次の方法で共有

メールボックスの監査を管理する

メールボックス監査ログは、すべての組織で既定で有効になっています。 この設定では、メールボックスの所有者、代理人、管理者が実行する特定のアクションが自動的にログに記録されます。 管理者は、メールボックス監査ログで対応するメールボックス監査レコードを検索できます。

既定でのメールボックス監査には、次のような利点があります。

  • 新しいメールボックスを作成すると、監査が自動的に有効になります。 新しいユーザーのメールボックス監査を手動で有効にする必要はありません。
  • 監査されるメールボックスアクションを管理する必要はありません。 既定では、サインインの種類 (管理、委任、所有者) ごとに、定義済みの一連のメールボックス アクションが監査されます。
  • Microsoft が新しいメールボックス アクションをリリースすると、既定で監査されるメールボックス アクションの一覧にアクションが自動的に追加される場合があります (適切なライセンスを持つユーザーの対象)。 この結果は、メールボックスがリリースされた時点で、新しいアクションを追加する必要が無いということです。
  • すべてのメールボックスに対して同じアクションを監査しているため、organization全体で一貫したメールボックス監査ポリシーがあります。

既定によるメールボックス監査の有効化がオンになっていることを確認する

organizationのメールボックス監査が既定で有効になっていることを確認するには、powerShell で次のコマンドExchange Online実行します。

Get-OrganizationConfig | Format-List AuditDisabled

値 False は、organizationのメールボックス監査が既定でオンになっていることを示します。 organizationのメールボックス監査が既定でオンの場合、個々のメールボックスのメールボックス監査設定がオーバーライドされます。 たとえば、メールボックスのメールボックス監査がオフになっている場合 (メールボックスの AuditEnabled プロパティが False の場合)、メールボックスの既定のメールボックスの操作は引き続き監査されます。これは、メールボックスの監査が既定でオンになっているため、organization。

特定のメールボックスに対してメールボックス監査を無効にしたままにするには、メールボックスの所有者と、メールボックスへの委任されたアクセス権を持つ他のユーザーに対してメールボックス 監査バイパス を構成します。 詳細については、この記事の後半の 「バイパス メールボックス監査ログ」 セクションを参照してください。

注:

organizationのメールボックス監査を既定で有効にすると、影響を受けるメールボックスの AuditEnabled プロパティは False から True に変更されません。 つまり、メールボックスの監査は既定では、メールボックスの AuditEnabled プロパティを無視します。

サポートされているメールボックスの種類

次の表では、メールボックス監査で既定でサポートされるメールボックスの種類について説明します。

メールボックスの種類 サポートされている監査 既定でサポートされているオン
Microsoft 365 グループ メールボックス
パブリック フォルダー メールボックス
リソース メールボックス
共有メールボックス
ユーザー メールボックス

サインインの種類とメールボックスのアクション

サインインの種類は、メールボックスで監査されたアクションを担当するユーザーを分類します。 次の一覧では、メールボックス監査ログで使用されるサインインの種類について説明します。

  • 所有者: メールボックスの所有者 (メールボックスに関連付けられているアカウント)。
  • デリゲート:
    • ユーザーが別のメールボックスに SendAs、SendOnBehalf、または FullAccess アクセス許可を割り当てた。
    • 管理者がユーザーのメールボックスに FullAccess アクセス許可を割り当てた。
  • 管理:
    • メールボックスは、次のいずれかの Microsoft 電子情報開示ツールで検索されます。
      • Microsoft Purview ポータルの電子情報開示。
      • Exchange Onlineで電子情報開示を In-Place します。
    • メールボックスには、Microsoft Exchange Server MAPI エディターを使用してアクセスします。
    • メールボックスには、別のユーザーを偽装するアカウントがアクセスします。 このアクセスは、 ApplicationImpersonation ロールがアカウント (アプリケーションなど) に割り当てられ、現在はデータにアクティブにアクセスしている場合に発生します。 詳細については、「偽装の 構成」を参照してください。

