メールが有効なセキュリティグループや配布リスト、Microsoft365グループなどグループアドレスにて、メールボックス所有者として送信する権限を利用し、差出人アドレスを変更して送信が可能ですが、[メッセージ追跡]では、送信者を特定することができません。
メールが有効なセキュリティグループや配布リストを差出人として送信した場合、どのアカウントからメールが送信されたか特定するには、[コンテンツの検索] にて、対象のアイテムを検索し、Results.csv のレポートから送信済みアイテムに格納されているアカウントを特定することで可能です。
なお、送信済みアイテムから削除されている可能性もあるので、削除済みアイテムフォルダや訴訟ホールドなどの保持機能を有効化している場合は、回復可能なアイテム領域の Purges や DiscoveryHolds もあわせて確認する必要があります。
既に対象の送信済みアイテムが完全削除されている場合については、特定することができません。
以下に手順をご紹介します。
1. 管理者へ必要な権限を付与する
- 管理者にて、Office 365 サービスへサインインします。
- Microsoft365 管理センターを開き、画面左ペインの [管理センター] - [コンプライアンス] をクリックします。
- Microsoft Purview (Microsoft 365 コンプライアンス) にて、[アクセス許可] をクリックし、[Microsoft Purview ソリューション] の [役割] をクリックします。
- 役割一覧より [eDiscovery Manager] をクリックし、編集画面を表示します。
- [電子情報開示管理者] の [編集] をクリックします。
- [編集] をクリックし、[+ (追加)] ボタンより、機能を実行する管理者を追加し [追加] をクリックします。
※一覧に存在しない場合は検索してください。また、表示名で検索してください。
- 画面下の [完了] をクリックし、[保存] をクリックします。
2. コンテンツの検索の実行手順について
- [eDiscovery Manager] 権限が付与された管理者ユーザーにて、Office 365 にサインインします。
※ 管理者権限が付与されていないユーザーの場合は、https://compliance.microsoft.com/homepage の URL からコンプライアンスセンターにアクセスします。
- 画面左ペインの [管理センター] - [コンプライアンス] にて、Microsoft Purview (Microsoft 365 コンプライアンス) にアクセスし、画面左側のメニューから [コンテンツの検索] をクリックします。
- [+ 新しい検索] のアイコンをクリックします。
- [名前と説明] ページで、[名前] と [説明] を任意で登録し、[次へ] をクリックします。
- [場所] ページにて、[Exchange メールボックス] を有効にし、[ユーザー、グループ、チームを選択] をクリックします。
- [検索] にて、検索対象のアドレスや表示名で検索し、対象ユーザーにチェックを入れ、[完了] をクリックし、[次へ] をクリックします。
※ 検索欄にアドレスや表示名を入力してからエンターキーを押すことで検索が開始されます。
※ 全メールボックスを指定する場合、[Exchange メール] の項目を [すべて] の状態で進めます。
- [検索条件の定義] ページにて、[検索クエリ] の指定を行います。
※ 対象のアイテムの件名や日付などを条件として検索します。
メールアイテムの絞り込み
メールアイテムのみを検索いただく場合、[+ 条件の追加] より [メッセージの種類] を追加いただき、追加された [メッセージの種類] の項目を [いずれかと等しい]、入力欄に email と入力いただくことで可能です。
[件名] の絞り込み
件名を指定する場合場合、[+ 条件の追加] より [件名 / タイトル] を追加いただき、追加された [件名 / タイトル] の項目を [いずれかと等しい]、入力欄に対象のアイテムの件名を入力いただくことで可能です。
日付の範囲指定をする場合
[条件の追加] > [日付] を選択し任意の日付を指定します
※ プルダウンにて、日付範囲で指定する場合は [範囲]、指定した日時以前の場合は [以前]、指定した日時以降の場合は [以降] を選択します。
※ 日時は UTC で検索されるため、日本時間を考慮いただく場合には、- 9 時間の時差を考慮し検索をお試しください。
※ [キーワード]、[件名 / タイトル] に日本語が含まれる場合、画面上にあるリンク (時計・A・字 と記載されたアイコン) をクリックし、[日本語] を選択し保存します。
なお、日本語のキーワードを指定する際、文字数が多いと意図した検索結果が得られない動作を確認しておりますので、その場合は短いキーワードを指定して検索をお試しください。
- [検索の確認と作成] 画面が表示されますので、[送信] をクリックし、[完了] をクリックします。
※一覧に作成された検索ルールが表示されない場合は、上部の [更新] をクリックします。
3. [コンテンツの検索] 結果をエクスポートする
- [eDiscovery Manager] 権限が付与された管理者ユーザーにて、Office 365 にサインインします。
- 画面左ペインの [管理センター] - [コンプライアンス] にて、Microsoft Purview (Microsoft 365 コンプライアンス) にアクセスし、画面左側のメニューから [コンテンツの検索] をクリックします。
- [コンテンツの検索] 画面から出力対象の検索ルールを選択します。
- [操作] をクリックし、レポート のエクスポートを行う場合は [レポートのエクスポート] を選択します。
- 画面が切り替わりましたら、エクスポート対象項目を選択し、[レポートの生成] をクリックします。
- [閉じる] をクリックし [コンテンツの検索] 画面に戻り、上部の [Export] タグをクリックします。
- 画面より対象のルールを選択します。
- 表示されたルール名が正しい事を確認し [クリップボードにコピー] をクリックし、上部の [レポートのダウンロード] をクリックします。
※ [このファイルを開きますか] という画面が表示された場合は [開く] をクリックします。
