Office 365 のセキュリティ センターとコンプライアンス センターで監査ログを検索する

Office 365 の監査ログを検索するプロセスを次に示します。

手順 1:監査ログの検索を実行する

手順 2:検索結果を表示する

手順 3:検索結果をフィルター処理する

手順 4:検索結果をファイルにエクスポートする

Office 365 監査ログを検索するために必要な前提条件の詳細については、「始める前に」セクションを参照してください。

手順 1:監査ログの検索を実行する

  1. https://protection.office.com に移動します。

  2. 職場または学校のアカウントを使用して、Office 365 にサインインします。

  3. 左側のウィンドウで [検索と調査] をクリックし、[監査ログの検索] をクリックします。

    [監査ログの検索] ページが表示されます。

    条件を構成し、[検索] をクリックしてレポートを実行する

    注: 監査ログの検索を実行するには、まず監査ログを有効にしておく必要があります。[ユーザーと管理者のアクティビティの記録を開始する] リンクが表示される場合は、クリックして監査を有効にします。このリンクが表示されない場合、組織の監査機能は既に有効です。

  4. 次の検索条件を設定します。

    1. [アクティビティ]   ドロップダウン リストをクリックすると、検索できるアクティビティが表示されます。ユーザーと管理者のアクティビティが、関連するアクティビティのグループに編成されています。特定のアクティビティを選択することも、アクティビティ グループ名をクリックして、グループ内のすべてのアクティビティを選択することもできます。選択したアクティビティをクリックして、選択を解除することもできます。検索の実行後、選択したアクティビティの監査ログ エントリのみが表示されます。[すべてのアクティビティの結果を表示] を選択すると、選択したユーザーまたはユーザーのグループによって実行されたすべてのアクティビティの結果が表示されます。

      Office 365 監査ログには、100 件以上のユーザーおよび管理者アクティビティが記録されます。各種 Office 365 サービスの各アクティビティの説明を確認するには、本記事のこのトピックの「監査されるアクティビティ」タブをクリックしてください。

    2. [開始日] と [終了日]    既定で過去 7 日間が選択されています。日付と時間の範囲を選択し、その期間内に発生したイベントを表示します。日付と時間は、協定世界時 (UTC) 形式で指定します。指定できる最大の日付範囲は 90 日間です。選択された日付範囲が 90 日間より大きい場合、エラーが表示されます。

      ヒント: 90 日間の最大の日付範囲を使用している場合は、現在の時刻を [開始日] に選択します。選択しないと、開始日が終了日よりも早いというエラー メッセージが表示されます。過去 90 日以内に監査をオンにした場合、監査を有効にした日付より以前から最大の日付範囲は開始されません。

    3. [ユーザー]  このボックスをクリックし、検索結果を表示する 1 人以上のユーザーを選択します。このボックスで選択したユーザーによって実行された選択したアクティビティの監査ログ エントリが結果の一覧に表示されます。組織のすべてのユーザー (およびサービス アカウント) のエントリを返すには、このボックスを空白のままにします。

    4. [ファイル、フォルダー、またはサイト]   指定したキーワードを含むフォルダーのファイルに関連するアクティビティを検索するには、ファイルまたはフォルダー名の一部またはすべてを入力します。URL または URL の一部を指定して、指定した URL パスにある任意のオブジェクトへのアクティビティのエントリを表示することもできます。スラッシュ (/)、バック スラッシュ (\)、ダッシュ (-)、アンダースコア (_) などの特殊文字は、検索クエリではサポートされません。特殊文字はスペースに置き換えてください。たとえば、https://contoso-mysharepoint.com/personal/sarad_contoso_onmicrosoft_com などの OneDrive for Business サイトでアクティビティを検索する場合、この検索フィールドには次のように入力します: personal sarad contoso

      組織のすべてのファイル、フォルダー、および URL のエントリを返すには、このボックスを空白のままにします。

  5. [検索] をクリックし、検索条件を使用して検索を実行します。

    検索結果が読み込まれ、しばらくすると、それらが [結果] の下に表示されます。検索が完了すると、検索結果の数が表示されます。最大 1,000 件のイベントが表示されることにご注意ください。検索条件を満たすイベントが 1,000 を超える場合は、最新の 1,000 件のイベントが表示されます。

    検索が完了すると、結果の数が表示されます

先頭に戻る

監査ログを検索するためのヒント

  • 検索する特定のアクティビティを選択するには、アクティビティ名をクリックします。またはグループ名をクリックして、グループ内のすべてのアクティビティ ([ファイルとフォルダーのアクティビティ] など) を検索することができます。アクティビティが選択されている場合は、それをクリックして、選択を取り消すことができます。また、検索ボックスを使用して、入力したキーワードを含むアクティビティを表示することもできます。

