社畜の所業

社畜の所業

Microsoft365の機能について解説をしていきたいと思います。このブログの情報をご活用いただければ幸いです。たまに他の情報も取り入れていきたいと思います。

※このサイトはPR記事を含みます。
トップ > Microsoft365

【Office365参考書】配布リストやメールが有効なセキュリティグループのメンバーの変更をおこなったユーザーを特定するには?

Microsoft365

f:id:it-bibouroku:20200305151118j:plain

 

メールボックス監査ログ(Search-MailboxAuditLog)と管理者監査ログ(Search-AdminAuditLog)が廃止され、統合監査ログで取得することが可能となりました。

it-bibouroku.hateblo.jp

 

 

PowerShell コマンドレットを実行して管理者監査ログより、配布リストやメールが有効なセキュリティグループからメンバーの追加/削除などが行われた履歴の確認が可能です。 

 

なお、AD 同期している配布グループの場合は、Exchange Online にて作業が実施できず、Exchange 管理者監査ログでは記録が残りませんのでご留意ください。

 

以下に取得手順をご紹介します。

    

 

 

管理者監査ログを PowerShell コマンドレットより出力する 

配布リストやセキュリティグループのメンバー変更について確認をする場合は次のコマンドレットが対象となります。 

   

◇ Update-DistributionGroupMember 

Exchange 管理センター、または Outlook on the Web のオプションより、グループのメンバー変更 (追加、削除) が行われた場合、Update-DistributionGroupMember コマンドが記録されます。 

なお、[Members] に表示されるユーザー名につきましては、変更後のメンバーが表示される動作となりますため、どのユーザーに対して削除や追加が行われたかは確認が行えない動作となります。 

   

◇ Remove-DistributionGroupMember 

Office 365 管理センター、Outlook クライアントのアドレス帳、PowerShell コマンドにより、配布リストのメンバー削除が行われますと、Remove-DistributionGroupMember コマンドが記録されます。 

[Members] には削除されたユーザー名が表示される動作となります。 

     

◇ Add-DistributionGroupMember 

Office 365 管理センター、Outlook クライアントのアドレス帳、PowerShell コマンドにより、配布リストのメンバー追加が行われますと、Add-DistributionGroupMember コマンドが記録されます。 

[Members] には追加されたユーザー名が表示される動作となります。 

  

以下のサイトの手順にて、Exchange Online に接続してから実行してください。 

  

 

 

it-bibouroku.hateblo.jp

 

         

[構文] 

Search-AdminAuditLog -ResultSize 250000 -StartDate <mm/dd/yyyy> -EndDate <mm/dd/yyyy> -ObjectIds <対象配布グループのメールアドレス> -Cmdlets <確認対象のコマンドレット> | Select -ExpandProperty CmdletParameters * | Export-CSV -Encoding UTF8 -NoTypeInformation -Path  "<保存先のパス\ファイル名.csv>" 

  

[実行例] 

Search-AdminAuditLog -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/10/2021 -ObjectIds group001@contoso.com -Cmdlets Update-DistributionGroupMember,Remove-DistributionGroupMember,Add-DistributionGroupMember | Select -ExpandProperty CmdletParameters * | Export-CSV -Encoding UTF8 -NoTypeInformation -Path "C:\Temp\AdminAuditlog-DistributionGroupMember.csv

  

上記実行例は、2021 年 1 月 1 日から 2021 年 1 月 10 日の期間に、当該のグループ group001@contoso.com に対し、Update-DistributionGroupMember,Remove-DistributionGroupMember,Add-DistributionGroupMember コマンドを実行した管理者監査ログを、C ドライブ配下の Temp フォルダに "AdminAuditlog-DistributionGroupMember.csv" という名前のファイルで出力しております。 

  

※管理者監査ログは 90 日間保存されますため、期間が 90 日を越えないように開始日と終了日をご指定ください。 

  

  

 

管理者監査ログの取得結果について  

ObjectModified : 設定対象のアカウント 

CmdletName : 実行されたコマンドレット 

CmdletParameters : [CmdletName] に記載されたコマンドに付与されたすべてのパラメーター 

Caller : 実行した管理者ユーザー 

※ データセンター側で実行されたログは Caller 項目に "********" と表示されます。 

RunDate : 実行された日付 

Name および Value : パラメーターごとの指定された値 

  

docs.microsoft.com

  

 

【Office365参考書】トランスポートルールを変更したユーザーを確認するには?ルールの変更された内容を確認できるか?

