社畜の所業

社畜の所業

Office365の機能について解説をしていきたいと思います。このブログの情報をご活用いただければ幸いです。たまに他の情報も取り入れていきたいと思います。

【Office365参考書】配布リストやメールが有効なセキュリティグループのメンバーの変更をおこなったユーザーを特定するには?

f:id:it-bibouroku:20200305151118j:plain

PowerShell コマンドレットを実行して管理者監査ログより、配布リストやメールが有効なセキュリティグループからメンバーの追加/削除などが行われた履歴の確認が可能です。 

 

なお、AD 同期している配布グループの場合は、Exchange Online にて作業が実施できず、Exchange 管理者監査ログでは記録が残りませんのでご留意ください。

 

以下に取得手順をご紹介します。

    

 

 

管理者監査ログを PowerShell コマンドレットより出力する 

配布リストやセキュリティグループのメンバー変更について確認をする場合は次のコマンドレットが対象となります。 

   

◇ Update-DistributionGroupMember 

Exchange 管理センター、または Outlook on the Web のオプションより、グループのメンバー変更 (追加、削除) が行われた場合、Update-DistributionGroupMember コマンドが記録されます。 

なお、[Members] に表示されるユーザー名につきましては、変更後のメンバーが表示される動作となりますため、どのユーザーに対して削除や追加が行われたかは確認が行えない動作となります。 

   

◇ Remove-DistributionGroupMember 

Office 365 管理センター、Outlook クライアントのアドレス帳、PowerShell コマンドにより、配布リストのメンバー削除が行われますと、Remove-DistributionGroupMember コマンドが記録されます。 

[Members] には削除されたユーザー名が表示される動作となります。 

     

◇ Add-DistributionGroupMember 

Office 365 管理センター、Outlook クライアントのアドレス帳、PowerShell コマンドにより、配布リストのメンバー追加が行われますと、Add-DistributionGroupMember コマンドが記録されます。 

[Members] には追加されたユーザー名が表示される動作となります。 

  

以下のサイトの手順にて、Exchange Online に接続してから実行してください。 

  

 

 

it-bibouroku.hateblo.jp

 

         

[構文] 

Search-AdminAuditLog -ResultSize 250000 -StartDate <mm/dd/yyyy> -EndDate <mm/dd/yyyy> -ObjectIds <対象配布グループのメールアドレス> -Cmdlets <確認対象のコマンドレット> | Select -ExpandProperty CmdletParameters * | Export-CSV -Encoding UTF8 -NoTypeInformation -Path  "<保存先のパス\ファイル名.csv>" 

  

[実行例] 

Search-AdminAuditLog -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/10/2021 -ObjectIds group001@contoso.com -Cmdlets Update-DistributionGroupMember,Remove-DistributionGroupMember,Add-DistributionGroupMember | Select -ExpandProperty CmdletParameters * | Export-CSV -Encoding UTF8 -NoTypeInformation -Path "C:\Temp\AdminAuditlog-DistributionGroupMember.csv

  

上記実行例は、2021 年 1 月 1 日から 2021 年 1 月 10 日の期間に、当該のグループ group001@contoso.com に対し、Update-DistributionGroupMember,Remove-DistributionGroupMember,Add-DistributionGroupMember コマンドを実行した管理者監査ログを、C ドライブ配下の Temp フォルダに "AdminAuditlog-DistributionGroupMember.csv" という名前のファイルで出力しております。 

  

※管理者監査ログは 90 日間保存されますため、期間が 90 日を越えないように開始日と終了日をご指定ください。 

  

  

 

管理者監査ログの取得結果について  

ObjectModified : 設定対象のアカウント 

CmdletName : 実行されたコマンドレット 

CmdletParameters : [CmdletName] に記載されたコマンドに付与されたすべてのパラメーター 

Caller : 実行した管理者ユーザー 

※ データセンター側で実行されたログは Caller 項目に "********" と表示されます。 

RunDate : 実行された日付 

Name および Value : パラメーターごとの指定された値 

  

docs.microsoft.com