監査ログの保持ポリシーを管理する
監査ログ保持ポリシーは、 Microsoft Purview ポータル または Microsoft Purview コンプライアンス ポータルで作成および管理できます。 監査ログの保持ポリシーは、新しい Microsoft Purview 監査 (プレミアム) 機能の一部です。 監査ログの保持ポリシーでは、組織の監査ログを保持する期間を指定できます。 監査ログは、最大 10 年間保持できます。 次の条件を基にしてポリシーを作成できます。
- 1 つ以上の Microsoft サービスのすべてのアクティビティ
- すべてのユーザーまたは特定のユーザーによって実行される Microsoft サービス内の特定のアクティビティ
- 優先度レベルは、組織内に複数のポリシーがある場合に、どのポリシーが優先されるかを指定する
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
既定の監査ログの保持ポリシー
Microsoft Purview の監査 (Premium) は、すべての組織に既定の監査ログ保持ポリシーを提供します。 このポリシーは変更できません。Exchange Online、SharePoint、OneDrive、Microsoft Entra のすべての監査レコードを 1 年間保持します。 この既定のポリシーでは、Workload プロパティ (アクティビティが発生したサービス) の AzureActiveDirectory、Exchange、OneDrive、SharePoint の値を含む監査レコードが保持されます。 特定のワークロードとレコードの種類は、アイテム保持ポリシーを使用して別の期間に変更できます。 既定のポリシーに含まれる各ワークロードのレコードの種類の一覧については、この記事の「 既定のアイテム保持ポリシー レコードの種類」セクションを参照してください。
注:
既定の監査ログの保持ポリシーは、Office 365 または Microsoft 365 E5 ライセンスが割り当てられているユーザー、または Microsoft 365 E5 コンプライアンスまたは Microsoft 365 E5 eDiscovery and Audit アドオン ライセンスを持つユーザーが実行したアクティビティの監査レコードにのみ適用されます。 組織内に E5 以外のユーザーまたはゲスト ユーザーがいる場合、対応する監査レコードは 180 日間保持されます。
重要
監査 (Standard) の既定の保持期間が 90 日から 180 日に変更されました。 2023 年 10 月 17 日より前に生成された監査 (Standard) ログは、90 日間保持されます。 2023 年 10 月 17 日以降に生成された監査 (Standard) ログは、新しい既定の保持期間の 180 日に従います。
監査ログの保持ポリシーを作成する前に
監査アイテム保持ポリシーを作成または変更するには、Microsoft Purview ポータルまたはコンプライアンス ポータルで 組織構成 ロールを割り当てる必要があります。
組織では、最大 50 個の監査ログの保持ポリシーを設定できます。
監査ログを 180 日 (最大 1 年間) 保持するには、(監査アクティビティを実行して) 監査ログを生成するユーザーに Office 365 E5 または Microsoft 365 E5 ライセンスを割り当てるか、Microsoft 365 E5 Compliance または E5 電子情報開示および監査アドオン ライセンスを持っている必要があります。 監査ログを 10 年間保持するには、監査ログを生成するユーザーに対して、E5 ライセンスに加えて、10 年間の監査ログ保持のアドオン ライセンスも割り当てられる必要があります。
注:
監査ログを生成するユーザーがこれらのライセンス要件を満たしていない場合、データは最も優先度の高い保持ポリシーに従って保持されます。 これは、ユーザーのライセンスの既定のアイテム保持ポリシーか、ユーザーとそのレコードの種類に一致する最も優先度の高いポリシーのいずれかです。
組織によって作成されるすべてのカスタム監査ログの保持ポリシーは、既定の保持ポリシーよりも優先されます。 たとえば、保持期間が 1 年未満の Exchange メールボックス アクティビティに対して監査ログの保持ポリシーを作成すると、Exchange メールボックス アクティビティの監査レコードは、カスタム ポリシーで指定されている短い期間保持されます。
データの監査項目の有効期間は、監査パイプラインに追加されたときに決定され、ライセンスの既定値または適用可能な保持ポリシーに基づいています。 ライセンスまたは適用可能な保持ポリシーに対する変更は、更新後に監査データの有効期限を変更します。 これらの変更によって、以前にコミットされた項目は更新されません。
