Microsoft365グループは、配布リストのようにメーリングリストのような使い方をしたり、SharePointのサイトやTeamsなどいろいろな利用方法ができる便利なグループです。
今回は、Microsoft365グループのメールを削除した場合など監査ログでログを取得できるのかについて解説していきたいと思います。
Microsoft365グループのメールはグループメールボックスに格納されており、メールボックス監査ログ(Search-MailboxAuditLog) のコマンドでGroupMailboxのパラメーターを追加することで取得可能です。
ただし、指定したアドレスのドメインがカスタムドメインの場合(onmicrosoft.comでない)、以下のエラーが発生してログが取得できないことを確認しました。
エラー内容
監査ログにアクセスしようとしたときに、Exchange Web サービスがエラーを返しました
そのため、Microsoft365グループのアドレスのドメインがonmicorosoft.comである場合は、以下のコマンドで取得が可能です。
以下の記事を参考にExchangeOnlineに接続してから実行してください。
[構文]
Search-MailboxAuditLog -StartDate <開始日> -EndDate <終了日> -Identity <Microsoft365 グループのアドレス> -GroupMailbox -Operations <監査項目> -ShowDetails -ResultSize 250000 | Export-Csv -NoTypeInformation -Encoding UTF8 -Path <ファイルパス\ファイル名>.csv
[実行例]
Search-MailboxAuditLog -StartDate 2023/09/20 -EndDate 2023/09/30 -Identity group001@contoso.onmicrosoft.com -GroupMailbox -Operations MoveToDeletedItems,SoftDelete,HardDelete,Move -ShowDetails -ResultSize 250000 | Export-Csv -NoTypeInformation -Encoding UTF8 -Path "C:\Temp\GroupLog.csv"
なお、カスタムドメインの Microsoft365 グループの場合、Search-UnifiedAuditLog (統合監査ログ) のコマンドでログの取得が可能ですので、ご紹介したいと思います。
[構文]
Search-UnifiedAuditLog -StartDate <開始日> -EndDate <終了日> -FreeText <Microsoft365 グループのアドレス> -Operations <監査項目> -Formatted -ResultSize 5000 | Export-Csv -NoTypeInformation -Encoding UTF8 -Path <ファイルパス\ファイル名>.csv
[実行例]
Search-UnifiedAuditLog -StartDate 2023/09/20 -EndDate 2023/09/30 -FreeText group001@contoso.com -Operations MoveToDeletedItems,SoftDelete,HardDelete,Move -Formatted -ResultSize 5000 | Export-Csv -NoTypeInformation -Encoding UTF8 -Path "C:\Temp\GroupAuditLog.csv"
UserIdsでグループを指定した場合は、グループではなく操作したユーザーが記録されているため、ログが取得できません。そのため、FreeTextでグループを指定しています。
監査ログについて以下の記事でまとめていますので参考としてくださいね。