メールボックスの監査を管理する

  • [アーティクル]

メールボックス監査ログは、すべての組織で既定で有効になっています。 つまり、メールボックスの所有者、代理人、管理者によって実行された特定のアクションが自動的にログに記録されます。 対応するメールボックス監査レコードを管理者がメールボックス監査ログで検索できます。

既定でのメールボックス監査の利点は次のとおりです。

  • 新しいメールボックスを作成すると、監査が自動的に有効になります。 新しいユーザーのメールボックス監査を手動で有効にする必要はありません。
  • 監査されるメールボックスアクションを管理する必要はありません。 既定では、サインインの種類 (管理者、代理人、所有者) ごとに、定義済みの一連のメールボックス アクションが監査されます。
  • Microsoft が新しいメールボックス アクションをリリースすると、既定で監査されるメールボックス アクションの一覧にアクションが自動的に追加される場合があります (適切なライセンスを持つユーザーの対象)。 この結果は、メールボックスがリリースされた時点で、新しいアクションを追加する必要が無いということです。
  • 組織全体で一貫したメールボックス監査ポリシーがあります (すべてのメールボックスに対して同じアクションを監査しているため)。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

既定によるメールボックス監査の有効化がオンになっていることを確認する

組織のメールボックス監査が既定で有効になっていることを確認するには、 Exchange Online PowerShell で次のコマンドを実行します。

Get-OrganizationConfig | Format-List AuditDisabled

False の値は、組織のメールボックス監査が既定で有効になっていることを示します。 組織内の既定のメールボックス監査は、個々のメールボックスのメールボックス監査設定よりも優先されます。 たとえば、メールボックスのメールボックス監査がオフになっている場合 (メールボックスの AuditEnabled プロパティが False の場合)、メールボックスの既定のメールボックス操作は引き続き監査されます。メールボックスの監査は既定で組織に対して有効になっているためです。

特定のメールボックスに対してメールボックス監査を無効にしたままにするには、メールボックス所有者と、メールボックスへの委任されたアクセス権を持つ他のユーザーのメールボックス 監査バイパス を構成します。 詳細については、この記事の後半の 「バイパス メールボックス監査ログ」 セクションを参照してください。

注:

組織のメールボックス監査が既定でオンになっている場合、影響を受けるメールボックスの AuditEnabled プロパティは False から True に変更されません。 つまり、メールボックスの監査は既定では、メールボックスの AuditEnabled プロパティを無視します。

サポートされているメールボックスの種類

メールボックス監査で既定でサポートされているメールボックスの種類については、次の表を参照してください。

メールボックスの種類 サポートされている監査 既定でサポートされているオン
ユーザー メールボックス
共有メールボックス
Microsoft 365 グループ メールボックス
リソース メールボックス
パブリック フォルダー メールボックス

サインインの種類とメールボックスのアクション

サインインの種類は、メールボックスで監査されたアクションを担当するユーザーを分類します。 次の一覧では、メールボックス監査ログで使用されるサインインの種類について説明します。

  • 所有者: メールボックスの所有者 (メールボックスに関連付けられているアカウント)。
  • デリゲート:
    • 別のメールボックスに SendAs、SendOnBehalf、または FullAccess アクセス許可が割り当てられているユーザー。
    • ユーザーのメールボックスに FullAccess アクセス許可が割り当てられている管理者。
  • 管理者:
    • メールボックスは、次のいずれかの Microsoft 電子情報開示ツールで検索されます。
      • Microsoft Purview ポータルまたはコンプライアンス ポータルの電子情報開示。
      • Exchange Online で電子情報開示を In-Place します。
    • メールボックスにアクセスするには、Microsoft Exchange Server MAPI エディターを使用します。
    • メールボックスには、別のユーザーを偽装するアカウントがアクセスします。 これは、 ApplicationImpersonation ロールが、現在データにアクティブにアクセスしているアプリケーションなどのアカウントに割り当てられている場合に発生します。 詳細については、「偽装の 構成」を参照してください。