監査ログの保持ポリシーを作成する
現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。
監査アイテム保持ポリシーを作成するには、次の手順を実行します。
コンプライアンス ポータルの [アクセス許可] ページで、組織の構成ロールが割り当てられているユーザー アカウントで Microsoft Purview ポータルにサインインします。
[ 監査 ソリューション] カードを選択します。 [ソリューションの監査] カードが表示されない場合は、[すべてのソリューションの表示] を選択し、[コア] セクションから [監査] を選択します。
[ 監査アイテム保持ポリシーの作成] を選択し、ポップアップ ページで次のフィールドに入力します。
ポリシー名: 監査ログの保持ポリシーの名前です。 この名前は組織内で一意である必要があり、ポリシーの作成後に変更することはできません。
説明: 省略可能ですが、レコードの種類やワークロード、ポリシーで指定されたユーザー、期間など、ポリシーに関する情報を提供するのに役立ちます。
ユーザー: ポリシーを適用する 1 人以上のユーザーを選択します。 このボックスを空白のままにすると、ポリシーはすべてのユーザーに適用されます。 レコードの種類を空白のままにする場合は、ユーザーを選択する必要があります。
レコードの種類: ポリシーの適用対象となる監査レコードの種類です。 このプロパティを空白のままにする場合は、[ユーザー] ボックスでユーザーを選択する必要があります。 1 つまたは複数のレコードの種類を選択できます。
- 単一のレコードの種類を選択した場合は、[アクティビティ] フィールドが動的に表示されます。 ドロップダウン リストを使用して、選択したレコードの種類からポリシーを適用するアクティビティを選択できます。 特定のアクティビティを選択しない場合、ポリシーは選択したレコードの種類のすべてのアクティビティに適用されます。
- 複数のレコードの種類を選択した場合、アクティビティを選択することはできません。 このポリシーは、選択したレコードの種類のすべてのアクティビティに適用されます。
期間: ポリシーの条件を満たす監査ログの保持期間です。 使用可能なオプションは 、7 日、 30 日、 6 か月、 9 か月、 1 年、 3 年 (プレビュー)、 5 年 (プレビュー)、 7 年 (プレビュー) です。 10 年間の監査ログ保持アドオン ライセンスを持つユーザーは、[ 10 年 ] オプションを選択できます。
重要
7 日間と 30 日間の期間オプションの監査ログを保持するには、Microsoft 365 Enterprise E5 サブスクリプションが必要です。 3 (プレビュー)、5 (プレビュー)、および 7 (プレビュー) 年の期間オプションの監査ログを保持するには、Microsoft 365 Enterprise E5 サブスクリプションに加えて、10 年間の監査ログ保持アドオン ライセンスを割り当てる必要があります。 サブスクリプションとアドオンの監査の詳細については、「Microsoft Purview でのソリューションの監査」を参照してください。
ポリシー: この値は、組織内の監査ログの保持ポリシーが処理される順序を決定します。 値が小さいほど、高い優先度を示します。 有効な優先度は、1 から 10000 までの数値です。 値 1 が最高の優先度であり、値 10000 が最低の優先度です。 たとえば、値が 5 のポリシーは、値が 10 のポリシーよりも優先されます。 カスタム監査ログ保持ポリシーは、組織の既定のポリシーよりも優先されます。
[保存] を選択して、新しい監査ログの保持ポリシーを作成します。
[ポリシー] ページの一覧に新しい ポリシーが 表示されます。
コンプライアンス ポータルで監査ログの保持ポリシーを管理する
監査ログの保持ポリシーは、[監査保持ポリシー] タブ (ダッシュボードとも呼ばれる) に一覧表示されます。 ダッシュボードを使用して、監査保持ポリシーを表示、編集、および削除できます。
ダッシュボードでポリシーを表示する
監査ログの保持ポリシーはダッシュボードに一覧表示されます。 ダッシュボードでポリシーを表示する利点の 1 つは、 Priority 列を選択して、ポリシーが適用されている優先度のポリシーを一覧表示できることです。 前に説明したように、値が低いほど、高い優先度を示します。
また、ポリシーを選択して、その設定をポップアップ ページに表示することもできます。
注:
組織の既定の監査ログの保持ポリシーはダッシュボードに表示されません。
ダッシュボードでポリシーを編集する
ポリシーを編集するには、ポリシーを選択してポップアップ ページを表示します。 1 つ以上の設定を変更してから、変更を保存できます。