ユーザー メールボックスと共有メールボックスのメールボックスアクション

次の表では、ユーザー メールボックスと共有メールボックスのメールボックス監査ログで使用できるメールボックスアクションについて説明します。

  • チェック マーク (✔) は、サインインの種類に対してログに記録できるメールボックス アクションを示します (すべてのサインインの種類ですべてのアクションを使用できるわけではありません)。
  • チェック マークの後のアスタリスク ( * ) は、サインインの種類に対してメールボックスアクションが既定でログに記録されていることを示します。
  • メールボックスへのフル アクセス許可を持つ管理者は代理人と見なされることに注意してください。
メールボックスアクション 説明 管理者 代理人 Owner
AddFolderPermissions この値はメールボックス アクションとして受け入れられますが、 UpdateFolderPermissions アクションに既に含まれており、個別に監査されることはありません。 つまり、この値は使用しないでください。
ApplyRecord 項目にはレコードとしてラベルが付けられます。 * * *
AttachmentAccess メッセージの添付ファイルにアクセスしました。
Copy メッセージが別のフォルダーにコピーされました。
Create メールボックス内の予定表、連絡先、下書き、メモ、またはタスク フォルダーにアイテムが作成されました (たとえば、新しい会議出席依頼が作成されます)。 メッセージの作成、送信、または受信は監査されません。 また、メールボックス フォルダーの作成は監査されません。 * *
FolderBind メールボックス フォルダーにアクセスされました。 この操作は、管理者または委任されたユーザーがメールボックスを開いたときにも記録されます。

: デリゲートによって実行されるフォルダー バインド アクションの監査レコードは統合されます。 24 時間以内に個々のフォルダー アクセスに対して 1 つの監査レコードが生成されます。
HardDelete [回復可能なアイテム] フォルダーから削除されたメッセージ。 * * *
MailboxLogin ユーザーが自分のメールボックスにサインインした。
MailItemsAccessed メール データがメール プロトコルとクライアントによってアクセスされるときに発生します。 * * *
MessageBind : この値は、E5/A5/G5 ライセンス を持たない ユーザーにのみ使用できます。

プレビュー ウィンドウでメッセージが表示されたか、管理者によって開かれました。
ModifyFolderPermissions この値はメールボックス アクションとして受け入れられますが、 UpdateFolderPermissions アクションに既に含まれており、個別に監査されることはありません。 つまり、この値は使用しないでください。
Move メッセージが別のフォルダーに移動されました。
MoveToDeletedItems 削除され、削除済みアイテム フォルダーに移動されたメッセージ。 * * *
RecordDelete レコードとしてラベル付けされたアイテムが論理的に削除されました ([回復可能なアイテム] フォルダーに移動されました)。 レコードとしてラベル付けされたアイテムを完全に削除することはできません (回復可能なアイテム フォルダーから消去されます)。
RemoveFolderPermissions この値はメールボックス アクションとして受け入れられますが、 UpdateFolderPermissions アクションに既に含まれており、個別に監査されることはありません。 つまり、この値は使用しないでください。
SearchQueryInitiated ユーザーが Outlook (Windows、Mac、iOS、Android、またはOutlook on the web) またはメール アプリを使用して、メールボックス内のアイテムを検索Windows 10。
Send ユーザーが電子メール メッセージを送信したり、電子メール メッセージに返信したり、電子メール メッセージを転送したりします。 * *
SendAs SendAs アクセス許可を使用してメッセージが送信されました。 このアクセス許可を使用すると、別のユーザーがメールボックス所有者から送信されたかのようにメッセージを送信できます。 * *
SendOnBehalf SendOnBehalf アクセス許可を使用してメッセージが送信されました。 このアクセス許可を使用すると、別のユーザーがメールボックス所有者に代わってメッセージを送信できます。 このメッセージは、代わりにメッセージが送信されたユーザーと実際にメッセージを送信したユーザーを受信者に示します。 * *
SoftDelete 削除済みアイテム フォルダーから完全に削除または削除されたメッセージ。 削除済み (回復可能) アイテムは、回復可能なアイテム フォルダーに移動されます。 * * *
Update メッセージまたはそのプロパティのいずれかが変更されました。 * * *
UpdateCalendarDelegation 予定表の委任がメールボックスに割り当てられた。 予定表の委任により、同じ組織の他のユーザーに、メールボックス所有者の予定表を管理する権限が付与されます。 * *
UpdateFolderPermissions フォルダーのアクセス許可が変更されました。 フォルダーのアクセス許可では、メールボックス内のフォルダーとそれらのフォルダーに格納されているメッセージにアクセスできる組織内のユーザーを制限します。 * * *
UpdateInboxRules 受信トレイ ルールが追加、削除、または変更されました。 受信トレイ ルールは、条件に基づいてユーザーの受信トレイ内のメッセージを処理します。 アクションは、ルールの条件に一致するメッセージに対する処理を指定します。 たとえば、指定したフォルダーにメッセージを移動するか、メッセージを削除します。 * * *