Microsoft365

f:id:it-bibouroku:20200305151118j:plain

 

メールボックス監査ログ(Search-MailboxAuditLog)と管理者監査ログ(Search-AdminAuditLog)が廃止され、統合監査ログで取得することが可能となりました。

it-bibouroku.hateblo.jp

 

 

トランスポートルールの変更の内容を確認する場合、管理者監査ログの機能をご利用いただくことで可能です。 

なお、管理者監査ログはコマンドレットベースで記録されるため、トランスポートルールの変更については、Set-TransportRule として記録されます。 

また、変更したユーザーや変更したルールのパラメーターについても記録されるため確認が可能です。 

  

なお、Set-TransportRule のログのみ出力する場合、Powershell のコマンドレットをご利用いただくことで可能です。 

  

以下のサイトの手順にて、Exchange Online に接続してから実行してください。 

  

 

 

it-bibouroku.hateblo.jp

 

  

[構文] 

Search-AdminAuditLog -Cmdlets <監査対象のコマンドレット> -StartDate <mm/dd/yyyy> -EndDate <mm/dd/yyyy> -ResultSize 250000 | select * -ExpandProperty cmdletparameters | Export-CSV -Encoding UTF8 -NoTypeInformation -Path <ファイル名>.csv 

  

[実行例] 

Search-AdminAuditLog -Cmdlets "Set-TransportRule" -StartDate 03/01/2021 -EndDate 03/23/2021 -ResultSize 250000 | select * -ExpandProperty cmdletparameters | Export-CSV -Encoding UTF8 -NoTypeInformation -Path C:\Temp\AdminAuditlog.csv 

  

※上記実行例では C ドライブの Temp フォルダーへ AdminAuditlog というファイル名で保存しています。 

※ 開始日 (StartDate)は、90 日前まで指定が可能です。 

  

 

出力された CSV ファイルの確認方法 

出力された Excel ファイルのリボンタブの [データ] > [フィルター] をクリックし、[L列] の [RunDate] を昇順にし、[D列] の [ObjectModified] より、該当するトランスポートルールを表示し、[H列] の [Caller] に記載されているアカウントがルール変更のの実行者となります。 

[CmdletParameters] にて、変更したパラメーターが記録されます。 

  

なお、[CmdletParameters] にて、以下のパラメーターは変更の有無に関わらず記録されることを確認してます。 

[StopRuleProcessing]  

[SetAuditSeverity] 

[RuleErrorAction] 

[Priority] 

[Identity] 

  

  

管理者監査ログの取得結果について 

ObjectModified : 設定対象オブジェクトの Name 値(どのユーザーやグループに対して行ったコマンドレットか) 

CmdletName : 実行されたコマンドレット 

CmdletParameters : [CmdletName] に記載されたコマンドに付与されたすべてのパラメーター 

Caller : 実行した管理者ユーザー 

※ データセンター側で実行されたログは Caller 項目に "********" と表示されます。 

RunDate : 実行された日付 

Succeeded : 成功かどうか 

Name : 何を設定するか 

Value : 設定の内容 

  

 

docs.microsoft.com

【Office365参考書】Outlook on the webで配布リストを作成したログを確認するには?

Microsoft365

f:id:it-bibouroku:20210404095716p:plain

 

メールボックス監査ログ(Search-MailboxAuditLog)と管理者監査ログ(Search-AdminAuditLog)が廃止され、統合監査ログで取得することが可能となりました。

it-bibouroku.hateblo.jp

 

 

Outlook on the webにて、配布リストを作成することが可能ですが、配布リストを作成したログについては、管理者監査ログの機能にて確認することが可能です。 

  

なお、管理者監査ログは、コマンドレットベースで操作したログが記録される動作であり、配布リストの作成については、"New-DistributionGroup" として記録されます。 

また、"New-DistributionGroup" のログでは、Outlook on the web オプションから配布リストを作成した場合の他に、Exchange 管理センターや Microsoft365 管理センターから配布リストを作成した場合もログとして記録される動作でございますが、以下の AppId の値から Ootw で操作したか判断することが可能であることを確認しております。 

  