ユーザー メールボックスと共有メールボックスのメールボックスアクション

次の表では、ユーザー メールボックスと共有メールボックスのメールボックス監査ログで使用できるメールボックスアクションについて説明します。

  • チェック マーク (✔) は、サインインの種類に対してメールボックスのアクションをログに記録できることを示します (すべての種類のサインインに対してすべてのアクションを使用できるわけではありません)。
  • チェック マークの後のアスタリスク ( * ) は、サインインの種類に対してメールボックスアクションが既定でログに記録されていることを示します。
  • メールボックスへのフル アクセス許可を持つ管理者は代理人と見なされることに注意してください。
メールボックスアクション 説明 管理者 代理人 Owner
AddFolderPermissions この値はメールボックス アクションとして受け入れられますが、 UpdateFolderPermissions アクションに既に含まれており、個別に監査されることはありません。 つまり、この値は使用しないでください。
ApplyRecord 項目にはレコードとしてラベルが付けられます。 * * *
Copy メッセージが別のフォルダーにコピーされました。
Create メールボックス内の予定表、連絡先、下書き、メモ、またはタスク フォルダーにアイテムが作成されました (たとえば、新しい会議出席依頼が作成されます)。 メッセージの作成、送信、または受信は監査されません。 また、メールボックス フォルダーの作成は監査されません。 * *
FolderBind メールボックス フォルダーにアクセスされました。 この操作は、管理者または委任されたユーザーがメールボックスを開いたときにも記録されます。

: デリゲートによって実行されるフォルダー バインド アクションの監査レコードは統合されます。 24 時間以内に個々のフォルダー アクセスに対して 1 つの監査レコードが生成されます。
HardDelete メッセージが [回復可能なアイテム] フォルダーから削除されました。 * * *
MailboxLogin ユーザーが自分のメールボックスにサインインした。
MailItemsAccessed メール データがメール プロトコルとクライアントによってアクセスされるときに発生します。 * * *
MessageBind : この値は、E5/A5/G5 ライセンス を持たない ユーザーにのみ使用できます。

プレビュー ウィンドウでメッセージが表示されたか、管理者によって開かれました。
ModifyFolderPermissions この値はメールボックス アクションとして受け入れられますが、 UpdateFolderPermissions アクションに既に含まれており、個別に監査されることはありません。 つまり、この値は使用しないでください。
移動 メッセージが別のフォルダーに移動されました。
MoveToDeletedItems メッセージが削除され、削除済みアイテム フォルダーに移動されました。 * * *
RecordDelete レコードとしてラベル付けされたアイテムが論理的に削除されました ([回復可能なアイテム] フォルダーに移動されました)。 レコードとしてラベル付けされたアイテムを完全に削除することはできません (回復可能なアイテム フォルダーから消去されます)。
RemoveFolderPermissions この値はメールボックス アクションとして受け入れられますが、 UpdateFolderPermissions アクションに既に含まれており、個別に監査されることはありません。 つまり、この値は使用しないでください。
SearchQueryInitiated ユーザーは、Outlook (Windows、Mac、iOS、Android、Outlook on the web) または Windows 10 用メール アプリを使用してメールボックス内のアイテムを検索します。
Send ユーザーが電子メール メッセージを送信したり、電子メール メッセージに返信したり、電子メール メッセージを転送したりします。 * *
SendAs SendAs アクセス許可を使用してメッセージが送信されました。 このアクセス許可を使用すると、別のユーザーがメールボックス所有者から送信されたかのようにメッセージを送信できます。 * *
SendOnBehalf SendOnBehalf アクセス許可を使用してメッセージが送信されました。 このアクセス許可を使用すると、別のユーザーがメールボックス所有者に代わってメッセージを送信できます。 このメッセージは、代わりにメッセージが送信されたユーザーと実際にメッセージを送信したユーザーを受信者に示します。 * *
SoftDelete メッセージが完全に削除された、つまり [削除済みアイテム] フォルダーから削除されました。 削除済み (回復可能) アイテムは、回復可能なアイテム フォルダーに移動されます。 * * *
Update メッセージまたはそのプロパティのいずれかが変更されました。 * * *
UpdateCalendarDelegation 予定表の委任がメールボックスに割り当てられた。 予定表の委任により、同じ組織の他のユーザーに、メールボックス所有者の予定表を管理する権限が付与されます。 * *
UpdateFolderPermissions フォルダーのアクセス許可が変更されました。 フォルダーのアクセス許可では、メールボックス内のフォルダーとそれらのフォルダーに格納されているメッセージにアクセスできる組織内のユーザーを制限します。 * * *
UpdateInboxRules 受信トレイ ルールが追加、削除、または変更されました。 受信トレイ ルールは、条件に基づいてユーザーの受信トレイ内のメッセージを処理します。 アクションは、ルールの条件に一致するメッセージに対する処理を指定します。 たとえば、指定したフォルダーにメッセージを移動するか、メッセージを削除します。 * * *