- [ソースへの接続に使われる export key を貼り付けます] に [クリップボードにコピー] にて、コピーしたキーを貼り付け、任意のダウンロード先選択し、[開始] をクリックします。
- ダウンロードが完了するのを待ちます。
4. CSV ファイルの確認方法
コンテンツ検索の検索結果は CSV ファイルにて確認することが可能です。
エクスポート実施後に生成されるフォルダー内 [Result.csv] となります。
[件名またはタイトル (K 列)] にて件名の確認が可能です。
[送信者または作成者] にて送信者の確認が可能です。(対象のグループであるか確認します)
[宛先行の受信者] にて受信者の確認が可能です。
※ [CC 行の受信者] で CC に含まれた受信者、[BCC 行の受信者] で BCC に含まれた受信者の確認が可能です。
なお、[Result.csv] のレポートの [元のパス] の値にて確認する場合、末尾の文字列で格納先のフォルダを確認することが可能です。
※ フィルター機能によりフォルダを指定してレポートを確認することができます。
例 1 : 通常領域の送信済みアイテムに格納されている場合
"ユーザーアドレス", Primary, 8f366172-1b05-4f2e-9f92-***********\"ユーザーアドレス" (Primary)\インフォメーション ストアの先頭\送信済みアイテム
例 2 : 回復可能なアイテム領域の DiscoveryHolds に格納されている場合
"ユーザーアドレス", Primary, 8f366172-1b05-4f2e-9f92-***********\"ユーザーアドレス" (Primary)\Recoverable Items\DiscoveryHolds
※ 訴訟ホールドの保持期間を有期限で設定している場合は、DiscoveryHolds、保持期間を無期限で設定している場合は、Purges フォルダをご確認ください。
上記の [元のパス] にて、送信済みアイテムフォルダや削除済みアイテムなどの他フォルダに格納されているユーザーが送信したアカウントであると判断することができます。
また、Microsoft365 グループを差出人として送信した場合、どのアカウントからメールが送信されたか特定するには、メールボックス監査ログにて、SendAs の監査項目にて記録されるため、[LogonUserDisplayName] の値から送信したアカウントを確認することが可能です。
なお、Powershell のコマンドレットにて、取得することが可能ですので、以下にコマンドレットを実施してください。
以下のサイトの手順にて、Exchange Online に接続してから実行してください。
[構文]
Search-MailboxAuditLog -StartDate <開始日> -EndDate <終了日> -Identity <Microsoft365 グループのアドレス> -GroupMailbox -Operations <監査項目> -ShowDetails -ResultSize 250000 | Export-Csv -NoTypeInformation -Encoding UTF8 -Path <ファイルパス\ファイル名>.csv
[実行例]
Search-MailboxAuditLog -StartDate 2023/01/01 -EndDate 2023/01/20 -Identity group@contoso.com -GroupMailbox -Operations SendAs -ShowDetails -ResultSize 250000 | Export-Csv -NoTypeInformation -Encoding UTF8 -Path "C:\Temp\MailboxAuditLog.csv"
※ 指定可能なログ取得期間は、既定で 90 日間です。
※ 出力可能なログのエントリ数について -ResultSize パラメーターを指定せずにコマンドレットを実行した場合、既定では最大 1,000 のログ エントリが出力されます。
一度に出力可能なログ エントリ数は、最大で 250000 ログです。
取得結果の確認方法について
◇1. 対象アイテムの LogonType 項目にて、AuditDelegate (所有者以外のユーザーによる操作)の操作ログを確認します。
※ LogonType について
AuditOwner の場合 : メールボックス所有者による操作
AuditDelegate の場合 : 所有者以外のユーザーによる操作
◇2. Operation 項目にて"SendAs" のログを確認します。
※ グループメールボックスで取得可能な監査項目 について
Create : メールボックス内にアイテムが作成されたログ
HardDelete : [削除済みアイテム復元フォルダー] からアイテムが削除されたログ
MoveToDeletedItems : フォルダーからアイテムを削除したログ (削除済みアイテムフォルダーへの移動)
SendAs : 所有者送信権限がある所有者以外のユーザーが、該当のユーザーアドレスから送信したログ
SendOnBehalf : 代理送信権限がある所有者以外のユーザーが、該当のユーザーアドレスから送信したログ
SoftDelete : [削除済みフォルダ] からアイテムが削除されたログ
Update : アイテムプロパティの更新ログ
◇3. 以下各項目を参考に、情報の確認を行います。
パラメーターの意味はそれぞれ以下の通りです。
Operation : 操作の内容
OperationResult : 操作の成否
LogonType : 操作を行ったユーザーが所有者 (Owner) か代理ユーザー (Delegate) か
FolderPathName : 該当アイテムが格納されているフォルダ名
ClientIPAddress : クライアントの IP アドレス
ClientInfoString : 操作したクライアントの情報
ClientProcessName : クライアント プロセス名
LogonUserDisplayName : オペレーションを実行したユーザー名
SourceItemSubjectsList :メッセージアイテムの件名
LastAccessed : オペレーションを実行した日時