メールボックス監査ログをExchange Onlineにエクスポートする

注:

クラシック Exchange 管理センターは、世界中の展開で非推奨になる処理中です。 Microsoft Purview コンプライアンス ポータルで監査ログを検索することをお勧めします。 詳細については、「 WW サービスでの従来の Exchange 管理センターの廃止 」および 「コンプライアンス ポータルで監査ログを検索する」を参照してください。

メールボックスの監査が有効になっている場合、Exchange Onlineは、所有者以外のユーザーがメールボックスにアクセスするたびに、メールボックス監査ログに情報を記録します。 各ログ エントリには、メールボックスにアクセスしたユーザーとタイミング、所有者以外のユーザーによって実行されたアクション、およびアクションが成功したかどうかに関する情報が含まれます。 既定では、メールボックス監査ログのエントリは 90 日間保持されます。 メールボックス監査ログを使用して、所有者以外のユーザーがメールボックスにアクセスするかどうかを判断できます。

メールボックス監査ログからエントリをエクスポートする場合、Exchange Onlineはエントリを XML ファイルに保存し、指定した受信者に送信された電子メール メッセージに添付します。

開始する前に

  • 各手順を完了するための推定時間: によって異なります。 メールボックス監査ログは、エクスポート後数日以内に送信されます。

  • 2019 年 1 月の時点で、すべてのExchange Online組織でメールボックス監査ログオンが既定で有効になっています。 詳細については、「メールボックスの監査を管理する」を参照してください。

  • Outlook on the web (旧称 Outlook Web App) を使用してエクスポートされたエントリを表示する場合は、Outlook on the webで .xml 添付ファイルを有効にする必要があります。 詳細については、「XML 添付ファイルを許可するようにOutlook on the webを構成する」を参照してください。

  • Exchange 管理センター (EAC) を検索して開くには、「Exchange Onlineの Exchange 管理センター」を参照してください。

  • この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。 必要なアクセス許可を確認するには、「Exchange Onlineの機能のアクセス許可」の「レポートの表示」エントリを参照してください。

  • このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。

ヒント

問題が発生する場合 Exchange Online フォーラムでヘルプを依頼します。

メールボックス監査ログのエクスポート

  1. EAC で、[ コンプライアンス管理>の監査] に移動します。

  2. [メールボックス監査ログのエクスポート] をクリックします。

  3. メールボックス監査ログのエントリをエクスポートするための検索条件を構成します。次の条件を指定できます。

    • 開始日と終了日: エクスポートされたファイルに含めるエントリの日付範囲を選択します。
    • 監査ログを検索するメールボックス: 監査ログ エントリを取得するメールボックスを選択します。
    • 所有者以外のアクセスの種類: 次のいずれかのオプションを選択して、エントリを取得する所有者以外のアクセスの種類を定義します。
      • 所有者以外のすべてのユーザー: organization内の管理者と委任されたユーザー、およびExchange Onlineの Microsoft データセンター管理者によるアクセスを検索します。
      • 外部ユーザー: Microsoft データセンター管理者によるアクセスを検索します。
      • 管理者と委任されたユーザー: organization内の管理者と委任されたユーザーによるアクセスを検索します。
      • 管理者: organizationで管理者によるアクセスを検索します。
    • 受信者: メールボックス監査ログを送信するユーザーを選択します。
  4. [エクスポート] をクリックします。

Exchange Onlineは、検索条件を満たすメールボックス監査ログ内のエントリを取得し、SearchResult.xml という名前のファイルに保存し、指定した受信者に送信された電子メール メッセージに XML ファイルを添付します。

正常な動作を確認する方法

メールボックス監査ログの送信先のメールボックスにサインインします。 監査ログを正常にエクスポートした場合は、Exchange から送信されたメッセージを受け取ります。 このメッセージの受信には数日かかる場合があります。 メールボックス監査ログ (SearchResult.xml という名前) は、このメッセージに添付されます。 XML 添付ファイルを許可するようにOutlook on the webが正しく構成されている場合は、添付された XML ファイルをダウンロードできます。

メールボックス監査ログの表示

SearchResult.xml ファイルを保存して表示するには、以下のようにします。

  1. メールボックス監査ログの送信先のメールボックスにサインインします。
  2. 受信トレイで、Exchange Onlineによって送信された XML ファイルの添付ファイルを含むメッセージを開きます。 この電子メール メッセージの本文には検索条件が含まれています。
  3. 添付ファイルをクリックして、XML ファイルのダウンロードを選択します。
  4. Microsoft Excel で SearchResult.xml を開きます。

詳細

メールボックス監査ログ内のエントリ

次の例は、SearchResult.xml ファイルに含まれるメールボックス監査ログからのエントリを示しています。 各エントリは <Event> XML タグで始まり、 </Event> XML タグで終了します。 このエントリは、管理者が 2021 年 4 月 30 日に David のメールボックスの [回復可能なアイテム] フォルダーから"訴訟ホールドの通知" という件名のメッセージを消去したことを示しています。

<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939"
  Owner="PPLNSL-dom\david50001-1363917750"
  LastAccessed="2021-04-30T11:01:55.140625-07:00"
  Operation="HardDelete"
  OperationResult="Succeeded"
  LogonType="Admin"
 FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
  FolderPathName="\Recoverable Items\Deletions"
  ClientInfoString="Client=OWA;Action=ViaProxy"
  ClientIPAddress="10.196.241.168"
  InternalLogonType="Owner"
  MailboxOwnerUPN="david@contoso.com"
  MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151"
  CrossMailboxOperation="false"
  LogonUserDN="Administraor"
  LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
<SourceItems>
<ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
   Subject="Notification of litigation hold"
   FolderPathName="\Recoverable Items\Deletions" />
</SourceItems>
</Event>

メールボックス監査ログの便利なフィールド

メールボックス監査ログの便利なフィールドの説明を次に示します。 これらは、メールボックスの所有者以外のアクセスの各インスタンスに関する特定の情報を識別するのに役立ちます。

フィールド 説明
Owner 所有者以外がアクセスしたメールボックスの所有者。
LastAccessed メールボックスへのアクセス日時。
操作 所有者以外のユーザーによって実行されたアクション。 詳細については、「Exchange Onlineで所有者以外のメールボックス アクセス レポートを実行する」の「メールボックス監査ログに記録される内容」セクションを参照してください。
OperationResult 非所有者によって実行されたアクションが成功したか失敗したか。
LogonType 所有者以外のアクセスの種類。 これには、管理者、代理人、外部が含まれます。
FolderPathName 所有者以外のユーザーの影響を受けたメッセージを含むフォルダーの名前。
ClientInfoString 所有者以外がメールボックスにアクセスするために使用するメール クライアントに関する情報。
ClientIPAddress 所有者以外がメールボックスにアクセスするために使用するコンピューターの IP アドレス。
InternalLogonType このメールボックスにアクセスするために所有者以外が使用するアカウントのログオンの種類。
MailboxOwnerUPN メールボックスの所有者の電子メール アドレス。
LogonUserDN 所有者以外のユーザーの表示名。
件名 所有者以外のユーザーの影響を受けた電子メール メッセージの件名。