重要
New-UnifiedAuditLogRetentionPolicy コマンドレットを使用すると、ダッシュボードの [監査保持ポリシーの作成] ツールでは使用できないレコードの種類またはアクティビティの監査ログ保持ポリシーを作成できます。 この場合、[監査保持ポリシー] ダッシュボードからポリシーを編集 (保持期間の変更やアクティビティの追加と削除など) することはできません。 Microsoft Purview コンプライアンス ポータルでは、ポリシーを表示したり、削除したりすることはできません。 ポリシーを編集するには、Security & Compliance PowerShell で Set-UnifiedAuditLogRetentionPolicy コマンドレットを使用する必要があります。>
ヒント: PowerShell を使用して編集する必要があるポリシーのメッセージがポップアップ ページの上部に表示されます。
ダッシュボードでポリシーを削除する
ポリシーを削除するには、[ 削除 ] アイコンを選択し、ポリシーを削除することを確認します。 ポリシーはダッシュボードから削除されますが、ポリシーが組織から削除されるまでに最大 30 分かかる場合があります。
PowerShell で監査ログの保持ポリシーを作成して管理する
セキュリティ/コンプライアンス PowerShell を使用して監査ログの保持ポリシーを作成して管理することもできます。 PowerShell を使用する理由の 1 つは、UI で使用できないレコードの種類またはアクティビティのポリシーを作成することです。
PowerShell で監査ログの保持ポリシーを作成する
PowerShell で監査ログの保持ポリシーを作成するには、次の手順を実行します。
次のコマンドを実行して監査ログの保持ポリーを作成します。
New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100
この例では、次の設定を使用して「Microsoft Teams 監査ポリシー」という名前の監査ログの保持ポリシーを作成します。
- ポリシーの説明。
- Microsoft Teams のすべてのアクティビティ (RecordType パラメーターで定義) を保持します。
- Microsoft Teams 監査ログを 10 年間保持します。
- 優先度が 100 の場合。
監査ログの保持ポリシーを作成するもう 1 つの例を示します。 このポリシーでは、ユーザー admin@contoso.onmicrosoft.comの "ユーザーログイン" アクティビティの監査ログが 6 か月間保持されます。
New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25
詳細については、「New-UnifiedAuditLogRetentionPolicy」を参照してください。
PowerShell でポリシーを表示する
セキュリティ/コンプライアンス PowerShell で Get-UnifiedAuditLogRetentionPolicy コマンドレットを使用して、監査ログの保持ポリシーを表示します。
組織においてすべての監査ログの保持ポリシーの設定を表示するコマンドの例を以下に示します。 このコマンドを実行すると、ポリシーが優先度の高い順に並べ替えられます。
Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration
注:
Get-UnifiedAuditLogRetentionPolicy コマンドレットは、組織の既定の監査ログの保持ポリシーを返しません。
PowerShell でポリシーを編集する
セキュリティ/コンプライアンス PowerShell で Set-UnifiedAuditLogRetentionPolicy コマンドレットを使用して、既存の監査ログの保持ポリシーを編集します。
PowerShell でポリシーを削除する
セキュリティ/コンプライアンス PowerShell で Remove-UnifiedAuditLogRetentionPolicy コマンドレットを使用して、監査ログの保持ポリシーを削除します。 組織からポリシーが削除されるまで、最大 30 分かかる場合があります。
既定のアイテム保持ポリシー レコードの種類
Microsoft Entra ID、Exchange Online、SharePoint、OneDrive での操作の監査レコードは、既定で1 年間保持されます。 つまり、特定のレコードの種類、操作、またはユーザーに対してカスタム監査ログ保持ポリシーが優先されない限り、このワークロードを使用した操作の監査ログは 1 年間保持されます。