    すべてのアクティビティを選択するには、アクティビティ グループ名をクリック
  • Exchange 管理者監査ログのエントリを表示するには、[アクティビティ] リストの [すべてのアクティビティの結果を表示] を選択する必要があります。この監査ログのイベントには、結果の [アクティビティ] 列にコマンドレット名 (Set-Mailbox など) が表示されます。詳細については、このトピックの [監査されるアクティビティ] タブをクリックし、[Exchange 管理アクティビティ] をクリックしてください。

  • [クリア] をクリックすると、現在の検索条件がクリアされます。日付の範囲が、過去 7 日間の既定値に戻ります。[すべてクリアして、すべてのアクティビティを表示する] をクリックして、選択されているすべてのアクティビティをキャンセルすることもできます。

  • 1,000 件の結果が見つかった場合、検索条件に一致するイベントが 1,000 件を超えていると見なすことができます。検索条件を絞り込み、返される結果が少なくなるように検索を再実行するか、[結果のエクスポート]、[すべての結果をダウンロード] の順に選択して、すべての検索結果をエクスポートすることができます。

先頭に戻る

手順 2:検索結果を表示する

[監査ログの検索] ページの [結果] に監査ログの検索の結果が表示されます。最大 1,000 件 (最新) のイベントが表示されます。結果には、検索によって返された各イベントに関する次の情報が含まれています。

  • [日付]    イベントが発生し日時 (UTC 形式)。

  • IP アドレス アクティビティがログ記録されたときに使用されたデバイスの IP アドレス。IP アドレスは IPv4 または IPv6 のアドレス形式で表示されます。

  • [ユーザー]    イベントをトリガーしたアクションを実行したユーザー (またはサービス アカウント)。

  • [アクティビティ]   ユーザーが実行したアクティビティ。この値は [アクティビティ] ドロップダウン リストで選択したアクティビティに対応します。Exchange 管理者監査ログのイベントの場合、この列の値は、Exchange コマンドレットになります。

  • [アイテム]    対応するアクティビティの結果として作成または変更されたオブジェクト。たとえば、表示または変更されたファイルまたは更新されたユーザー アカウントなどです。すべてのアクティビティで、この列に値があるとは限りません。

  • [詳細]   アクティビティに関する追加の詳細。ここでも、すべてのアクティビティに値があるとは限りません。

ヒント: [結果] の列見出しをクリックして結果を並べ替えます。A から Z または Z から A で結果を並べ替えることができます。最も古いものから最も新しいものに結果を並べ替えるには、[日付] 見出しをクリックします。

特定のイベントの詳細情報を表示する

イベントの詳細情報を表示するには、検索結果一覧のイベント レコードをクリックします。イベント レコードの詳細なプロパティが記載された [詳細] ページが表示されます。表示されるプロパティは、イベントが発生する Office 365 サービスによって変わります。このような詳細な情報を確認するには、[詳細情報] をクリックしてください。説明を確認するには、「Office 365 監査ログの詳細なプロパティ」を参照してください。

[詳細情報] をクリックして監査ログ イベント レコードの詳細なプロパティを表示する

先頭に戻る

手順 3:検索結果をフィルター処理する

並べ替えに加えて、監査ログの検索の結果をフィルター処理することもできます。これは、特定のユーザーやアクティビティの結果をすばやくフィルター処理できる優れた機能です。最初に広範な検索を作成してから、結果をすばやくフィルター処理し、特定のイベントを表示できます。さらに、より小さく簡潔な一連の結果が返されるようにするには、検索条件を絞り込み、検索を再実行します。

結果をフィルター処理するには:

  1. 監査ログの検索を実行します。

  2. 結果が表示されたら、[結果をフィルター] をクリックします。

    各列見出しの下にキーワードのボックスが表示されます。

  3. フィルター処理する列に応じて、列見出しの下のいずれかのボックスをクリックして、単語またはフェーズを入力します。結果は動的に再調整され、フィルターに一致するイベントが表示されます。

    フィルターに単語を入力してフィルターに一致するイベントを表示する
  4. フィルターをクリアするには、フィルター ボックスの [X] をクリックするか、[フィルター処理の非表示] をクリックします。

ヒント: Exchange 管理者監査ログのイベントを表示するには、[アクティビティ] フィルター ボックスに「」 (ダッシュ) を入力します。これにより、Exchange 管理者イベントの [アクティビティ] 列にコマンドレット名が表示されます。次に、コマンドレット名をアルファベット順に並べ替えることができます。

先頭に戻る

手順 4:検索結果をファイルにエクスポートする

監査ログの検索の結果を、ローカル コンピューター上のコンマ区切り値 (CSV) ファイルにエクスポートできます。このファイルを Microsoft Excel で開き、検索、並べ替え、フィルター処理、および単一の列 (複数値のセルが含まれる) の複数列への分割などの機能を使用できます。

