メールボックス監査ログ(Search-MailboxAuditLog)と管理者監査ログ(Search-AdminAuditLog)が廃止され、統合監査ログで取得することが可能となりました。
共有メールボックスのメンバーに登録することで、フルアクセス許可とメールボックス所有者として送信する権限が付与され、共有メールボックスのアドレスを利用して送信することが可能となります。
メールボックス所有者として送信する権限にて、共有メールボックスのアドレスで送信したユーザーを特定する場合、メールボックス監査ログの機能を利用することで可能です。
以下にメールボックス所有者として送信する権限にて、共有メールボックスのアドレスで送信したユーザーを確認するメールボックス監査ログのコマンドレットをご案内いたします。
以下のサイトの手順にて、Exchange Online に接続してから実行してください。
共有メールボックスのアドレスを利用して送信したユーザーを確認するコマンド
[構文]
Search-MailboxAuditLog -StartDate <開始日> -EndDate <終了日> -Identity <対象のメールボックス> -ShowDetails -Operations SendAs | Export-Csv -NoTypeInformation -Encoding UTF8 -Path "<ファイル名を含んだ保存先のパス>"
[実行例]
Search-MailboxAuditLog -StartDate 2021/03/01 -EndDate 2021/03/05 -Identity Shared001@contoso.com -ShowDetails -Operations SendAs | Export-Csv -NoTypeInformation -Encoding UTF8 -Path "C:\Temp\MailboxAuditLog.csv"
※ 上記実行例は、2021 年 3 月 1 日から 2021 年 3 月 5 日の、共有メールボックス (Shared001@contoso.com) の監査ログより、所有者として送信が行われたログのみを出力し、 C ドライブ配下の Temp フォルダーに MailboxAuditLog という名前のファイルで CSV ファイルとして出力いたします。
~~ 関連箇所抜粋 ~~
パラメーターの意味はそれぞれ以下の通りです。
Operation : 操作の内容
OperationResult : 操作の成否
LogonType : 操作を行ったユーザーが所有者 (Owner) か代理ユーザー (Delegate) か
ClientIPAddress : クライアントの IP アドレス
ClientInfoString : 操作したクライアントの情報
ClientProcessName : クライアント プロセス名
LogonUserDisplayName : オペレーションを実行したユーザー名
SourceItemSubjectsList :メッセージアイテムの件名
LastAccessed : オペレーションを実行した日時
~~~~~~~~~~~
上記監査項目が出力されている場合、"LogonUserDisplayName" には操作を行われたユーザー、"LastAccessed" には操作を行われた日時、"SourceItemSubjectsList" には対象アイテムの件名が記録されております。
なお、共有メールボックスの [AuditDelegate] に SendAsの監査項目が含まれていない場合は、監査ログで情報を取得できませんので、以下の手順にてご確認ください。
※既定で共有メールボックスを作成した場合は含まれています。
メールボックス単位で設定状況を確認する
[構文]
Get-Mailbox -Identity <対象メールボックスのアドレス> | Select AuditDelegate | Export-Csv -NoTypeInformation -Encoding UTF8 "<ファイル名を含んだ保存先のパス>"
[実行例]
Get-Mailbox -Identity User001@contoco.com | Select AuditDelegate | Export-Csv -NoTypeInformation -Encoding UTF8 "C:\temp\AuditEnabledList.csv"
全てのメールボックスの設定状況を確認する
[構文]
Get-Mailbox -ResultSize unlimited -Filter {RecipientTypeDetails -ne "DiscoveryMailbox"} | Select DisplayName,AuditDelegate | Export-Csv -NoTypeInformation -Encoding UTF8 "<ファイル名を含んだ保存先のパス>"
[実行例]
Get-Mailbox -ResultSize unlimited -Filter {RecipientTypeDetails -ne "DiscoveryMailbox"} | Select DisplayName,AuditDelegate | Export-Csv -NoTypeInformation -Encoding UTF8 "C:\temp\AuditEnabledList_AllList.csv"
※ 実行例は C ドライブの Temp フォルダーに情報が出力されます。適宜ファイル名の変更をお願い申し上げます。
なお、上記の手順にて、[AuditDelegate] に SendAsの監査項目が含まれていない場合は、以下のコマンドレットにて、追加することが可能です。
メールボックス単位で有効化する場合
[構文]
Set-Mailbox -Identity <有効化するメールボックスのアドレス> -AuditDelegate @{add="SendAs"}
[実行例]
Set-Mailbox -Identity User001@contoso.com -AuditDelegate @{add="SendAs"}
全てのメールボックスに対し、一括で有効化する場合
[実行例]
Get-Mailbox -ResultSize unlimited -Filter {RecipientTypeDetails -ne "DiscoveryMailbox"} | Set-Mailbox -AuditDelegate @{add="SendAs"}