OMEPortal
Microsoft Purview Message Encryptionは、組織が任意の受信者に暗号化されたメールを送信できるようにするサービスです。
OMEPortal は、Office 365統合監査ログに記録されるイベントの一種です。 これは、暗号化されたメッセージ ポータルを使用して、外部受信者によって暗号化されたメッセージにアクセスするアクティビティを表します。 このイベントは、ポータルにアクセスしたタイミングとユーザーを特定するのに役立ちます。
- 認証
- メッセージを開く
- 添付ファイルの表示
- 添付ファイルをダウンロードする
- reply/forward メッセージ
Office 365統合監査ログにアクセスする
監査ログには、次の方法を使用してアクセスできます。
- Microsoft Purview コンプライアンス ポータルの 監査ログ検索ツール。
- Exchange Online PowerShell の Search-UnifiedAuditLog コマンドレット。
- Office 365 マネージメント アクティビティ API。
監査ログ検索ツール
Microsoft Purview コンプライアンス ポータルに移動し、サインインします。
コンプライアンス ポータルの左側のウィンドウで、[監査] を選択 します。
注:
左側のウィンドウに [監査] が表示されない場合は、アクセス許可の詳細については、「Microsoft Defender for Office 365のロールと役割グループ」と「Microsoft Purview コンプライアンス」を参照してください。
[ 新しい検索 ] タブで、[レコードの種類] を [OMEPortal ] に設定し、他のパラメーターを構成します。
![新しい検索オプションを示す [監査] ダイアログ](images/audit-new-search.png)
Microsoft Purview コンプライアンス ポータルでの監査ログの表示の詳細については、「監査ログ アクティビティ」を参照してください。
PowerShell で統合監査ログを検索する
PowerShell を使用して統合監査ログにアクセスするには、まず PowerShell ウィンドウを開き、PowerShell Exchange Onlineに接続します。 手順については、「Exchange Online PowerShell に接続する」を参照してください。
Search-UnifiedAuditLog コマンドレット
Search-UnifiedAuditLog コマンドレットは、Office 365統合監査ログの検索に使用できる PowerShell コマンドです。 統合監査ログは、イベントの追跡に使用できるOffice 365のユーザーと管理者のアクティビティの記録です。 このコマンドレットの使用に関するベスト プラクティスについては、「 Search-UnifiedAuditLog を使用するためのベスト プラクティス」を参照してください。
PowerShell を使用して統合監査ログから OMEPortal イベントを抽出するには、次のコマンドを使用します。 これにより、指定した日付範囲の統合監査ログが検索され、レコードの種類が "OMEPortal" のイベントが返されます。 結果は、指定したパスの CSV ファイルにエクスポートされます。
Search-UnifiedAuditLog -RecordType OMEPortal -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date) | Export-Csv -Path <output file>
PowerShell からの OMEPortal イベントの例を次に示します。暗号化されたメッセージ ポータル アクティビティでメッセージを開きます。
RecordType : OMEPortal
CreationDate : 3/22/2023 7:00:59 PM
UserIds : admin@M365x965352.onmicrosoft.com
Operations : MessageAccess
AuditData : {"CreationTime":"2023-03-22T19:00:59","Id":"a3500d45-6ab3-4971-a762-a01a846015d0","Operation":"MessageAccess","OrganizationId":"84b06764-3e5e-4f51-9a78-046a7f38b59b","RecordType":154,"ResultStatus":"Success","UserKey":"admin@M365x965352.onmicrosoft.com","UserType":0,"Version":1,"Workload":"Exchange","UserId":"admin@M365x965352.onmicrosoft.com","AuthenticationMethod":"Google","AuthenticationStatus":0,"MessageId":"<MW5PR18MB5094602B59DFEC335A3C5E58AA869@MW5PR18MB5094.namprd18.prod.outlook.com>","OperationProperties":[{"Name":"MailSubject","Value":"Support case 1234567"}],"OperationStatus":0,"Recipient":"samschan.msft@gmail.com","Sender":"admin@M365x965352.onmicrosoft.com"}
ResultIndex : 6
ResultCount : 7
Identity : a3500d45-6ab3-4971-a762-a01a846015d0