  1. 監査ログの検索を実行し、目的の結果が得られるまで検索条件を変更します。

  2. [結果のエクスポート] をクリックして、次のいずれかのオプションを選択します。

    • [読み込まれた結果を保存]    [監査ログの検索] ページの [結果] に表示されたエントリのみをエクスポートするには、このオプションを選択します。ダウンロードした CSV ファイルには、ページに表示されている列 (およびデータ) (日付、ユーザー、アクティビティ、アイテム、詳細) と同じものが含まれています。CSV ファイルには、監査ログ エントリからの追加の情報を含む追加の列 ([その他] と呼ばれる) が含まれます。[監査ログの検索] ページに読み込まれた (および表示可能な) ものと同じ結果をエクスポートしているため、最大 1,000 個のエントリがエクスポートされます。

    • [すべての結果をダウンロード]    検索条件に一致する Office 365 監査ログのすべてのエントリをエクスポートするには、このオプションを選択します。検索結果セットが大きい場合、このオプションを選択すると、[監査ログの検索] ページに表示される 1,000 個の結果に加えて、監査ログのすべてのエントリがダウンロードされます。このオプションは、監査ログから CSV ファイルに生データをダウンロードし、[詳細] という名前の列に監査ログ エントリからの追加情報が含まれます。このエクスポート オプションを選択した場合、ファイルが他のオプションを選択した場合にダウンロードされるファイルよりはるかに大きくなる可能性があるため、ファイルのダウンロードに時間がかかることがあります。

      重要: 1 つの監査ログの検索から、最大 50,000 エントリを CSV ファイルにダウンロードできます。50,000 エントリを CSV ファイルにダウンロードする場合、検索条件に一致するイベントが 50,000 件を超えていると見なすことができます。この上限を超える件数をエクスポートするには、日付の範囲を指定して、監査ログのエントリ数を減らすことをお勧めします。50,000 エントリを超えるエクスポートの場合、必要に応じて、日付の範囲を絞り、検索を複数回実行します。

  3. エクスポート オプションを選択すると、CSV ファイルを開くか、それをダウンロード フォルダーに保存するか、または特定のフォルダーに保存するかを確認するメッセージがウィンドウの下部に表示されます。

先頭に戻る

監査ログ検索結果のエクスポートに関する詳細

  • [すべての結果をダウンロード] オプションは、Office 365 監査ログから CSV ファイルに生データをダウンロードします。このファイルには [読み込まれた結果を保存] オプションを選択した場合にダウンロードされるファイルと異なる列名 (時間、ユーザー、アクション、詳細) が含まれます。同じアクティビティに対する 2 つの別の CSV ファイル内の値が異なる場合もあります。たとえば、CSV ファイル内の [アクション] 列のアクティビティが、[監査ログの検索] ページの [アクティビティ] 列に表示される "わかりやすい" バージョンと異なる値になることがあります。たとえば、"MailboxLogin" と "ユーザーがメールボックスにサインインしました" などです。

  • すべての結果をダウンロードすると、CSV ファイルに [詳細] という列が含まれ、各イベントに関する追加情報が含まれます。先述のように、この列には、監査ログ レコードの複数のプロパティに対する複数値プロパティが含まれています。この複数値プロパティに含まれる各 property:value ペアはコンマで区切られています。Excel の Power Query を使用してこの列を複数の列に分割すると、プロパティごとに個別の列を設定することができます。これにより、これらの 1 つ以上のプロパティの並べ替えとフィルター処理を行うことができます。この方法については、「テキストの列を分割する (Power Query)」の「列を区切り記号で分割する」セクションを参照してください。

    [詳細] 列を分割すると、[アクション] 列をフィルター処理し、特定のアクティビティの詳細なプロパティを表示できます。

  • さまざまな Office 365 サービスのイベントが含まれている検索クエリからすべての結果をダウンロードすると、CSV ファイルの [詳細] 列には、そのアクションが実行されたサービスに応じて異なるプロパティが含まれます。たとえば、Exchange と Azure AD の監査ログのエントリには、アクションが成功したかどうかを示す ResultStatus というプロパティが含まれます。このプロパティは、SharePoint のイベントには含まれません。同様に、SharePoint イベントには、ファイルおよびフォルダー関連のアクティビティのサイト URL を識別するプロパティがあります。この動作を軽減するには、別々の検索を使用して、1 つのサービスからのアクティビティの結果をエクスポートすることを検討してください。

    すべての結果をダウンロードした場合の CSV ファイルの [詳細] 列に示されるプロパティ、およびそれぞれが適用するサービスについては、「Office 365 監査ログの詳細なプロパティ」を参照してください。

先頭に戻る

Office 365 監査ログの検索を開始する前に、次の項目を必ずお読みください。

  • Office 365 監査ログの検索を開始するには、自分 (または他の管理者) が監査ログを有効にしている必要があります。有効にするには、セキュリティ/コンプライアンス センター の [監査ログの検索] ページで [ユーザーと管理者のアクティビティの記録を開始する] をクリックします (このリンクが表示されない場合は、組織の監査は既に有効です)。有効にすると、監査ログの準備中で、準備が完了してから数時間で検索を実行できるというメッセージが表示されます。この操作を実行する必要があるのは 1 回だけです。

