どうもミツシマです。

今回はMicrosoft 365における監査ログを有効にする方法を検証してみました。


〜検証〜

そもそも監査ログとは??
単純な話がユーザーの操作ログや管理者の操作ログ等をログとして記録する機能の事です。
ライセンスの種類によって90日間の保持や1年間の保持が可能なようです。
※Office365 E5またはMicrosoft365 E5のライセンスは1年間の保持が可能であり、それ以外は基本的には90日間の保持のようですね!
取得出来るログの種類については以下のサイトを参照すると良いと思います。

コンプライアンス センターで監査ログを検索する


それでは早速設定してみたいと思います。
設定手順については以下のサイトを参考にしました。

監査ログ検索を有効または無効にする


まずはGUIの手順から。
Microsoft 365管理センターから「Security」管理センターを開きます。
GIUI01

「Office 365セキュリティ/コンプライアンス」が開いたら、「検索」-「監査ログの検索」を選択して、「監査を有効にする」をクリックする。

GUI02

GUI03
GUI04


正常に監査ログが有効化すると以下のような画面になりました。

GUI05


ではPowershellコマンドで有効化する際にはどうすれば良いかも検証してみました。
コマンドは下記の通りです。
#ユーザー情報取得
$UserCredential = Get-Credential

#接続(リモートセッションの作成)
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection

#接続(リモートセッションの作成) プロキシ環境の場合
#$proxyOptions = New-PSSessionOption -ProxyAccessType IEConfig -ProxyAuthentication Negotiate
#$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection -SessionOption $proxyOptions

#Exchange Onlineコマンドレットのインポート
Import-PSSession $Session | Out-Null

#監査ログの有効化
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

#監査ログの確認
Get-AdminAuditLogConfig | fl UnifiedAuditLogIngestionEnabled

#セッションの切断
Remove-PSSession $Session

通常は上記でいいはずです。
ですが、自分の環境では「監査ログを有効化」する前にEnable-OrganizationCustomization」を実行しろと怒られました。。。(汗)
CUI01
作ったばかりの評価サイトだからですかね。。。(汗)
Enable-OrganizationCustomization」を実行した後もすぐには「監査ログの有効化」が出来ませんでした。。。orz

4時間くらい間を空けて再度コマンド実行したら有効化出来ました(汗)
Enable-OrganizationCustomization」が反映されるまで時間がかかるみたいですね^^;
99-CUIコマンド


また、「監査ログを無効化」する場合にはCUIでしか実施が出来ないようです。
有効化したものを無効化する必要は全くないので、いらないかもですがコマンドは以下の通りです。
#監査ログの無効化
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false


こんな感じで今回の検証は終了したいと思います(^o^)
スポンサードリンク