社畜の所業

社畜の所業

Office365の機能について解説をしていきたいと思います。このブログの情報をご活用いただければ幸いです。たまに他の情報も取り入れていきたいと思います。

【Office365参考書】ライセンスの付与と剝奪のログを確認するには?

f:id:it-bibouroku:20210404095716p:plain

結論から言いますと統合監査ログまたは、Azure AD 監査ログを利用することで、ライセンスが付与と剥奪されたログを確認できます。 

  

なお、統合監査ログについては、あらかじめ有効化されている必要がございます。 

以下に、Microsoft 365 監査ログが有効になっているか確認する方法をご案内いたしますので、ご確認ください。 

 統合監査ログは 90 日前までの情報を取得する事が可能となります。 

 

なお、Office 365 E5 または Microsoft 365 E5 または Microsoft 365 E5 Compliance アドオン ライセンスを持っているユーザーについては、年間保持されます。 

  

統合監査ログが有効になっているか確認 

以下の記事をもとにExchange Online に接続してから実行してください。

  

 

it-bibouroku.hateblo.jp

 

 

  

 

設定値を確認する 

[実行例] 

Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled 

※ こちらの実行結果が True になっていれば監査ログは有効であり、False の場合は無効となっております。  

  

なお、以下のコマンドレットを実行することで、有効化することが可能です。 

  

統合監査ログを有効化する 

[実行例] 

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $True 

 

docs.microsoft.com

  

統合監査ログが有効化されている場合、以下にライセンスやサービスが付与、剥奪されたログを出力する方法をご案内いたします。

  

Search-UnifiedAuditLog コマンドレットを利用した統合監査ログの取得手順 

<コマンドレット> 

Search-UnifiedAuditLog -ResultSize "5000" -StartDate "<開始日時>" -EndDate "<終了日時>" -Operations "<対象アクティビティ>" -ObjectIDs "<対象のユーザー>" | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "<ファイル名を含んだ保存先のパス.csv>" 

  

<実行例> 

Search-UnifiedAuditLog -ResultSize "5000" -StartDate "2021/6/1 15:00:00" -EndDate "2021/6/15 15:00:00" -Operations "Change user license.","Update user." -ObjectIDs "user1@contoso.com" | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "C:\Temp\UnifiedAuditLogSearch.csv

  

解説 

・ コマンドレット実行時の日時は、協定世界時UTC) で指定する必要があります。 

   日本時間は UTC 時間のため、上記は、日本時間の 6  2  0 時 ~ 6  16  0 時 までの期間を指定しています。 

・ ログは C ドライブ直下の Temp フォルダに [UnifiedAuditLogSearch.csvというファイル名で出力しています。 

 [UserIds] に、操作したユーザーが出力されます。 

・ 付与、はく奪されたライセンスやサービスの情報を確認するには、[Operations] に出力される [Change user license] と同時刻に出力されている [Update user]  [AuditData] の内容を確認します。 

    ["OldValue"] には、それまで付与されていたライセンスの情報、["NewValue"] には新しく付与されたライセンス情報が表示される動作となります。 

  

<> 

ModifiedProperties: 

"Name": "AssignedLicense", 

"NewValue": "[\r\n  \"]・・・・, DisabledPlans=]・・・・, 

"OldValue": "[\r\n  \"[SPE_E3],・・・・]]・・・・, DisabledPlans=]・・・・ 

  

NewValue : 新しいライセンス付与状況 ※ ライセンスがはく奪された場合は、"と出力されます。 

OldValue : 以前のライセンス付与状況 

SkuName : ライセンス名 ※ Microsoft 365 E3 は 「SPE_E3」 と表示され、Office 365 E1 は 「STANDARDPACK」 と表示されます。 

DisabledPlans : ライセンス内でオフとなっているサービス名 

  

なお、ライセンス名につきましては、以下の公開情報をご確認ください。

  

 

docs.microsoft.com

  

統合監査ログが有効化されていない場合、Azure AD 監査ログでも確認することは可能です。 

  

 

Azure AD 監査ログで確認する場合 

  1. Microsoft 365管理センターへサインイン
  2. 左メニューの[管理センター] - [Azure Active Directoryをクリック 
  3. 遷移した画面左メニューの[Azure Active Directoryをクリック 
  4. [監視]の配下にある[監査ログをクリック 
  5. [許可された時刻]で任意の検索期間を指定
  6. [フィルターの追加]をクリックし、[ターゲット」 を選択し、[適用]をクリック 
  7. [ターゲット 次の値で始まる]をクリックし、対象のユーザーを入力し、[適用]をクリック 

 [Change user license] というアクティビティが、ライセンスの付与/はく奪をしたことを指すログです。 

・ 開始者 (アクターが操作を行ったユーザーです 

・ どのライセンスが変更されたかについては、[Change user license] のログと同時刻に記録される [Update user] のログを確認します。 

  

  1. 該当の[Update user] のログをクリックし、[アクティビティタブの [追加の詳細の欄に内容が出力されます 

  

【表示例】 

AssignedLiecnse  

OldValue\”:~ [SkuName= SPE_E3, DisabbledPlans = ] 

NewValue\”:["] 

  

   OldValue : 以前のライセンス付与状況 

   NewValue : 新しいライセンス付与状況 (ライセンスがはく奪された場合は、"[]" と出力されます。) 

 ※ Microsoft 365 E3 は 「SPE_E3」 と表示され、Office 365 E1 は 「STANDARDPACK」 と表示されます。 

 ※ DisabledPlans : ライセンス内でオフとなっているサービス名 

なお、画面左上の [ダウンロードをクリックし、右側に表示される画面 [形式で、[CSVを選択し、[ダウンロードをクリックすることで、CSV ファイルに出力することも可能です。 

  

 

docs.microsoft.com