AppId の値 

Outlook on the web の場合 : 00000002-0000-0ff1-ce00-000000000000 

Exchange 管理センター、Microsoft365 管理センタ-の場合 : 00000006-0000-0ff1-ce00-000000000000 

  

Powershell のコマンドレットを利用することで、"New-DistributionGroup" のログのみ出力が可能ですので、以下にご案内いたします。 

※ 管理者監査ログでは、90 日前までのログが取得可能です。 

  

以下のサイトの手順にて、Exchange Online に接続してから実行してください。 

  

 

 

it-bibouroku.hateblo.jp

 

  

 

[構文] 

Search-AdminAuditLog -Cmdlets <監査対象のコマンドレット> -StartDate <mm/dd/yyyy> -EndDate <mm/dd/yyyy> -ResultSize 250000 | select * -ExpandProperty cmdletparameters | Export-CSV -Encoding UTF8 -NoTypeInformation -Path <ファイル名>.csv 

  

[実行例] 

Search-AdminAuditLog -Cmdlets "New-DistributionGroup" -StartDate 06/05/2021 -EndDate 07/05/2021 -ResultSize 250000 | select * -ExpandProperty cmdletparameters | Export-CSV -Encoding UTF8 -NoTypeInformation -Path C:\Temp\AdminAuditlog.csv 

  

管理者監査ログの取得結果について 

 

ObjectModified : 設定対象オブジェクトの Name 値(どのユーザーやグループに対して行ったコマンドレットか) 

CmdletName : 実行されたコマンドレット 

CmdletParameters : [CmdletName] に記載されたコマンドに付与されたすべてのパラメーター 

Caller : 実行した管理者ユーザー 

         ※ データセンター側で実行されたログは Caller 項目に "********" と表示されます。 

            なお、データセンター側で実行されたログにつきましては、公開情報に記載されている以上の情報はご案内ができかねますので予めご承知おきいただけますと幸いです。 

RunDate : 実行された日付 

Succeeded : 成功かどうか 

Name : 何を設定するか 

Value : 設定の内容 

  

 

docs.microsoft.com

【Office365参考書】共有メールボックスのアドレスで送信したユーザーを特定するには?監査ログで可能?

Microsoft365

f:id:it-bibouroku:20200305151118j:plain

 

メールボックス監査ログ(Search-MailboxAuditLog)と管理者監査ログ(Search-AdminAuditLog)が廃止され、統合監査ログで取得することが可能となりました。

it-bibouroku.hateblo.jp

 

 

共有メールボックスのメンバーに登録することで、フルアクセス許可とメールボックス所有者として送信する権限が付与され、共有メールボックスのアドレスを利用して送信することが可能となります。

 

メールボックス所有者として送信する権限にて、共有メールボックスのアドレスで送信したユーザーを特定する場合、メールボックス監査ログの機能を利用することで可能です。 

  

以下にメールボックス所有者として送信する権限にて、共有メールボックスのアドレスで送信したユーザーを確認するメールボックス監査ログのコマンドレットをご案内いたします。 

  

以下のサイトの手順にて、Exchange Online に接続してから実行してください。 

  

 

it-bibouroku.hateblo.jp

 

  

 

共有メールボックスのアドレスを利用して送信したユーザーを確認するコマンド 

[構文] 

Search-MailboxAuditLog -StartDate <開始日> -EndDate <終了日> -Identity <対象のメールボックス> -ShowDetails -Operations SendAs | Export-Csv -NoTypeInformation -Encoding UTF8 -Path "<ファイル名を含んだ保存先のパス>" 

  

[実行例] 

Search-MailboxAuditLog -StartDate 2021/03/01 -EndDate 2021/03/05 -Identity Shared001@contoso.com -ShowDetails -Operations SendAs | Export-Csv -NoTypeInformation -Encoding UTF8 -Path "C:\Temp\MailboxAuditLog.csv

  

※ 上記実行例は、2021  3  1 日から 2021  3  5 日の、共有メールボックス (Shared001@contoso.comの監査ログより、所有者として送信が行われたログのみを出力し、 C ドライブ配下の Temp フォルダーに MailboxAuditLog という名前のファイルで CSV ファイルとして出力いたします。 

  

~~ 関連箇所抜粋 ~~ 

パラメーターの意味はそれぞれ以下の通りです。 

  

