メールボックスの操作のログはメールボックス監査ログ、管理者がExchange管理センターやPowershellでメールボックスの設定変更したログは管理者監査ログで確認することができます。
以前はExchange管理センターの画面上から確認することができましたが、現在はPowershellのコマンドレットで確認する必要があります。
ただし、メールボックス監査ログ管理者監査ログは、Microsoft Purviewの統合監査ログにて画面上から確認することができます。
統合監査ログで、管理者監査ログのみ取得する場合は、[レコードの種類] を "ExchangeAdmin" として検索することで可能であり、メールボックス監査ログのログのみ取得する場合は、[新しい検索] にて [レコードの種類] を "ExchangeItem" や "ExchangeItemGroup" を指定する方法や [アクティビティ] にてメールボックス監査ログの対象のアクティビティを指定することで取得が可能です。
なお、統合監査ログにてメールボックス監査ログを取得する場合、ログの取得対象に付与されているライセンスが E5 であれば操作は不要でログの取得ができますが、E5 以外のライセンスを利用されている場合、事前にメールボックス単位で AuditEnabled の値を True に指定する必要があるのが注意ですね。
以下に既存のすべてのユーザーメールボックスを対象にAuditEnabled の値を True に指定するコマンドレットをご紹介します。
以下のサイトの手順にて、Exchange Online に接続してから実行してください。
すべての既存メールボックスのAuditEnabled の値を Trueにする
[実行例]
Get-Mailbox -ResultSize Unlimited | Set-Mailbox -AuditEnabled $true
なお、上記コマンド実行後、以下コマンドレットで設定状況の確認が可能です。
Get-Mailbox –ResultSize Unlimited -Filter "AuditEnabled -ne '$true'"
実行後、返り値が何もない場合、テナント内に AuditEnabled が True ではないメールボックスは存在しないと判断することができます。
メールボックス監査ログオンは既定ですべての組織に対して有効になっていますが、監査 (Premium) (この記事では総称して E5/A5/G5 ライセンスと呼ばれます) を含むライセンスを持つユーザーのみが、Microsoft Purview コンプライアンス ポータルまたはOffice 365での監査ログ検索でメールボックス監査ログ イベントを返します。既定では、Management Activity API。
E5/A5/G5 ライセンスを持たないユーザーのメールボックス監査ログ エントリを取得するには、次のいずれかの回避策を使用できます。
個々のメールボックスでメールボックス監査を手動で有効にします (コマンド Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $trueを実行します)。 コマンドを実行した後、Microsoft Purview コンプライアンス ポータルまたは Office 365 Management Activity API を使用して監査ログ検索を使用できます。
統合監査ログの取得手順(管理者監査ログの取得)
1. 管理者にて、Office 365 サービスへサインインします。
2. Microsoft365 管理センターを開き、画面左ペインの [管理センター] - [コンプライアンス] をクリックします。
3. Microsoft Purview (Microsoft 365 コンプライアンス) にて、左メニューから [監査] をクリックします。
4. [新規検索] にて、以下の項目を指定します。
・開始 : 開始日時を指定します。
・終了 : 終了日時を指定します。
5. [レコードの種類] に "ExchangeAdmin" を指定します
※ 任意で [検索名] で作成するジョブの名前を指定することも可能です。
6. 任意で [検索名] に作成するジョブの名前を指定し [検索] をクリックします。
7. [検索の開始] をクリックします。
8. 画面下にジョブが作成されますので、[ジョブの状態] が "完了済み" になるまでお待ちください。
※ [更新] をクリックすることで表示が更新されます。
9. [ジョブの状態] が "完了済み" になりましたら、ジョブをクリックすることでログを確認することができます。
統合監査ログの取得手順(メールボックス監査ログの取得)
1. 管理者にて、Office 365 サービスへサインインします。
2. Microsoft365 管理センターを開き、画面左ペインの [管理センター] - [コンプライアンス] をクリックします。
3. Microsoft Purview (Microsoft 365 コンプライアンス) にて、左メニューから [監査] をクリックします。
4. [新規検索] にて、以下の項目を指定します。
・開始 : 開始日時を指定します。
・終了 : 終了日時を指定します。
※確認されたい日時を含めて範囲を設定します
5. [レコードの種類] に "ExchangeItem" や "ExchangeItemGroup" を指定します
※ 複数の設定ができないため、ユーザーメールボックスの場合は"ExchangeItem"、グループメールボックス(Microsoft365グループ)の場合は"ExchangeItemGroup"を指定します。
※ アクティビティで指定する場合は、[レコードの種類] の手順を省略し 6. へ進めます。
6. アクティビティを指定する場合は、[アクティビティ - フレンドリ名] の "Exchange メールボックスのアクティビティから選択してください。
7. 任意で [検索名] に作成するジョブの名前を指定し [検索] をクリックします。
8. [検索の開始] をクリックします。
9. 画面下にジョブが作成されますので、[ジョブの状態] が "完了済み" になるまでお待ちください。
※ [更新] をクリックすることで表示が更新されます。
10. [ジョブの状態] が "完了済み" になりましたら、ジョブをクリックすることでログを確認することができます。
監査ログについて以下の記事でまとめていますので参考としてくださいね。