重要

組織内でメールボックス監査が既定でオンになる 前に 監査するメールボックスアクションをカスタマイズした場合、カスタマイズされたメールボックス監査設定はメールボックスに保持され、このセクションで説明するように既定のメールボックスアクションによって上書きされません。 監査メールボックスのアクションを既定値 (いつでも実行できます) に戻すには、この記事の後半の「 既定のメールボックスアクションを復元 する」セクションを参照してください。

Microsoft 365 グループ メールボックスのメールボックスアクション

既定でメールボックス監査をオンにすると、メールボックス監査ログが Microsoft 365 グループ メールボックスに送信されますが、ログに記録される内容をカスタマイズすることはできません (サインインの種類に対してログに記録されるメールボックス アクションを追加または削除することはできません)。

次の表では、サインインの種類ごとに Microsoft 365 グループ メールボックスで既定でログに記録されるメールボックスアクションについて説明します。

Microsoft 365 グループ メールボックスに対するフル アクセス許可を持つ管理者は代理人と見なされることに注意してください。

メールボックスアクション 説明 管理者 代理人 Owner
Create 予定表アイテムの作成。 メッセージの作成、送信、または受信は監査されません。 * *
HardDelete メッセージが [回復可能なアイテム] フォルダーから削除されました。 * * *
MoveToDeletedItems メッセージが削除され、削除済みアイテム フォルダーに移動されました。 * * *
SendAs SendAs アクセス許可を使用してメッセージが送信されました。 * *
SendOnBehalf SendOnBehalf アクセス許可を使用してメッセージが送信されました。 * *
SoftDelete メッセージが完全に削除された、つまり [削除済みアイテム] フォルダーから削除されました。 削除済み (回復可能) アイテムは、回復可能なアイテム フォルダーに移動されます。 * * *
Update メッセージまたはそのプロパティのいずれかが変更されました。 * * *

サインインの種類ごとに既定のメールボックス アクションがログに記録されていることを確認する

既定でのメールボックス監査では、すべてのメールボックスに新しい DefaultAuditSet プロパティが追加されます。 このプロパティの値は、既定のメールボックス アクション (Microsoft によって管理) がメールボックスで監査されているかどうかを示します。

ユーザー メールボックスまたは共有メールボックスに値を表示するには、 <MailboxIdentity> をメールボックスの名前、エイリアス、電子メール アドレス、またはユーザー プリンシパル名 (ユーザー名) に置き換え、Exchange Online PowerShell で次のコマンドを実行します。

Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet

Microsoft 365 グループ メールボックスに値を表示するには、 <MailboxIdentity> を共有メールボックスの名前、エイリアス、またはメール アドレスに置き換え、Exchange Online PowerShell で次のコマンドを実行します。

Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet

Admin, Delegate, Owner値は次を示します。

  • 3 つのサインインの種類すべてに対する既定のメールボックス アクションが監査されています。 この値は、Microsoft 365 グループ メールボックスに表示される唯一の値です。
  • 管理者 は、 ユーザー メールボックスまたは共有メールボックスのサインインの種類に対する監査済みメールボックスアクションを変更していません。

管理者がサインインの種類 (Set-Mailbox コマンドレットで AuditAdminAuditDelegate、または AuditOwner パラメーターを使用して) 監査されるメールボックスアクションを変更した場合、プロパティ値は異なります。

たとえば、ユーザー メールボックスまたは共有メールボックスの DefaultAuditSet プロパティのOwner値は、次を示します。

  • メールボックス所有者の既定のメールボックス アクションが監査されています。
  • DelegateAdminサインインの種類に対する監査済みメールボックスアクションは、既定のアクションから変更されています。

DefaultAuditSet プロパティの空白の値は、ユーザー メールボックスまたは共有メールボックスで 3 つのサインインの種類がすべて変更されたことを示します。

詳細については、この記事の 「既定でログに記録されたメールボックスアクションの変更または復元 」セクションを参照してください。

メールボックスにログオンしているメールボックスのアクションを表示する

現在ユーザー メールボックスまたは共有メールボックスにログオンしているメールボックスアクションを表示するには、 <MailboxIdentity> をメールボックスの名前、エイリアス、電子メール アドレス、またはユーザー プリンシパル名 (ユーザー名) に置き換え、Exchange Online PowerShell で次のコマンドの 1 つ以上を実行します。

注:

Microsoft 365 グループ メールボックスの次の Get-Mailbox コマンドに-GroupMailboxスイッチを追加することはできますが、返される値を信じないでください。 Microsoft 365 グループ メールボックスに対して監査される既定および静的なメールボックスアクションについては、この記事の「 Microsoft 365 グループ メールボックスのメールボックスアクション 」セクションで説明されています。

所有者アクション

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner

委任アクション

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate

管理者アクション

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin

既定でログに記録されたメールボックスアクションを変更または復元する

既に説明したように、既定でメールボックス監査を有効にすることの主な利点の 1 つは、監査されるメールボックスアクションを管理する必要がないということです。 Microsoft はユーザーのアクションを管理します。新しいメールボックスアクションは、リリース時に既定で監査されるように自動的に追加されます。

ただし、組織では、ユーザー メールボックスと共有メールボックスに対して別のメールボックス アクションのセットを監査する必要がある場合があります。 このセクションの手順では、サインインの種類ごとに監査されるメールボックスアクションを変更する方法と、Microsoft が管理する既定のアクションに戻す方法について説明します。

重要

次の手順を使用して、ユーザー メールボックスまたは共有メールボックスにログオンしているメールボックスアクションをカスタマイズした場合、Microsoft によってリリースされた新しい既定のメールボックス アクションは、それらのメールボックスに対して自動的に監査されません。 カスタマイズしたアクションの一覧に新しいメールボックスアクションを手動で追加する必要があります。

監査するメールボックスのアクションを変更する

Set-Mailbox コマンドレットの AuditAdminAuditDelegate、または AuditOwner パラメーターを使用して、ユーザー メールボックスと共有メールボックスに対して監査されるメールボックスアクションを変更できます (Microsoft 365 グループ メールボックスの監査アクションはカスタマイズできません)。

メールボックスアクションを指定するには、次の 2 つの異なる方法を使用できます。

  • action1,action2,...actionNという構文を使用して、既存のメールボックスアクションを置き換える (上書き) します。
  • @{Add="action1","action2",..."actionN"}または@{Remove="action1","action2",..."actionN"}という構文を使用して、他の既存の値に影響を与えずにメールボックスアクションを追加または削除します。

次の使用例は、既定のアクションを SoftDelete と HardDelete で上書きすることで、"Gabriela Laureano" という名前のメールボックスの管理メールボックスアクションを変更します。

Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete

次の使用例は、MailboxLogin 所有者アクションをメールボックス laura@contoso.onmicrosoft.comに追加します。

Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}

次の使用例は、Team Discussion メールボックスの MoveToDeletedItems デリゲート アクションを削除します。

Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}

使用する方法に関係なく、ユーザー メールボックスまたは共有メールボックスで監査済みメールボックスアクションをカスタマイズすると、次の結果が得られます。

  • カスタマイズしたサインインの種類の場合、監査されたメールボックスアクションは Microsoft によって管理されなくなります。
  • カスタマイズしたサインインの種類は、前に説明したようにメールボックスの DefaultAuditSet プロパティ値に表示されなくなりました。

既定のメールボックスアクションを復元する

注:

次の手順は、Microsoft 365 グループ メールボックスには適用されません ( ここで説明するように既定のアクションに制限されます)。

ユーザー メールボックスまたは共有メールボックスで監査されるメールボックスアクションをカスタマイズした場合は、次の構文を使用して、1 つまたはすべてのサインインの種類の既定のメールボックスアクションを復元できます。

Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>

複数の DefaultAuditSet 値をコンマで区切って指定できます。

次の使用例は、メールボックス mark@contoso.onmicrosoft.com上のすべてのサインインの種類に対する既定の監査済みメールボックス アクションを復元します。

Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner

次の使用例は、メールボックス chris@contoso.onmicrosoft.comの管理者サインインの種類に対する既定の監査済みメールボックス アクションを復元しますが、委任サインインと所有者サインインの種類に対してカスタマイズされた監査済みメールボックス アクションは残します。

Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin

サインインの種類の既定の監査済みメールボックス アクションを復元すると、次の結果が得られます。

  • メールボックスアクションの現在のリストは、サインインの種類の既定のメールボックスアクションに置き換えられます。
  • Microsoft によってリリースされた新しいメールボックス アクションは、サインインの種類に対して監査されたアクションの一覧に自動的に追加されます。
  • メールボックスの DefaultAuditSet プロパティ値が更新され、復元されたサインインの種類が含まれます。

組織のメールボックス監査を既定で無効にする

Exchange Online PowerShell で次のコマンドを実行することで、組織全体のメールボックス監査を既定でオフにすることができます。

Set-OrganizationConfig -AuditDisabled $true

既定でメールボックス監査をオフにすると、次の結果が得られます。

  • 組織のメールボックス監査はオフになっています。
  • メールボックスの監査を既定でオフにした時点から、メールボックスの監査が有効になっている場合でも、メールボックスの操作は監査されません (メールボックスの AuditEnabled プロパティは True です)。
  • 新しいメールボックスのメールボックス監査は有効ではなく、新しいメールボックスまたは既存のメールボックスの AuditEnabled プロパティを True に設定することは無視されます。
  • メールボックス監査バイパス関連付け設定 ( Set-MailboxAuditBypassAssociation コマンドレットを使用して構成) は無視されます。
  • 既存のメールボックス監査レコードは、レコードの監査ログの有効期限が切れるまで保持されます。

既定でメールボックス監査を有効にする

組織のメールボックス監査を有効に戻すには、Exchange Online PowerShell で次のコマンドを実行します。

Set-OrganizationConfig -AuditDisabled $false

メールボックス監査ログをバイパスする

現時点では、既定によるメールボックス監査の有効化が組織でオンになっている場合は、特定のメールボックスでメールボックス監査を無効にできません。 たとえば、 AuditEnabled メールボックス プロパティを False に設定することは無視されます。

ただし、Exchange Online PowerShell の Set-MailboxAuditBypassAssociation コマンドレットを引き続き使用して、アクションが発生した場所に関係なく、指定したユーザーによる すべての メールボックス アクションがログに記録されないようにすることができます。 例:

  • バイパスされたユーザーによって実行されたメールボックス所有者のアクションはログに記録されません。
  • バイパスされたユーザーが他のユーザーのメールボックス (共有メールボックスを含む) で実行した委任アクションはログに記録されません。
  • バイパスされたユーザーによって実行された管理者アクションはログに記録されません。

