メールアイテムアクセスに関する操作を監査ログで確認する場合、Search-MailboxAuditLog にて取得可能な Operations の"MailItemsAccessed" のログを確認することで可能です。
"MailItemsAccessed" は、今までは、E5 または E5 コンプライアンス アドオン サブスクリプションライセンスが付与されているメールボックスでのみ取得可能なログであり、E3 ライセンスが割り当てられているメールボックスでは取得が行えないログでした。
MC711333 では E5 コンプライアンス アドオン サブスクリプションライセンスが付与されているメールボックスのみで取得可能であった以下 3 つのログ取得が E5ライセンス以外が割り当てが行われているメールボックスでも取得可能となり、2024年3月上旬からプレビュー版のロールアウトが開始され、2024年6 月下旬より標準リリースが開始される予定となってます。
・ MailItemsAccessed : 管理者または メールボックス所有者、代理人 がメールボックス内のアイテムにアクセスした際に当該ログが記録されます。
・ SearchQueryInitiated : メールボックス所有者がメールボックス内で検索を行った際に当該ログが記録されます。
・ Send : メールボックス所有者がメール送信を行った場合に当該ログが記録されます。
以下ロードマップで公開されていますので参考としてくださいね。
なお、"MailItemsAccessed"が利用可能になったことでPowerShellで"MessageBind"を追加するコマンドレットを実行すると警告が表示されることを確認しています。
エラーメッセージ
|Microsoft.Exchange.Management.Tasks.RecipientTaskException|MessageBind という監査操作の種類は非推奨となりました。MailItemsAccessed を代わりの監査操作の種類としてお使いください。
現状 [MessageBind] が設定されているメールボックスについては引き続きログの取得は可能ですが、[MailItemsAccessed] にてアイテムへのアクセスに関するログを確認するようにしたほうがいいと思います。
MC711333 では、各メールボックスに設定されている監査項目設定が [DefaltAuditSet] (既定値) から変更されている場合、取得可能なログの追加が自動的に行われないため、その場合は後述するオプション 1 または オプション 2 に記載されたいずれかの手順で対応が必要であることが記述されています。
なお、監査項目設定を既定値から変更していないメールボックスについての対応は不要であり、MC のロールアウト後自動的に追加のログ取得が可能となります。
特定メールボックスの監査項目設定を確認する手順
以下の URL を参照し Windows PowerShell を Exchange Online に接続します。
事前準備
以下コマンドレットを実行し、Windows PowerShell 画面上にすべてのログが表示されるようにします。
[構文]
$FormatEnumerationLimit = -1
1. 特定メールボックスの監査項目設定を確認する
[構文]
Get-Mailbox -Identity "確認するユーザーのメールアドレス" | Select DisplayName,DefaultAuditSet,AuditAdmin,AuditDelegate,AuditOwner,AuditLogAgeLimit
[実行例]
Get-Mailbox -Identity User01@contoso.com | Select DisplayName,DefaultAuditSet,AuditAdmin,AuditDelegate,AuditOwner,AuditLogAgeLimit
2. 全ユーザーメールボックスの監査項目設定を確認する手順
[構文]
Get-Mailbox -ResultSize Unlimited -RecipientTypeDetails UserMailbox | Select DisplayName,DefaultAuditSet,AuditAdmin,AuditDelegate,AuditOwner,AuditLogAgeLimit | Export-CSV -Encoding UTF8 -NoTypeInformation -Path "<ファイルの出力場所\ファイル名.csv>"
[実行例]
Get-Mailbox -ResultSize Unlimited -RecipientTypeDetails UserMailbox | Select DisplayName,DefaultAuditSet,AuditAdmin,AuditDelegate,AuditOwner,AuditLogAgeLimit | Export-CSV -Encoding UTF8 -NoTypeInformation -Path "C:\temp\MailboxAudtsSet.csv"
[取得例]
DisplayName : 表示名
DefaultAuditSet : Admin,Delegate,Owner
AuditAdmin : 管理者による操作監査項目
AuditDelegate : メールボックス所有者以外がアクセスを行った監査項目
AuditOwner : メールボックス所有者がアクセスを行った監査項目
AuditLogAgeLimit : ログの保存期間
[DefaultAuditSet] にて [Admin,Delegate,Owner] が記載されている場合は設定不要で展開後、自動で追加されるログが取得可能となります。
※ AuditAdmin などに [MailItemsAccessed] が含まれていることを確認します。
Admin, Delegate, Owner に不足が合った場合の対応について
DefaultAuditSet の項目に不足がある場合、MC のロールアウト後自動的にログの追加が行われないため、オプション1、オプション2 いずれかで対応を行う必要があります。
※オプション 1 を実施し時間経過後も監査項目が追加されない場合は、オプション 2 にて手動で監査項目を追加してください。
※ E5 ライセンス以外のユーザーにて、DefaultAuditSet の項目に不足があり [MailItemsAccessed] が含まれていない場合に実施します。
オプション 1 の対応
DefaultAuditSet の値をリセットし、既定値に戻すことで、ログの自動追加を可能とする対応となります。
特定メールボックスの DefaultAuditSet をリセットする手順
PowerShell にて Exchange Onlineへ接続し、以下コマンドレットを実行します。
[構文]
Set-Mailbox -Identity "設定するユーザーのメールアドレス" -DefaultAuditSet Admin,Delegate,Owner
[実行例]
Set-Mailbox -Identity User02@contoso.com -DefaultAuditSet Admin,Delegate,Owner
上記実行後、DefaultAuditSet の値が既定になっているか確認します。
[実行例]
Get-Mailbox -Identity User02@contoso.com | Select DisplayName,DefaultAuditSet
[表示例]
DisplayName DefaultAuditSet
-------------- ----------------
User02 {Admin, Delegate,Owner}
MC711333 がロールアウトされたタイミングで MailItemsAccessed、Send 、SearchQueryInitiated のログ取得が可能となります。
全ユーザーメールボックスのDefaultAuditSet をリセットする手順
[実行例]
Get-Mailbox -ResultSize Unlimited -RecipientTypeDetails UserMailbox | Set-Mailbox -DefaultAuditSet Admin,Delegate,Owner
オプション 2 の対応
オプション 2. については、手動で各ログを追加するコマンドレットとなります。
こちらの手順については自動追加ではなく、MC ロールアウト後に手動でログの追加を行います。
1. 特定メールボックスの監査項目を追加する
[構文]
Set-Mailbox -Identity "設定するユーザーのアドレス" -AuditOwner @{Add= "MailItemsAccessed,Send"} -AuditAdmin @{Add= "MailItemsAccessed,Send"} -AuditDelegate @{Add= "MailItemsAccessed"}
[実行例]
Set-Mailbox -Identity User@contoso.com -AuditOwner @{Add= "MailItemsAccessed,Send"} -AuditAdmin @{Add= "MailItemsAccessed,Send"} -AuditDelegate @{Add= "MailItemsAccessed"}
2. 全ユーザボックスの監査項目を追加する
[実行例]
Get-Mailbox -ResultSize Unlimited -RecipientTypeDetails UserMailbox | Set-Mailbox -AuditOwner @{Add= "MailItemsAccessed,Send"} -AuditAdmin @{Add= "MailItemsAccessed,Send"} -AuditDelegate @{Add= "MailItemsAccessed"}
なお、メールボックス監査ログが廃止されるため、統合監査ログで確認する必要があります。