メールボックスの監査設定はMicrosoftにより既定で有効に設定されていますが、監査項目のすべてが有効ではありません。
必要に応じて、監査項目の設定を行ってください。
現在の設定内容については、以下のコマンドを実行することで取得できます。
- Exchange Online PowerShellに接続します。
※Exchangeへの接続手順につきましては、Microsoftの公式情報をご参照ください。
Exchange Online PowerShell に接続する | Microsoft Learn - PowerShellで以下のコマンドを実行します。
- メールボックス単位で設定状況を確認する
Get-Mailbox -Identity User01@domain.jp | Select DisplayName,AuditEnabled,AuditDelegate,AuditOwner,AuditLogAgeLimit
- すべてのメールボックスの設定状況を確認する
Get-Mailbox -ResultSize unlimited | Select DisplayName,AuditEnabled,AuditDelegate,AuditOwner,AuditLogAgeLimit | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "C:\Temp\AuditEnabledList.csv"
- メールボックス単位で設定状況を確認する
- 実行結果は、CドライブのTempフォルダにCSVファイルで出力されます。実行結果を確認します。
項目 概要 AuditEnabled
メールボックス監査ログの設定が表示されます。
※有効=True、無効=FalseAuditDelegate メールボックスの所有者以外がアクセスした操作における記録が表示されます。 AuditOwner メールボックス所有者がアクセスした操作における記録が表示されます。 AuditLogAgeLimit メールボックス監査ログの保持期間が表示されます。 ※メールボックスの監査情報を個別で実施する手順につきましては、Microsoftの公式情報をご参照ください。
メールボックスの監査を管理する - Microsoft Purview (compliance) | Microsoft Learn
[ユーザーメールボックスと共有メールボックスのメールボックスアクション]※MailboxLoginを有効化すると、膨大な量のログが記録されることがあります。
レポートサービスをご契約の場合、MailboxLoginの設定は無効で運用することを推奨します。
弊社推奨の監査設定コマンドを、以下に記載します。
Get-Mailbox -ResultSize Unlimited | Set-Mailbox -AuditEnabled $true -AuditDelegate @{add="FolderBind,Move,MoveToDeletedItems,SendOnBehalf"} -AuditOwner @{add="Create,HardDelete,SoftDelete,Update,Move,MoveToDeletedItems"}
※本コマンド実行時は、Exchange Online PowerShellへの接続が必要です。