    注: 現在、既定で監査が有効になるように取り組んでいます。それまでの間は、前述のように、監査を有効にすることができます。

  • Office 365 の監査ログを検索するには、Exchange Online で閲覧限定の監査ログまたは監査ログの役割が割り当てられている必要があります。既定では、これらの役割は Exchange 管理センター の [アクセス許可] ページでコンプライアンス管理役割グループまたは組織管理役割グループに割り当てられています。最小限の特権レベルで Office 365 の監査ログを検索する権限をユーザーに付与するには、Exchange Online でカスタム役割グループを作成し、閲覧限定の監査ログまたは監査ログの役割を追加し、この新しい役割グループのメンバーとしてユーザーを追加します。詳細については、「役割グループの管理」を参照してください。

    重要: セキュリティ/コンプライアンス センター の [アクセス許可] ページでユーザーに閲覧限定の監査ログまたは監査ログの役割を割り当てると、Office 365 の監査ログを検索できなくなります。アクセス許可は、Exchange Online で割り当てる必要があります。これは、監査ログの検索に使用される基礎となるコマンドレットが Exchange Online コマンドレットのためです。

  • 組織の Office 365 監査ログの検索を無効にする場合は、Exchange Online 組織に接続しているリモート PowerShell で次のコマンドを実行します。

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

    監査ログの検索をもう一度有効にするには、Exchange Online PowerShell で次のコマンドを実行します。

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    詳細については、「Turn off audit log search in Office 365 (Office 365 監査ログの検索を無効にする)」を参照してください。

  • 前述のように、監査ログの検索に使用される基礎となるコマンドレットは Exchange Online コマンドレットの Search-UnifiedAuditLog です。つまり、セキュリティ/コンプライアンス センター の [監査ログの検索] ページではなく、このコマンドレットを使用して Office 365 監査ログを検索できます。このコマンドレットは、Exchange Online 組織に接続されているリモートの PowerShell で実行する必要があります。詳細については、「Search-UnifiedAuditLog」を参照してください。

  • プログラムを使用して Office 365 監査ログからデータをダウンロードする場合は、PowerShell スクリプトの代わりに、Office 365 管理アクティビティ API を使用することをお勧めします。Office 365 管理アクティビティ API は、組織の運用、セキュリティ、コンプライアンスの監視ソリューションを開発するために使用できる REST Web サービスです。詳細については、「Office 365 Management Activity API reference」 (Office 365 管理アクティビティ API のリファレンス) を参照してください。

  • Office 365 監査ログでは、90 日以内に実行されたアクティビティを検索できます。

  • イベントの発生後、対応する監査ログ エントリが検索結果に表示されるまで、最大 30 分から 24 時間かかります。次の表では、Office 365 の別のサービスでかかる時間を示しています。

    Office 365 サービス

    30 minutes

    24 時間

    Azure Active Directory (管理者イベント)

    チェック マーク

    Azure Active Directory (ユーザー ログイン イベント)

    チェック マーク

    Exchange Online

    チェック マーク

    Microsoft チーム

    チェック マーク

    Power BI

    チェック マーク

    セキュリティ/コンプライアンス センター

    チェック マーク

    SharePoint Online および OneDrive for Business

    チェック マーク

    Sway

    チェック マーク

    Yammer

    チェック マーク

  • Azure Active Directory (Azure AD) は、Office 365 のディレクトリ サービスです。統合監査ログには、Office 365 管理センター または Azure 管理ポータルで実行されたユーザー、グループ、アプリケーション、ドメイン、およびディレクトリのアクティビティが記録されます。Azure AD のイベントの完全な一覧については、「Azure Active Directory 監査レポートのイベント」を参照してください。

先頭に戻る

このセクションの表で、Office 365 で監査されるアクティビティについて説明します。これらのイベントを検索するには、セキュリティ/コンプライアンス センター で監査ログを検索します。詳細な手順については、[監査ログを検索する] タブをクリックしてください。

以下の表は、関連するアクティビティまたは特定の Office 365 サービスのアクティビティをグループ別にまとめたものです。これらの表には、[アクティビティ] ドロップダウン リストに表示されるフレンドリ名、および監査レコードの詳細情報および CSV ファイル (検索結果を CSV にエクスポートした場合) に表示される対応する操作の名前が含まれます。特定の表に移動するには、次のリンクをクリックします。

ファイルとページのアクティビティ

フォルダーのアクティビティ

共有とアクセス要求のアクティビティ

同期アクティビティ

サイト管理アクティビティ

Exchange メールボックスのアクティビティ

Sway のアクティビティ

ユーザー管理アクティビティ

Azure AD グループ管理アクティビティ

アプリケーション管理アクティビティ

役割管理アクティビティ

ディレクトリ管理アクティビティ

電子情報開示のアクティビティ

Power BI アクティビティ

Microsoft Teams アクティビティ

Yammer アクティビティ

Exchange 管理アクティビティ

ファイルとページのアクティビティ

次の表は、SharePoint Online および OneDrive for Business でのファイルとページのアクティビティを示します。

フレンドリ名

操作​​

説明

ファイルがアクセスされました

FileAccessed

ユーザーまたはシステム アカウントがファイルにアクセスしました。

(なし)

