. [ ライセンス ] セクションで、ユーザーに E5 ライセンスが割り当てられているか、適切なアドオン ライセンスが割り当てられていることを確認します。 監査 (Premium) をサポートするライセンスの一覧については、「 ライセンス要件の監査」を参照してください。
4. [ アプリ ] セクションを展開し、[ Microsoft 365 Advanced Auditing ] チェック ボックスをオンにします。
5. [変更の保存] を選択します。 監査 (Premium) 分析情報のログ記録は、24 時間以内に開始されます。

ユーザー メールボックスまたは共有メールボックスにログオンしているメールボックスアクションをカスタマイズした場合、Microsoft によってリリースされた新しい監査 (Premium) イベントは、それらのメールボックスに対して自動的に監査されません。 サインオンの種類ごとに監査されるメールボックス操作の変更については、「メールボックスの監査を管理する」の「既定でログに記録されるメールボックスの操作を変更または復元する」セクションを参照してください。

手順 5: 監査 (Premium) で監査保持ポリシーを設定する

監査 (Premium) を使用する組織は、Microsoft Entra ID、Exchange、OneDrive、SharePoint 監査レコードを 1 年間保持する既定のポリシーに加えて、organizationのセキュリティ操作、IT、コンプライアンス チームの要件を満たす監査ログ保持ポリシーを作成できます。

詳細については、「監査ログ保持ポリシーを管理する」を参照してください。

手順 6: 監査されたイベントを検索する

organization用に監査 (Standard) または監査 (Premium) が構成されたので、Microsoft Purview ポータルで監査ログを検索する準備ができました。 詳細なガイダンスについては、「 監査ログを検索する」を参照してください。