IsValid : True
ObjectState : Unchanged
次のコマンドを使用して、ユーザーが添付ファイルを表示するシナリオを具体的に検索します。 PowerShell コマンドレットの結果の例も次に示します。
Search-UnifiedAuditLog -Operations AttachmentReview -RecordType OMEPortal -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date)
PowerShell の AipSensitivityLabelAction イベントの例を次に示します。秘密度ラベルが更新されています。
RecordType : OMEPortal
CreationDate : 3/22/2023 7:04:09 PM
UserIds : admin@M365x965352.onmicrosoft.com
Operations : AttachmentReview
AuditData : {"CreationTime":"2023-03-22T19:04:09","Id":"ef29c387-c81b-4812-9020-90b378d92cde","Operation":"AttachmentReview","OrganizationId":"84b06764-3e5e-4f51-9a78-046a7f38b59b","RecordType":154,"ResultStatus":"Failure","UserKey":"admin@M365x965352.onmicrosoft.com","UserType":0,"Version":1,"Workload":"Exchange","UserId":"admin@M365x965352.onmicrosoft.com","AttachmentName":"Form.docx","AuthenticationMethod":"OTP","AuthenticationStatus":0,"MessageId":"<MW5PR18MB5094CD4A4C6D8A5636154FEBAA869@MW5PR18MB5094.namprd18.prod.outlook.com>","OperationProperties":[{"Name":"MailSubject","Value":"Support case 987654"}],"OperationStatus":1,"Recipient":"samschan.msft@gmail.com","Sender":"admin@M365x965352.onmicrosoft.com"}
ResultIndex : 4
ResultCount : 7
Identity : ef29c387-c81b-4812-9020-90b378d92cde
IsValid : True
ObjectState : Unchanged
OMEPortal 内で特に検索できるその他の操作には、AttachmentDownload、AuthenticationRequest、MessageAccess、MessageForward があります。
OMEPortal イベントの属性
次の表に、OMEPortal イベントに関連する情報を示します。
| イベント | 型 | 説明 |
|---|---|---|
| アクティビティ | String | 監査ログのアクティビティの種類。 OMEPortal の場合、操作には次を含めることができます。 - AttachmentDownload - AttachmentReview - AuthenticateRequest - MessageAccess - MessageForward |
| AttachmentName | String | AuditData の一部。 メッセージ内の添付ファイルの名前。 |
| AuditData | String | OMEPortal アクティビティのログの詳細。 |
| AuthenticationMethod | String | AuditData の一部。 ポータルへのログインに使用される認証の種類。 値は次のとおりです。 -Otp -Yahoo -マイクロソフト |
| AuthenticationStatus | 倍精度浮動小数点数 | 認証の状態。 0 = 成功 1= 失敗 |
| CreationTime | 日付/時刻 | ユーザーがアクティビティを実行した、世界協定時刻 (UTC) での日時。 |
| Id | GUID | 監査レコードの一意識別子。 |
| MessageId | String | メッセージ ID。 |
| 操作 | String | アクティビティと同じ値。 |
| OperationProperties | String | AuditData の一部。 メールの件名が含まれます。 |
| Recipient | 文字列 | AuditData の一部。 暗号化されたメッセージ ポータルでメッセージにアクセスするユーザーのメール アドレス。 |
| RecordType | 倍精度浮動小数点数 | レコードによって示される操作の種類。 154 は OMEPortal レコードを表します。 |
| ResultsStatus | String | 操作が成功したか失敗しました。 |
| Sender | String | AuditData の一部。 暗号化されたメッセージを送信したユーザーのメール アドレス。 |
| Workload | String | Exchange を使用して、暗号化されたメッセージ ポータルで電子メールを示します。 |
| UserId | String | レコードがログに記録されるアクションを暗号化されたメールを送信したorganizationのユーザーのユーザー プリンシパル名 (UPN)。 |