FileAccessedExtended

これは、"ファイルのアクセス" (FileAccessed) アクティビティに関連します。同じユーザーが長時間 (最大 3 時間) にわたって、ファイルに継続的にアクセスすると、FileAccessedExtended イベントがログに記録されます。FileAccessedExtended イベントをログに記録する目的は、ファイルが継続的にアクセスされたときにログに記録される FileAccessed イベントの数を減らすことにあります。これにより、本質的に同じユーザーのアクティビティであるファイル アクセスに対する無意味な複数の FileAccessed レコードが減り、初期の (より重要な) FileAccessed イベントに注目することができます。

ファイルがチェックインされました

FileCheckedIn

ユーザーがドキュメント ライブラリからチェックアウトしたドキュメントをチェックインしました。

ファイルがチェックアウトされました

FileCheckedOut

ユーザーがドキュメント ライブラリにあるドキュメントをチェックアウトしました。ユーザーは、共有しているドキュメントをチェックアウトし、変更できます。

ファイルがコピーされました

FileCopied

ユーザーがサイトのドキュメントをコピーしました。コピーしたファイルは、サイトの別のフォルダーに保存できます。

ファイルが削除されました

FileDeleted

ユーザーがサイトからドキュメントを削除しました。

ごみ箱からファイルが削除されました

FileDeletedFirstStageRecycleBin

ユーザーがサイトのごみ箱からファイルを削除しました。

第 2 段階のごみ箱からファイルが削除されました

FileDeletedSecondStageRecycleBin

ユーザーがサイトの第 2 段階のごみ箱からファイルを削除しました。

ファイル チェックアウトが破棄されました

FileCheckOutDiscarded

ユーザーが、チェックアウトしたファイルを破棄 (または元に戻す) しました。これは、チェックアウトしたときにファイルに行ったすべての変更が破棄され、ドキュメント ライブラリ内のドキュメントのバージョンに保存されないことを意味します。

ダウンロードされたファイル

FileDownloaded

ユーザーがサイトからドキュメントをダウンロードしました。

ファイルが変更されました

FileModified

ユーザーまたはシステム アカウントが、サイトにあるドキュメントの内容またはプロパティを変更しました。

(なし)

FileModifiedExtended

これは、"ファイルの変更" (FileModified) アクティビティに関連しています。同じユーザーが長時間 (最大 3 時間) にわたって、ファイルの変更を継続的に行うと、FileModifiedExtended イベントがログに記録されます。FileModifiedExtended イベントをログに記録する目的は、ファイルの変更が継続的に行われたときにログに記録される FileModified イベントの数を減らすことにあります。これにより、本質的に同じユーザーのアクティビティであるファイル変更に対する無意味な複数の FileModified レコードを減り、初期 (のより重要な) FileModified イベントに注目することができます。

ファイルが移動されました

FileMoved

ユーザーが、サイトのドキュメントを現在の場所から新しい場所に移動しました。

ファイルの名前が変更されました

FileRenamed

ユーザーがサイトのドキュメントの名前を変更しました。

ファイルが復元されました

FileRestored

ユーザーがサイトのごみ箱からドキュメントを復元しました。

ファイルがアップロードされました

FileUploaded

ユーザーがサイトのフォルダーにドキュメントをアップロードしました。

ページが表示されました

PageViewed

ユーザーがサイトのページを表示しました。ドキュメント ライブラリにあるファイルの Web ブラウザーを使用した表示は、これに含まれません。

(なし)

PageViewedExtended

これは、"ページの表示" (PageViewed) アクティビティに関連しています。同じユーザーが長時間 (最大 3 時間) にわたって、継続的に Web ページを表示すると、PageViewedExtended イベントがログに記録されます。PageViewedExtended イベントをログに記録する目的は、ページが継続的に表示されたときにログに記録される PageViewed イベントの数を減らすことにあります。これにより、本質的に同じユーザーのアクティビティであるページ表示に対する無意味な複数の PageViewed レコードが減り、初期 (のより重要な) PageViewed イベントに注目することができます。