Operation : 操作の内容 

OperationResult : 操作の成否 

LogonType : 操作を行ったユーザーが所有者 (Owner) か代理ユーザー (Delegate 

ClientIPAddress : クライアントの IP アドレス 

ClientInfoString : 操作したクライアントの情報 

ClientProcessName : クライアント プロセス名 

LogonUserDisplayName : オペレーションを実行したユーザー名 

SourceItemSubjectsList :メッセージアイテムの件名 

LastAccessed : オペレーションを実行した日時 

~~~~~~~~~~~ 

  

上記監査項目が出力されている場合、"LogonUserDisplayName" には操作を行われたユーザー、"LastAccessed" には操作を行われた日時、"SourceItemSubjectsList" には対象アイテムの件名が記録されております。 

 

なお、共有メールボックスの [AuditDelegate]  SendAsの監査項目が含まれていない場合は、監査ログで情報を取得できませんので、以下の手順にてご確認ください。

※既定で共有メールボックスを作成した場合は含まれています。

 

 

メールボックス単位で設定状況を確認する 

[構文] 

Get-Mailbox -Identity <対象メールボックスのアドレス> | Select AuditDelegate | Export-Csv -NoTypeInformation -Encoding UTF8 "<ファイル名を含んだ保存先のパス>" 

  

[実行例] 

Get-Mailbox -Identity User001@contoco.com | Select AuditDelegate | Export-Csv -NoTypeInformation -Encoding UTF8 "C:\temp\AuditEnabledList.csv

  

 全てのメールボックスの設定状況を確認する 

[構文] 

Get-Mailbox -ResultSize unlimited -Filter {RecipientTypeDetails -ne "DiscoveryMailbox"} | Select DisplayName,AuditDelegate | Export-Csv -NoTypeInformation -Encoding UTF8 "<ファイル名を含んだ保存先のパス>" 

  

[実行例] 

Get-Mailbox -ResultSize unlimited -Filter {RecipientTypeDetails -ne "DiscoveryMailbox"} | Select DisplayName,AuditDelegate | Export-Csv -NoTypeInformation -Encoding UTF8 "C:\temp\AuditEnabledList_AllList.csv

  

※ 実行例は C ドライブの Temp フォルダーに情報が出力されます。適宜ファイル名の変更をお願い申し上げます。 

  

なお、上記の手順にて、[AuditDelegate]  SendAsの監査項目が含まれていない場合は、以下のコマンドレットにて、追加することが可能です。

  

メールボックス単位で有効化する場合 

[構文] 

Set-Mailbox -Identity <有効化するメールボックスのアドレス> -AuditDelegate @{add="SendAs"} 

  

[実行例] 

Set-Mailbox -Identity User001@contoso.com -AuditDelegate @{add="SendAs"} 

  

全てのメールボックスに対し、一括で有効化する場合 

[実行例] 

Get-Mailbox -ResultSize unlimited -Filter {RecipientTypeDetails -ne "DiscoveryMailbox"} | Set-Mailbox -AuditDelegate @{add="SendAs"} 

【Microsoft365参考書】受信したメールが自動的に削除済みアイテムフォルダに移動する?無視とは?

Microsoft365

無視

 

Outlookで受信したメールが何もしていないのに自動的に削除済みアイテムフォルダに移動する場合、「無視」という機能が関係している可能性があります。

 

メールを右クリックすると「無視」という項目があり、クリックすると以下のような画面が表示されます。

 

 

Outlookでは「スレッドとして表示」することが可能であり、スレッドのアイテムを「無視」した場合、そのスレッドに関係したメールを受信した場合、自動的に削除済みアイテムフォルダに移動されます。

 

今回のシナリオとしては、Outlookを利用していること、スレッドとして表示している場合に「無視」をすることで発生します。

「スレッドとして表示」する設定がおこなわれているかは、Outlook上部の「表示」タブをクリックし、「現在のビュー」から「スレッドとして表示」にチェックが入っているかで確認することができます。

 

ちなみに「無視」を解除したい場合は、自動的に削除済みアイテムフォルダに移動したメールを右クリックし「無視」をクリックすると、以下のような画面が表示されるので「スレッドの無視の中止」をクリックすると解除できます。

 

 

自動的に削除済みアイテムフォルダに移動する場合は、「無視」の設定を確認してみましょう。

 

送信済みアイテムフォルダのメールが自動的に削除される場合は、以下の記事でご紹介しておりますので参考としてくださいね。

it-bibouroku.hateblo.jp