Microsoft Purview (Microsoft 365 コンプライアンス) の統合監査ログについて、E5 などのライセンスが付与されているユーザー以外 (監査 Standard) の保持期間が 2023 年 10 月 17 日以降、90 日から 180 日に変更されました。
なお、E5 などのライセンスが付与されたユーザーは監査 (Premium) となり、既定の保存保持期間は 1 年間となってます。
なお、Microsoft Entra ID (AzureAD)、Exchange Online、SharePoint Online、OneDrive for Businessでの操作の監査レコードは既定で 1 年間保持されますが、それ以外のレコードは監査保持ポリシーにて、1年に設定する必要があります。
監査 (Standard) の既定の保持期間が 90 日から 180 日に変更されました。 2023 年 10 月 17 日より前に生成された監査 (Standard) ログは、90 日間保持されます。 2023 年 10 月 17 日以降に生成された監査 (Standard) ログは、新しい既定の保持期間の 180 日に従います。
ちなみにExchange Onlineのメールボックス監査ログ、および、管理者監査ログは別の監査ログの機能であるため、保持期間が180日に変更されません。
Search-MailboxAuditLog でメールボックス監査ログを取得する場合や Search-AdminAuditLog で管理者監査ログを取得する場合は、保持期間は 90 日間となります。
メールボックス監査ログの場合は、AuditLogAgeLimit の値で保持期間を変更することができます。
なお、統合監査ログではメールボックス監査ログと管理者監査ログを確認することが可能であり、その場合は180日間保持されます。
監査ログの保持期間については、アクティビティを実行したユーザーに E5 ライセンスが付与されている場合は 1 年間保持される動作であり、Microsoft Entra ID (AzureAD)、Exchange Online、SharePoint Online、OneDrive for BusinessのログはE5ライセンスが付与されているユーザーの操作のみ1年間保持されます。
E3 などE5ライセンス以外が付与されているユーザーである場合は、保持期間が 180 日となり、E3ライセンスを付与したユーザーのアクティビティは過去180日前までのログしか取得できません。
なお、E5 ライセンスが付与されたユーザーに対して Teams など既定で1年保持に含まれないアクティビティの保持期間を 1 年とする場合は、監査保持ポリシーを作成し設定する必要があります。
監査保持ポリシーを設定する手順
- 管理者アカウントにて、画面左ペインの [管理センター] - [コンプライアンス] にて、Microsoft Purview にアクセスし にサインインします。
- 左メニューの [監査] をクリックし、上部の [監査保持ポリシー] をクリックします。
- [監査保持ポリシーを作成] をクリックします。
- [ポリシー名] と [説明] を任意で設定します。
- [レコードの種類] にて、保持期間を変更するレコードを選択します。
※ 複数指定することも可能です。
※ [ユーザー] を指定することで対象のユーザーのアクティビティを 1 年間に設定することも可能です。
- [期間] を "1 Year" に設定します。
- [優先度] を任意で指定します。(数字が低いポリシーが優先されます)
- [保存] をクリックします。
既に 180 日以上経過している場合、監査ログ保持ポリシーの構成やライセンス変更を実施しても、180 日以前のログの確認できません。
以下のレコードがE5ライセンスが付与されているユーザーで既定で1年間保持されます。
統合監査ログでメールボックス監査ログと管理者監査ログを確認する場合は、以下の記事でご紹介しておりますので参考としてくださいね。