先頭に戻る

フォルダーのアクティビティ

次の表は、SharePoint Online および OneDrive for Business でのフォルダーのアクティビティを示します。

フレンドリ名

操作​​

説明

フォルダーがコピーされました

FolderCopied

ユーザーがフォルダーをサイトから SharePoint または OneDrive for Business の別の場所にコピーしました。

フォルダーが作成されました

FolderCreated

ユーザーがサイト上にフォルダーを作成しました。

フォルダーが削除されました

FolderDeleted

ユーザーがサイトからフォルダーを削除しました。

ごみ箱からフォルダーが削除されました

FolderDeletedFirstStageRecycleBin

ユーザーがサイトのごみ箱からフォルダーを削除しました。

第 2 段階のごみ箱からフォルダーが削除されました

FolderDeletedSecondStageRecycleBin

ユーザーがサイトの第 2 段階のごみ箱からフォルダーを削除しました。

フォルダーが変更されました

FolderModified

ユーザーがサイトのフォルダーを変更しました。タグやプロパティの変更など、フォルダーのメタデータの変更は、これに含まれません。

フォルダーが移動されました

FolderMoved

ユーザーがフォルダーをサイトの別の場所に移動しました。

フォルダーの名前が変更されました

FolderRenamed

ユーザーがサイトのフォルダーの名前を変更しました。

フォルダーが復元されました

FolderRestored

ユーザーが削除されたフォルダーをサイトのごみ箱から復元しました。

先頭に戻る

共有とアクセス要求のアクティビティ

次の表に、SharePoint Online と OneDrive for Business でのユーザーの共有とアクセス要求のアクティビティを示します。共有イベントの場合、[結果] の [詳細] 列で、アイテムを共有したユーザーまたはグループの名前と、そのユーザーまたはグループが組織のメンバーかゲストかが識別されます。詳細については、「Office 365 監査ログで共有監査を使う」を参照してください。

注: ユーザー オブジェクトの UserType プロパティに基づいて、ユーザーはメンバーまたはゲストのいずれになります。通常、メンバーは従業員であり、ゲストは組織に属さない共同作業者です。組織に属していないユーザーが共有の招待を承認すると、組織のディレクトリにそのユーザーのゲスト アカウントが作成されます。ゲスト ユーザーのアカウントがディレクトリに追加されると、そのユーザーとリソースを直接共有できるようになります (招待は不要になります)。

フレンドリ名

操作​​

説明

アクセス要求が承諾されました

AccessRequestAccepted

サイト、フォルダー、またはドキュメントに対するアクセス要求が承諾され、要求したユーザーにアクセス権が付与されました。

共有の招待が承諾されました

SharingInvitationAccepted

ユーザー (メンバーまたはゲスト) が共有の招待を承諾し、リソースに対するアクセス権が付与されました。このイベントには、招待されたユーザーと招待の承諾に使用されたメール アドレス (招待されたユーザーのメール アドレスとは異なる可能性があります) に関する情報が含まれています。多くの場合、このアクティビティには、リソースに対してどのようなアクセス権がユーザーに付与されたか、という 2 つ目のイベントが伴います。たとえば、リソースに対するアクセス権を持つグループへのユーザーの追加などです。

共有の招待がブロックされました

SharingInvitationBlocked

TBD

会社の共有可能なリンクが作成されました

CompanyLinkCreated

ユーザーが、リソースに対する会社全体のリンクを作成しました。会社全体のリンクは、組織内のユーザーのみが使用できます。ゲストは使用できません。

アクセス要求が作成されました

AccessRequestCreated

ユーザーが、アクセス許可を持たないサイト、フォルダー、またはドキュメントへのアクセスを要求しました。

匿名リンクが作成されました

AnonymousLinkCreated

ユーザーがリソースに対する匿名リンクを作成しました。このリンクを使用すると、誰でもリソースにアクセスできます。認証を受ける必要はありません。

共有の招待が作成されました

SharingInvitationCreated

ユーザーが、組織のディレクトリ内に含まれていないユーザーと SharePoint Online または OneDrive for Business のリソースを共有しました。

アクセス要求が拒否されました

AccessRequestDenied

サイト、フォルダー、またはドキュメントに対するアクセスが拒否されました。

会社の共有可能なリンクが削除されました

CompanyLinkRemoved

ユーザーが、リソースに対する会社全体のリンクを削除しました。リソースにアクセスするリンクは使用できなくなります。

匿名リンクが削除されました

AnonymousLinkRemoved

ユーザーがリソースに対する匿名リンクを削除しました。リソースにアクセスするリンクは使用できなくなります。

ファイル、フォルダー、サイトが共有されました

SharingSet

ユーザー (メンバーまたはゲスト) が、組織のディレクトリ内のユーザーと SharePoint または OneDrive for Business のファイル、フォルダー、またはサイトを共有しました。このアクティビティの [詳細] 列の値で、リソースを共有したユーザー名と、そのユーザーがメンバーかゲストかが識別されます。多くの場合、このアクティビティには、リソースに対してどのようなアクセス権がユーザーに付与されたか、という 2 つ目のイベントが伴います。たとえば、リソースに対するアクセス権を持つグループへのユーザーの追加などです。

