社畜の所業

社畜の所業

Microsoft365の機能について解説をしていきたいと思います。このブログの情報をご活用いただければ幸いです。たまに他の情報も取り入れていきたいと思います。

※このサイトはPR記事を含みます。

【Office365参考書】共有メールボックスのアドレスで送信したユーザーを特定するには?監査ログで可能?

Microsoft365

f:id:it-bibouroku:20200305151118j:plain

 

メールボックス監査ログ(Search-MailboxAuditLog)と管理者監査ログ(Search-AdminAuditLog)が廃止され、統合監査ログで取得することが可能となりました。

it-bibouroku.hateblo.jp

 

 

共有メールボックスのメンバーに登録することで、フルアクセス許可とメールボックス所有者として送信する権限が付与され、共有メールボックスのアドレスを利用して送信することが可能となります。

 

メールボックス所有者として送信する権限にて、共有メールボックスのアドレスで送信したユーザーを特定する場合、メールボックス監査ログの機能を利用することで可能です。 

  

以下にメールボックス所有者として送信する権限にて、共有メールボックスのアドレスで送信したユーザーを確認するメールボックス監査ログのコマンドレットをご案内いたします。 

  

以下のサイトの手順にて、Exchange Online に接続してから実行してください。 

  

 

it-bibouroku.hateblo.jp

 

  

 

共有メールボックスのアドレスを利用して送信したユーザーを確認するコマンド 

[構文] 

Search-MailboxAuditLog -StartDate <開始日> -EndDate <終了日> -Identity <対象のメールボックス> -ShowDetails -Operations SendAs | Export-Csv -NoTypeInformation -Encoding UTF8 -Path "<ファイル名を含んだ保存先のパス>" 

  

[実行例] 

Search-MailboxAuditLog -StartDate 2021/03/01 -EndDate 2021/03/05 -Identity Shared001@contoso.com -ShowDetails -Operations SendAs | Export-Csv -NoTypeInformation -Encoding UTF8 -Path "C:\Temp\MailboxAuditLog.csv

  

※ 上記実行例は、2021  3  1 日から 2021  3  5 日の、共有メールボックス (Shared001@contoso.comの監査ログより、所有者として送信が行われたログのみを出力し、 C ドライブ配下の Temp フォルダーに MailboxAuditLog という名前のファイルで CSV ファイルとして出力いたします。 

  

~~ 関連箇所抜粋 ~~ 

パラメーターの意味はそれぞれ以下の通りです。 

  

Operation : 操作の内容 

OperationResult : 操作の成否 

LogonType : 操作を行ったユーザーが所有者 (Owner) か代理ユーザー (Delegate 

ClientIPAddress : クライアントの IP アドレス 

ClientInfoString : 操作したクライアントの情報 

ClientProcessName : クライアント プロセス名 

LogonUserDisplayName : オペレーションを実行したユーザー名 

SourceItemSubjectsList :メッセージアイテムの件名 

LastAccessed : オペレーションを実行した日時 

~~~~~~~~~~~ 

  

上記監査項目が出力されている場合、"LogonUserDisplayName" には操作を行われたユーザー、"LastAccessed" には操作を行われた日時、"SourceItemSubjectsList" には対象アイテムの件名が記録されております。 

 

なお、共有メールボックスの [AuditDelegate]  SendAsの監査項目が含まれていない場合は、監査ログで情報を取得できませんので、以下の手順にてご確認ください。

※既定で共有メールボックスを作成した場合は含まれています。

 

 

メールボックス単位で設定状況を確認する 

[構文] 

Get-Mailbox -Identity <対象メールボックスのアドレス> | Select AuditDelegate | Export-Csv -NoTypeInformation -Encoding UTF8 "<ファイル名を含んだ保存先のパス>" 

  

[実行例] 

Get-Mailbox -Identity User001@contoco.com | Select AuditDelegate | Export-Csv -NoTypeInformation -Encoding UTF8 "C:\temp\AuditEnabledList.csv

  

 全てのメールボックスの設定状況を確認する 

[構文] 

Get-Mailbox -ResultSize unlimited -Filter {RecipientTypeDetails -ne "DiscoveryMailbox"} | Select DisplayName,AuditDelegate | Export-Csv -NoTypeInformation -Encoding UTF8 "<ファイル名を含んだ保存先のパス>" 

  

[実行例] 

Get-Mailbox -ResultSize unlimited -Filter {RecipientTypeDetails -ne "DiscoveryMailbox"} | Select DisplayName,AuditDelegate | Export-Csv -NoTypeInformation -Encoding UTF8 "C:\temp\AuditEnabledList_AllList.csv

  

※ 実行例は C ドライブの Temp フォルダーに情報が出力されます。適宜ファイル名の変更をお願い申し上げます。 

  

なお、上記の手順にて、[AuditDelegate]  SendAsの監査項目が含まれていない場合は、以下のコマンドレットにて、追加することが可能です。

  

メールボックス単位で有効化する場合 

[構文] 

Set-Mailbox -Identity <有効化するメールボックスのアドレス> -AuditDelegate @{add="SendAs"} 

  

[実行例] 

Set-Mailbox -Identity User001@contoso.com -AuditDelegate @{add="SendAs"} 

  

全てのメールボックスに対し、一括で有効化する場合 

[実行例] 

Get-Mailbox -ResultSize unlimited -Filter {RecipientTypeDetails -ne "DiscoveryMailbox"} | Set-Mailbox -AuditDelegate @{add="SendAs"}