重要

organizationでメールボックス監査が既定でオンになる前に監査するメールボックスアクションをカスタマイズした場合、カスタマイズされたメールボックス監査設定はメールボックスに保持され、このセクションで説明する既定のメールボックスアクションでは上書きされません。 監査メールボックスのアクションを既定値 (いつでも実行できます) に戻すには、この記事の後半の「 既定のメールボックスアクションを復元 する」セクションを参照してください。

Microsoft 365 グループ メールボックスのメールボックスアクション

メールボックス監査を有効にすると、Microsoft 365 グループ メールボックスはメールボックス監査データのログ記録を開始します。 ただし、ログインしたデータをカスタマイズしたり、サインインの種類に対してメールボックスアクションを追加または削除したりすることはできません。

次の表では、サインインの種類ごとに Microsoft 365 グループ メールボックスが既定でログに記録するメールボックスアクションについて説明します。

Microsoft 365 グループ メールボックスに対するフル アクセス許可を持つ管理者は代理人と見なされることに注意してください。

メールボックスアクション 説明 管理者 代理人 Owner
Create 予定表アイテムの作成。 メッセージの作成、送信、または受信は監査されません。 * *
HardDelete [回復可能なアイテム] フォルダーから削除されたメッセージ。 * * *
MoveToDeletedItems 削除され、削除済みアイテム フォルダーに移動されたメッセージ。 * * *
SendAs SendAs アクセス許可を使用して送信されたメッセージ。 * *
SendOnBehalf SendOnBehalf アクセス許可を使用して送信されたメッセージ。 * *
SoftDelete 削除済みアイテム フォルダーから完全に削除または削除されたメッセージ。 削除済み (回復可能) アイテムは、回復可能なアイテム フォルダーに移動されます。 * * *
Update メッセージまたはそのプロパティのいずれかが変更されました。 * * *

サインインの種類ごとに既定のメールボックス アクションがログに記録されることを確認する

既定でメールボックス監査を有効にすると、システムはすべてのメールボックスに DefaultAuditSet プロパティを追加します。 このプロパティの値は、既定のメールボックス アクション (Microsoft によって管理) がメールボックスで監査されているかどうかを示します。

ユーザー メールボックスまたは共有メールボックスの値を表示するには、<MailboxIdentity> をメールボックスの名前、エイリアス、電子メール アドレス、またはユーザー プリンシパル名 (ユーザー名) に置き換え、powerShell で次のコマンドExchange Online実行します。

Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet

Microsoft 365 グループ メールボックスの値を表示するには、<MailboxIdentity>を共有メールボックスの名前、エイリアス、または電子メール アドレスに置き換え、Exchange Online PowerShell で次のコマンドを実行します。

Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet

Admin, Delegate, Owner値は、次のことを意味します。

  • システムは、3 つのサインインの種類すべてについて既定のメールボックスアクションを監査します。 この値は、Microsoft 365 グループ メールボックスに表示される唯一の値です。
  • 管理者 は、 ユーザー メールボックスまたは共有メールボックスのサインインの種類に対して監査されたメールボックスアクションを変更しませんでした。

管理者がサインインの種類 (Set-Mailbox コマンドレットの AuditAdminAuditDelegate、または AuditOwner パラメーターを使用して) 監査されるメールボックスアクションを変更した場合、プロパティ値は異なります。

たとえば、ユーザー メールボックスまたは共有メールボックスの DefaultAuditSet プロパティの値Ownerは、次のことを意味します。

  • メールボックス所有者の既定のメールボックス アクションが監査されます。
  • DelegateAdminサインインの種類に対する監査済みメールボックスアクションは、既定のアクションから変更されます。

DefaultAuditSet プロパティの空白の値は、ユーザー メールボックスまたは共有メールボックスで 3 つのサインインの種類すべてに対するメールボックスアクションが変更されていることを意味します。

詳細については、この記事の 「既定でログに記録されたメールボックスアクションの変更または復元 」セクションを参照してください。

メールボックスにログオンしているメールボックスアクションを表示する

ユーザー メールボックスまたは共有メールボックスに現在ログオンしているメールボックスアクションを表示するには、 <MailboxIdentity> をメールボックスの名前、エイリアス、電子メール アドレス、またはユーザー プリンシパル名 (ユーザー名) に置き換えます。 次に、Exchange Online PowerShell で次のコマンドの 1 つ以上を実行します。

注:

Microsoft 365 グループ メールボックスの次の Get-Mailbox コマンドに-GroupMailboxスイッチを追加することはできますが、返される値は信頼しないでください。 Microsoft 365 グループ メールボックスに対して監査される既定および静的なメールボックスアクションについては、この記事の「 Microsoft 365 グループ メールボックスのメールボックスアクション 」セクションで説明されています。

所有者アクション

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner

委任アクション

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate

管理者操作

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin

既定でログに記録されたメールボックスアクションを変更または復元する

既に説明したように、メールボックスの監査を既定で有効にする主な利点の 1 つは、監査対象のメールボックスアクションを管理する必要がないという点です。 Microsoft が自動的にアクションを管理し、新しいメールボックスアクションを自動的に追加して、既定で監査されるようにします。

ただし、ユーザー メールボックスと共有メールボックスに対して異なる一連のメールボックスアクションを監査するために、organizationが必要になる場合があります。 このセクションの手順では、サインインの種類ごとに監査されるメールボックスアクションを変更する方法と、Microsoft が管理する既定のアクションに戻す方法について説明します。

重要

次の手順を使用して、ユーザー メールボックスまたは共有メールボックスにログオンしているメールボックスアクションをカスタマイズする場合、Microsoft によってリリースされた新しい既定のメールボックス アクションは、それらのメールボックスに対して自動的に監査されません。 カスタマイズしたアクションの一覧に新しいメールボックスアクションを手動で追加する必要があります。

監査するメールボックスのアクションを変更する

Set-Mailbox コマンドレットの AuditAdminAuditDelegate、または AuditOwner パラメーターを使用して、Microsoft がユーザー メールボックスと共有メールボックスを監査するメールボックスアクションを変更します。 Microsoft 365 グループ メールボックスの監査アクションをカスタマイズすることはできません。

メールボックスアクションを指定するには、次の 2 つの異なる方法を使用します。

  • action1,action2,...actionNという構文を使用して、既存のメールボックスアクションを置き換える (上書き) します。
  • @{Add="action1","action2",..."actionN"}または@{Remove="action1","action2",..."actionN"}という構文を使用して、他の既存の値に影響を与えずにメールボックスアクションを追加または削除します。

次の例では、既定のアクションを SoftDelete と HardDelete で上書きすることで、"Gabriela Laureano" という名前のメールボックスの管理メールボックスアクションを変更します。

Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete

次の例では、MailboxLogin 所有者アクションをメールボックス laura@contoso.onmicrosoft.comに追加します。

Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}

次の例では、Team Discussion メールボックスの MoveToDeletedItems デリゲート アクションを削除します。

Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}

使用する方法に関係なく、ユーザー メールボックスまたは共有メールボックスで監査済みメールボックスアクションをカスタマイズすると、次の結果が得られます。

  • Microsoft は、カスタマイズしたサインインの種類に対する監査済みメールボックスアクションを管理しなくなりました。
  • 前に説明したように、カスタマイズしたサインインの種類がメールボックスの DefaultAuditSet プロパティ値に表示されなくなります。

既定のメールボックスアクションを復元する

注:

次の手順は、Microsoft 365 グループ メールボックスには適用されません。 これらのメールボックスは、 ここで説明する既定のアクションに制限されます。

ユーザー メールボックスまたは共有メールボックスで監査されるメールボックスアクションをカスタマイズする場合は、次の構文を使用して、1 つまたはすべてのサインインの種類の既定のメールボックスアクションを復元できます。

Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>

複数の DefaultAuditSet 値をコンマで区切って指定できます。

次の使用例は、メールボックス mark@contoso.onmicrosoft.com上のすべてのサインインの種類に対する既定の監査済みメールボックス アクションを復元します。

Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner

次の使用例は、メールボックス chris@contoso.onmicrosoft.comの管理サインインの種類に対する既定の監査メールボックス アクションを復元しますが、委任サインインと所有者サインインの種類に対してカスタマイズされた監査済みメールボックス アクションを保持します。

Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin

サインインの種類に対する既定の監査済みメールボックス アクションを復元すると、次の結果が得られます。

  • メールボックスアクションの現在のリストは、サインインの種類の既定のメールボックスアクションに置き換えられます。
  • Microsoft がリリースする新しいメールボックス アクションは、サインインの種類に対して監査されたアクションの一覧に自動的に追加されます。
  • メールボックスの DefaultAuditSet プロパティ値が更新され、復元されたサインインの種類が含まれます。

organizationのメールボックス監査を既定で無効にする

organization全体のメールボックス監査を既定でオフにするには、PowerShell Exchange Onlineで次のコマンドを実行します。

Set-OrganizationConfig -AuditDisabled $true

既定でメールボックス監査をオフにすると、次の変更が行われます。

  • organizationのメールボックス監査はオフになっています。
  • メールボックスの監査を既定でオフにした時点から、メールボックスの監査が有効になっている場合でも、メールボックスの操作は監査されません (メールボックスの AuditEnabled プロパティは True です)。
  • 新しいメールボックスのメールボックス監査は有効ではなく、新しいメールボックスまたは既存のメールボックスの AuditEnabled プロパティを True に設定することは無視されます。
  • メールボックス監査バイパス関連付け設定 ( Set-MailboxAuditBypassAssociation コマンドレットを使用して構成) は無視されます。
  • 既存のメールボックス監査レコードは、レコードの監査ログの有効期限が切れるまで保持されます。

既定でメールボックス監査を有効にする

organizationのメールボックス監査を有効に戻すには、PowerShell Exchange Onlineで次のコマンドを実行します。

Set-OrganizationConfig -AuditDisabled $false

メールボックス監査ログをバイパスする

現時点では、既定によるメールボックス監査の有効化が組織でオンになっている場合は、特定のメールボックスでメールボックス監査を無効にできません。 たとえば、 AuditEnabled メールボックス プロパティを False に設定すると、システムは無視 します

ただし、Exchange Online PowerShell の Set-MailboxAuditBypassAssociation コマンドレットを使用すると、アクションが発生した場所に関係なく、指定したユーザーによるすべてのメールボックスアクションがログに記録されないようにすることができます。 例:

