結論から言いますと統合監査ログまたは、Azure AD 監査ログを利用することで、ライセンスが付与と剥奪されたログを確認できます。
なお、統合監査ログについては、あらかじめ有効化されている必要がございます。
以下に、Microsoft 365 監査ログが有効になっているか確認する方法をご案内いたしますので、ご確認ください。
※ 統合監査ログは 90 日前までの情報を取得する事が可能となります。
なお、Office 365 E5 または Microsoft 365 E5 または Microsoft 365 E5 Compliance アドオン ライセンスを持っているユーザーについては、1 年間保持されます。
統合監査ログが有効になっているか確認
以下の記事をもとにExchange Online に接続してから実行してください。
設定値を確認する
[実行例]
Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
※ こちらの実行結果が True になっていれば監査ログは有効であり、False の場合は無効となっております。
なお、以下のコマンドレットを実行することで、有効化することが可能です。
統合監査ログを有効化する
[実行例]
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $True
統合監査ログが有効化されている場合、以下にライセンスやサービスが付与、剥奪されたログを出力する方法をご案内いたします。
Search-UnifiedAuditLog コマンドレットを利用した統合監査ログの取得手順
<コマンドレット>
Search-UnifiedAuditLog -ResultSize "5000" -StartDate "<開始日時>" -EndDate "<終了日時>" -Operations "<対象アクティビティ>" -ObjectIDs "<対象のユーザー>" | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "<ファイル名を含んだ保存先のパス.csv>"
<実行例>
Search-UnifiedAuditLog -ResultSize "5000" -StartDate "2021/6/1 15:00:00" -EndDate "2021/6/15 15:00:00" -Operations "Change user license.","Update user." -ObjectIDs "user1@contoso.com" | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "C:\Temp\UnifiedAuditLogSearch.csv"
解説
・ コマンドレット実行時の日時は、協定世界時(UTC) で指定する必要があります。
日本時間は UTC +9 時間のため、上記は、日本時間の 6 月 2 日 0 時 ~ 6 月 16 日 0 時 までの期間を指定しています。
・ ログは C ドライブ直下の Temp フォルダに [UnifiedAuditLogSearch.csv] というファイル名で出力しています。
・ [UserIds] に、操作したユーザーが出力されます。
・ 付与、はく奪されたライセンスやサービスの情報を確認するには、[Operations] に出力される [Change user license] と同時刻に出力されている [Update user] の [AuditData] の内容を確認します。
※ ["OldValue"] には、それまで付与されていたライセンスの情報、["NewValue"] には新しく付与されたライセンス情報が表示される動作となります。
<例>
ModifiedProperties:
"Name": "AssignedLicense",
"NewValue": "[\r\n \"]・・・・, DisabledPlans=]・・・・,
"OldValue": "[\r\n \"[SPE_E3],・・・・]]・・・・, DisabledPlans=]・・・・
NewValue : 新しいライセンス付与状況 ※ ライセンスがはく奪された場合は、"" と出力されます。
OldValue : 以前のライセンス付与状況
SkuName : ライセンス名 ※ Microsoft 365 E3 は 「SPE_E3」 と表示され、Office 365 E1 は 「STANDARDPACK」 と表示されます。
DisabledPlans : ライセンス内でオフとなっているサービス名
なお、ライセンス名につきましては、以下の公開情報をご確認ください。
統合監査ログが有効化されていない場合、Azure AD 監査ログでも確認することは可能です。
Azure AD 監査ログで確認する場合
- Microsoft 365管理センターへサインイン
- 左メニューの[管理センター] - [Azure Active Directory] をクリック
- 遷移した画面左メニューの[Azure Active Directory] をクリック
- [監視]の配下にある[監査ログ] をクリック
- [許可された時刻]で任意の検索期間を指定
- [フィルターの追加]をクリックし、[ターゲット」 を選択し、[適用]をクリック
- [ターゲット 次の値で始まる]をクリックし、対象のユーザーを入力し、[適用]をクリック
・ [Change user license] というアクティビティが、ライセンスの付与/はく奪をしたことを指すログです。
・ 開始者 (アクター) が操作を行ったユーザーです
・ どのライセンスが変更されたかについては、[Change user license] のログと同時刻に記録される [Update user] のログを確認します。
- 該当の[Update user] のログをクリックし、[アクティビティ] タブの [追加の詳細] の欄に内容が出力されます
【表示例】
AssignedLiecnse ~
OldValue\”:~ [SkuName= SPE_E3,… DisabbledPlans = ]
NewValue\”:["]…
※ OldValue : 以前のライセンス付与状況
※ NewValue : 新しいライセンス付与状況 (ライセンスがはく奪された場合は、"[]" と出力されます。)
※ Microsoft 365 E3 は 「SPE_E3」 と表示され、Office 365 E1 は 「STANDARDPACK」 と表示されます。
※ DisabledPlans : ライセンス内でオフとなっているサービス名
なお、画面左上の [ダウンロード] をクリックし、右側に表示される画面 [形式] で、[CSV] を選択し、[ダウンロード] をクリックすることで、CSV ファイルに出力することも可能です。