特定のユーザーにて、予定表を作成したログを確認する場合、メールボックス監査ログの機能を利用することで可能です。
なお、予定表の作成したログのみを抽出することができませんが、Operations を Create に指定することで、予定表の作成、および、メールアイテムの作成したログのみに限定することが可能です。
予定表のキャンセルは、MoveToDeletedItems を指定することで確認が可能です。
また、予定表の作成のログについては、[FolderPathName] に "\予定表" と記録されるため、CSV ファイルのフィルターにて指定することで予定表の作成したログのみ確認が可能です。
以下の記事をもとにExchangeOnlineに接続してから実行してください。
[構文]
Search-MailboxAuditLog -StartDate <mm/dd/yyyy> -EndDate <mm/dd/yyyy> -Identity <対象メールボックス> -ShowDetails -Operations <監査項目> -ResultSize 250000 | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "<保存先パス\ファイル名>"
[実行例]
Search-MailboxAuditLog -StartDate 03/01/2021 -EndDate 05/01/2021 -Identity User01@contoso.com -ShowDetails -Operations Create -ResultSize 250000 | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "C:\Temp\MailboxAuditLogSelect.csv"
<出力結果>
Operation : 実施した操作の種類
OperationResult : 操作の成否
LogonType : 操作を行ったユーザーが所有者 (Owner) か代理ユーザー (Delegate) か
FolderPathName : 該当アイテムが格納されているフォルダ名 (予定表の場合は、\予定表)
ClientInfoString : 操作を実行したクライアント
ClientIPAddress : クライアントの IP アドレス
LogonUserDisplayName : 操作したユーザー名
ItemSubject : 予定表の件名
LastAccessed : オペレーションを実行した日時
なお、メールボックス監査ログの既定の保持期間は90日ですので、90日前のログを確認することができません。
その場合、保持期間を超えた予定表の作成について確認するには、コンテンツの検索を利用することで可能です。
レポートを出力することで現在、予定表にあるアイテムの情報を取得することができますので、そこから作成者を特定することができます。
1. 権限付与
コンテンツの検索を行う場合、事前に権限の付与が必要となります。以下に権限付与方法をご案内いたします。
※ [eDiscoveryManager] の権限が付与されている場合、◆ 2. に進みます。
- 管理者権限を付与したユーザーにて、Microsoft 365 ポータルサイトにサインインします。
- Microsoft 365 管理センターを開き、画面左側のメニュー [管理センター] - [コンプライアンス] をクリックします
- [Microsoft 365 コンプライアンス] 画面に切り替わりましたら、画面左側のメニューから [アクセス許可] をクリックします。
- [アクセス許可] 画面表示後、[コンプライアンスセンター] 項目配下、[役割] をクリックします。
- 一覧から [eDiscovery Manager] をクリックします。
- [eDiscovery Manager] メニューが表示されましたら、下スクロールし [電子情報開示管理者] - [編集] をクリックします。
- [電子情報開示管理者の選択を編集中] 画面から [編集] をクリックします。
- [+ 追加] をクリックし [コンテンツの検索] を利用する管理者アカウントなどを選択し [追加] をクリックします
- メンバーが追加されている事を確認し [完了] をクリックし、画面が戻りましたら [保存] をクリックします。
- [eDiscovery Manager] メニューを閉じます。
2. コンテンツの検索の実行手順について
- [eDiscovery Manager] 権限が付与された管理者ユーザーにて、Microsoft 365 にサインインします。
- [Microsoft 365 コンプライアンス] 画面にアクセスし、画面左側のメニューから [コンテンツの検索] をクリックします
- [+ 新しい検索] のアイコンをクリックします。
- [名前と説明] より任意のルール名を入力し、[次へ] をクリックします。
- [特定の場所] 項目にて、[Exchange メールボックス] を有効にします。
- 特定のメールボックスを指定いただく場合、[ユーザー、グループ、またはチームを選択] をクリックし、検索対象メールボックスを検索し選択します。
- [検索条件の定義] 画面より検索対象の条件を指定します。
■ [予定表] アイテムの絞り込み
予定表アイテムのみを検索いただく場合、[+ 条件の追加] より [メッセージの種類] を追加いただき、追加された [メッセージの種類] の項目を [いずれかと等しい]、入力欄に meetings と入力いただくことで可能です。
- [次へ] をクリックし、[送信] をクリックし、新しい検索の作成後、[完了] をクリックします。
3. [コンテンツの検索] のレポートをエクスポートする
- [eDiscovery Manager] 権限が付与された管理者ユーザーにて、Microsoft 365 にサインインします。
- [Microsoft 365 コンプライアンス] 画面にアクセスし、画面左側のメニューから [コンテンツの検索] をクリックします。
- [コンテンツの検索] 画面から出力対象の検索ルールを選択し、[操作] > [レポートをエクスポート] をクリックします。
- 画面が切り替わりましたら、エクスポート対象項目を選択し、[レポートの生成] をクリックします。
- 画面右下 [閉じる] をクリックのうえ [コンテンツの検索] 画面に戻り、上部 [Export] タグをクリックします。
- [該当のルール名_ReportsOnly] をクリックします。
- 表示されたルール名が正しい事を確認し [クリップボードにコピー] をクリックし、[レポートのダウンロード] をクリックします。
- [ソースへの接続に使われる export key を貼り付けます] にコピーしたエクスポート キーを貼り付け、任意のダウンロード先選択し、[開始] をクリックします。
- ダウロードが完了するのを待ちます。
【ご留意点】
検索結果をエクスポートする場合、使用するコンピューターは下記のシステム要件を満たす必要があります。
◇ システム要件
・ OS
32 ビットおよび 64 ビット バージョンの Windows 7 およびそれ以降のバージョン
・ ソフトウェア
Microsoft .Net Framework 4.7 をインストールしている環境
・ ブラウザー
Mozilla Firefox、Google Chrome につきましては、PST ファイルの出力要件を満たさないため、Internet Explorer、Microsoft Edge をご利用いただけます様お願い申し上げます。
※ 最新版の Microsoft Edge (Chromium 版 Edge) の場合、エクスポートが正常に行えない場合がございます。
その際には、以下の公開情報の手順の実施をお試しください。
4. [コンテンツの検索] のレポートから対象のユーザーが作成した予定表アイテムを精査する
出力された Results.CSV のファイルにて、以下の値をもとに対象ユーザーが作成した予定表アイテムを精査します。
<出力結果>
[元のパス] : 末尾が "***\予定表" と記録されているものが予定表に存在しているアイテムです。また、削除済みアイテムに残っている予定表アイテムは末尾が "***\削除済みアイテム" と記録されています。
[件名またはタイトル] : 予定表のタイトルです
[送信者または作成者] : 予定表の作成者です
[受信または作成] : 予定表の作成された日時です
※予定表の開始日時を確認することができません。