匿名リンクが更新されました

AnonymousLinkUpdated

ユーザーがリソースに対する匿名リンクを更新しました。検索結果をエクスポートすると、更新されたフィールドは、EventData プロパティに含まれます。

匿名リンクが使用されました

AnonymousLinkUsed

匿名ユーザーが、匿名リンクを使用してリソースにアクセスしました。ユーザーの ID は不明な場合がありますが、ユーザーの IP アドレスなど、その他の詳細情報を入手できます。

ファイル、フォルダー、またはサイトの共有を解除しました

SharingRevoked

ユーザー (メンバーまたはゲスト) が、別のユーザーと共有していたファイル、フォルダー、またはサイトの共有を解除しました。

会社の共有可能なリンクが使用されました

CompanyLinkUsed

ユーザーが会社全体のリンクを使用してリソースにアクセスしました。

共有の招待が取り消されました

SharingInvitationRevoked

ユーザーがリソースの共有の招待を取り消しました。

先頭に戻る

同期アクティビティ

次の表に、SharePoint Online と OneDrive for Business のファイルの同期アクティビティを示します。

フレンドリ名

操作​​

説明

コンピューターによってファイルの同期が許可されました

ManagedSyncClientAllowed

ユーザーがサイトとの同期関係を正常に確立しました。ユーザーのコンピューターは、組織のドキュメント ライブラリにアクセスできるドメインのリスト (信頼できる宛先のリストと呼ばれる) に追加されているドメインのメンバーであるため、同期関係は成功しています。

この機能の詳細については、「Windows PowerShell コマンドレットを使用して宛先セーフ リスト上のドメインに対して OneDrive 同期を有効にする」を参照してください。

コンピューターによってファイルの同期が禁止されました

UnmanagedSyncClientBlocked

ユーザーが、組織のドメインのメンバーではないか、または組織のドキュメント ライブラリにアクセスできるドメインのリスト (信頼できる宛先のリストと呼ばれる) に追加されていないドメインのメンバーであるコンピューターから、サイトとの同期関係を確立しようとしました。同期関係は許可されず、ユーザーのコンピューターは、ドキュメント ライブラリのファイルの同期、ダウンロード、またはアップロードがブロックされます。

この機能については、「Windows PowerShell コマンドレットを使用して宛先セーフ リスト上のドメインに対して OneDrive 同期を有効にする」を参照してください。

ファイルがコンピューターにダウンロードされました

FileSyncDownloadedFull

ユーザーは同期関係を確立し、ドキュメント ライブラリから自分のコンピューターに初めてファイルを正常にダウンロードしました。

ファイルの変更がコンピューターにダウンロードされました

FileSyncDownloadedPartial

ユーザーがドキュメント ライブラリのファイルへの変更を正常にダウンロードしました。このアクティビティは、ドキュメント ライブラリ内のファイルに加えられた変更がユーザーのコンピューターにダウンロードされたことを示します。ドキュメント ライブラリは、(ファイルがコンピューターにダウンロードされましたというアクティビティに示されているように) 以前にユーザーによってダウンロードされているため、変更のみがダウンロードされました。

ファイルがドキュメント ライブラリにアップロードされました

FileSyncUploadedFull

ユーザーは同期関係を確立し、自分のコンピューターからドキュメント ライブラリに初めてファイルを正常にアップロードしました。

ファイルの変更がドキュメント ライブラリにアップロードされました

FileSyncUploadedPartial

ユーザーはドキュメント ライブラリ上のファイルの変更を正常にアップロードしました。このイベントは、ドキュメント ライブラリのファイルのローカル バージョンに加えた変更が、ドキュメント ライブラリに正常にアップロードされたことを示します。それらのファイルは、(ファイルがドキュメント ライブラリにアップロードされましたというアクティビティに示されているように) 以前にユーザーによってアップロードされているため、変更のみがアップロードされます。

先頭に戻る

サイト管理アクティビティ

次の表に、SharePoint Online のサイト管理タスクから発生するイベントを示します。

フレンドリ名

操作​​

説明

適用除外ユーザー エージェントが追加されました

ExemptUserAgentSet

グローバル管理者が、SharePoint 管理センターで適用除外ユーザー エージェントのリストにユーザー エージェントを追加しました。

サイト コレクション管理者が追加されました

SiteCollectionAdminAdded

サイト コレクション管理者または所有者がサイトのサイト コレクション管理者として、ユーザーを追加しました。サイト コレクション管理者は、サイト コレクションとすべてのサブサイトのフル コントロール権限を持ちます。

ユーザーまたはグループが SharePoint グループに追加されました

AddedToGroup

ユーザーがメンバーまたはゲストを SharePoint グループに追加しました。これは意図的なアクションの場合や、別のアクティビティ (共有イベントなど) の結果の場合があります。