特定のユーザーについてメールボックス監査ログをバイパスするには、<MailboxIdentity> をそのユーザーの名前、メール アドレス、エイリアス、またはユーザー プリンシパル名 (username) で置き換え、次のコマンドを実行します。

Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true

特定のユーザーについて監査がバイパスされていることを確認するには、次のコマンドを実行します。

Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled

True は、メールボックス監査ログがユーザーに対してバイパスされることを示します。

詳細

  • 既定では、メールボックス監査ログ レコードは削除されるまでの 90 日間保持されます。 監査ログ レコードの期間制限を変更するには、Exchange Online PowerShell の Set-Mailbox コマンドレットの AuditLogAgeLimit パラメーターを使用します。 ただし、この値を大きくしても、監査ログで 90 日を超えるイベントを検索することはできません。

    年齢制限を増やす場合は、Exchange Online PowerShell の Search-MailboxAuditLog コマンドレットを使用して、ユーザーのメールボックス監査ログで 90 日を超えるレコードを検索する必要があります。

  • メールボックスの監査が既定で有効になる前にメールボックスの AuditLogAgeLimit プロパティを変更した場合、メールボックスの既存の監査ログの有効期間は変更されません。 つまり、メールボックス監査は既定では、メールボックス監査レコードの現在の年齢制限には影響しません。

  • Microsoft 365 グループ メールボックスの AuditLogAgeLimit 値を変更するには、[メールボックスの設定] コマンドに-GroupMailboxスイッチを含める必要があります。

  • メールボックス監査ログ レコードは、各ユーザーのメールボックスの [回復可能なアイテム] フォルダーのサブフォルダー ( Audit という名前) に格納されます。 メールボックス監査レコードと回復可能なアイテム フォルダーについては、次の点に注意してください。

    • メールボックス監査レコード数は、回復可能なアイテム フォルダーのストレージ クォータに対してカウントされます。既定では 30 GB です (警告クォータは 20 GB)。 次の場合、ストレージ クォータは自動的に 100 GB に増やされます (警告クォータは 90 GB)。

      • メールボックスに保留が設定されます。
      • メールボックスは、Microsoft Purview ポータルまたはコンプライアンス ポータルのアイテム保持ポリシーに割り当てられます。

    • メールボックス監査レコードは、 回復可能なアイテム フォルダーのフォルダー制限に対してもカウントされます。 Audit サブフォルダーには、最大 300 万個のアイテム (監査レコード) を格納できます。

      注:

      既定では、メールボックスの監査がストレージ クォータまたは回復可能なアイテム フォルダーのフォルダー制限に影響を与える可能性は低いです。

      • Exchange Online PowerShell で次のコマンドを実行して、[回復可能なアイテム] フォルダーの [監査] サブフォルダー内のアイテムのサイズと数を表示できます。

        Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder

      • [回復可能なアイテム] フォルダー内の監査ログ レコードに直接アクセスすることはできません。代わりに、 Search-MailboxAuditLog コマンドレットを使用するか、監査ログを検索してメールボックス監査レコードを検索して表示します。

  • メールボックスが保留またはアイテム保持ポリシーに割り当てられている場合、監査ログ レコードは、メールボックスの AuditLogAgeLimit プロパティによって定義されている期間 (既定では 90 日間) 保持されます。 保留中のメールボックスの監査ログ レコードを長く保持するには、メールボックスの AuditLogAgeLimit 値を増やす必要があります。

  • 複数地域環境では、クロス geo メールボックス監査はサポートされていません。 たとえば、ユーザーに別の地理的な場所にある共有メールボックスにアクセスするためのアクセス許可が割り当てられている場合、そのユーザーによって実行されたメールボックスアクションは、共有メールボックスのメールボックス監査ログに記録されません。 Exchange 管理者監査イベントは、 Microsoft Purview コマンドレットと Search-UnifiedAuditLog コマンドレットを使用して、すべての場所で使用できます。