  • バイパスされたユーザーが実行するメールボックス所有者のアクションはログに記録されません。
  • バイパスされたユーザーが他のユーザーのメールボックス (共有メールボックスを含む) に対して実行する委任アクションはログに記録されません。
  • バイパスされたユーザーが実行する管理アクションはログに記録されません。

特定のユーザーについてメールボックス監査ログをバイパスするには、<MailboxIdentity> をそのユーザーの名前、メール アドレス、エイリアス、またはユーザー プリンシパル名 (username) で置き換え、次のコマンドを実行します。

Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true

特定のユーザーについて監査がバイパスされていることを確認するには、次のコマンドを実行します。

Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled

True は、メールボックス監査ログがユーザーに対してバイパスされることを示します。

詳細

  • 既定では、メールボックス監査ログ レコードは削除されるまでの 90 日間保持されます。 PowerShell の Set-Mailbox コマンドレットで AuditLogAgeLimit パラメーターを使用して、監査ログ レコードの期間制限Exchange Online変更できます。 ただし、この値を大きくしても、監査ログで 90 日を超えるイベントを検索することはできません。

  • organizationのメールボックス監査を既定で有効にする前にメールボックスの AuditLogAgeLimit プロパティを変更した場合、メールボックスの既存の監査ログの有効期間は変更されません。 つまり、既定でのメールボックス監査は、メールボックス監査レコードの現在の年齢制限には影響しません。

  • Microsoft 365 グループ メールボックスの AuditLogAgeLimit 値を変更するには、[メールボックスの設定] コマンドに-GroupMailboxスイッチを含めます。

  • メールボックス監査ログ レコードは、各ユーザーのメールボックスの [回復可能なアイテム] フォルダーのサブフォルダー ( Audit という名前) に格納されます。 メールボックス監査レコードと回復可能なアイテム フォルダーについては、次の点に注意してください。

    • メールボックス監査レコード数は、回復可能なアイテム フォルダーのストレージ クォータに対してカウントされます。既定では 30 GB です (警告クォータは 20 GB)。 ストレージ クォータは、次の場合に自動的に 100 GB (90 GB の警告クォータ) に増加します。

      • メールボックスに保留を設定します。
      • Microsoft Purview ポータルでメールボックスをアイテム保持ポリシーに割り当てます。

    • メールボックス監査レコードは、 回復可能なアイテム フォルダーのフォルダー制限に対してもカウントされます。 Audit サブフォルダーには、最大 300 万個のアイテム (監査レコード) を格納できます。

      注:

      既定でメールボックス監査が、回復可能なアイテム フォルダーのストレージ クォータまたはフォルダーの制限に影響を与える可能性はほとんどありません。

      • Exchange Online PowerShell で次のコマンドを実行して、[回復可能なアイテム] フォルダーの [監査] サブフォルダー内のアイテムのサイズと数を表示できます。

        Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder

      • [回復可能なアイテム] フォルダーの監査ログ レコードに直接アクセスすることはできません。 代わりに、 Search-UnifiedAuditLog コマンドレットを使用するか、監査ログを検索してメールボックス監査レコードを検索して表示します。

  • メールボックスを保留にするか、アイテム保持ポリシーに割り当てる場合、監査ログ レコードは、メールボックスの AuditLogAgeLimit プロパティによって定義された期間 (既定では 90 日間) 保持されます。 保留中のメールボックスの監査ログ レコードを長く保持するには、メールボックスの AuditLogAgeLimit 値を 増やします。

  • 複数地域環境では、クロス geo メールボックス監査はサポートされていません。 たとえば、別の地理的な場所にある共有メールボックスにアクセスするためのアクセス許可をユーザーに割り当てた場合、ユーザーが実行するメールボックスアクションは、共有メールボックスのメールボックス監査ログに記録されません。 Exchange 管理者監査イベントは、 Microsoft Purview コマンドレットと Search-UnifiedAuditLog コマンドレットを使用して、すべての場所で使用できます。

  • Last updated on