ユーザーにグループの作成が許可されました

AllowGroupCreationSet

サイト管理者または所有者が、サイトにアクセス許可レベルを追加しました。そのアクセス許可が割り当てられたユーザーはそのサイトのグループを作成できます。

適用除外ユーザー エージェントが変更されました

CustomizeExemptUsers

グローバル管理者が、SharePoint 管理センターで適用除外ユーザー エージェントのリストをカスタマイズしました。インデックスを作成する Web ページ全体の受信から除外するユーザー エージェントを指定できます。これは、適用除外として指定したユーザー エージェントが InfoPath フォームを検出した場合に、フォームが Web ページ全体ではなく、XML ファイルとして返されることを意味します。これにより、InfoPath フォームのインデックス作成が高速になります。

共有ポリシーを変更しました

SharingPolicyChanged

管理者が、Office 365 管理ポータル、SharePoint 管理ポータル、または SharePoint Online 管理シェルを使用して、SharePoint 共有ポリシーを変更しました。組織の共有ポリシーの設定が変更されると、ログに記録されます。検索結果をエクスポートすると、変更されたポリシーは ModifiedProperty フィールド プロパティで識別されます。

グループが作成されました

GroupAdded

サイト管理者または所有者がサイトのグループを作成するか、またはグループが作成されるタスクを実行しました。たとえば、ユーザーがファイルを共有するためのリンクを初めて作成すると、システム グループがユーザーの OneDrive for Business サイトに追加されます。このイベントは、ユーザーが共有ファイルへの編集アクセス許可を持つリンクを作成した結果になることもあります。

送信先接続が作成されました

SendToConnectionAdded

グローバル管理者が、SharePoint 管理センターの [レコード管理] ページで新しい送信先接続を作成しました。送信先接続は、ドキュメント リポジトリまたはレコード センターの設定を指定します。送信先接続を作成すると、コンテンツ オーガナイザーは指定した場所にドキュメントを送信できます。

サイト コレクションが作成されました

SiteCollectionCreated

管理者が、SharePoint Online 組織またはユーザーの以前の OneDrive for Business サイトに新しいサイト コレクションを作成します。

グループが削除されました

GroupRemoved

ユーザーがサイトからグループを削除しました。

送信先接続が削除されました

SendToConnectionRemoved

グローバル管理者が、SharePoint 管理センターの [レコードの管理] ページで送信先接続を削除しました。

サイトが削除されました

SiteDeleted

サイトの管理者がサイトを削除しました。

ドキュメントのプレビューが有効にされました

PreviewModeEnabledSet

サイト管理者が、サイトのドキュメントのプレビューを有効にしました。

レガシ ワークフローが有効にされました

LegacyWorkflowEnabledSet

サイト管理者または所有者が、SharePoint 2013 ワークフロー タスクのコンテンツ タイプをサイトに追加しました。グローバル管理者は、SharePoint 管理センターで組織全体のワークフローを有効にすることもできます。

Office オンデマンドが有効にされました

OfficeOnDemandSet

サイト管理者が Office オンデマンドを有効にして、ユーザーが最新バージョンの Office デスクトップ アプリケーションにアクセスできるようにしました。Office オンデマンドは SharePoint 管理センターで有効化され、インストール済みの完全な Office アプリケーションを含む Office 365 サブスクリプションを必要とします。

RSS フィードが有効にされました

NewsFeedEnabledSet

サイト管理者または所有者が、サイトの RSS フィードを有効にしました。グローバル管理者は、SharePoint 管理センターで組織全体の RSS フィードを有効にすることができます。

サイトのアクセス許可が変更されました

SitePermissionsModified

サイト管理者または所有者 (またはシステム アカウント) がサイトのグループに割り当てられたアクセス許可レベルを変更しました。すべてのアクセス許可がグループから削除された場合も、このアクティビティが記録されます。

注: この操作は、SharePoint Online で廃止されました。関連するイベントを見つけるには、サイト コレクション管理者が追加されましたユーザーまたはグループが SharePoint グループに追加されましたユーザーにグループの作成が許可されましたグループが作成されましたグループが削除されましたなどのその他のアクセス許可の関連アイテムを検索することができます。

SharePoint グループからユーザーまたはグループが削除されました

RemovedFromGroup

ユーザーが SharePoint グループからメンバーまたはゲストを削除しました。これは意図的なアクションの場合や、別のアクティビティ (共有解除イベントなど) の結果の場合があります。

サイトの名前が変更されました

SiteRenamed

サイト管理者または所有者が、サイトの名前を変更しました。

サイト管理者のアクセス許可が要求されました

SiteAdminChangeRequest

ユーザーが、サイト コレクションのサイト コレクション管理者として追加されるように要求しました。サイト コレクション管理者は、サイト コレクションとすべてのサブサイトのフル コントロール権限を持ちます。

ホスト サイトが設定されました

HostSiteSet

グローバル管理者が、個人用サイトまたは OneDrive for Business サイトをホストするために指定されたサイトを変更しました。

グループが更新されました

GroupUpdated

サイト管理者または所有者が、サイトのグループの設定を変更しました。これには、グループ名の変更、グループのメンバーシップを表示または変更できるユーザーの変更、およびメンバーシップ要求の処理方法の変更などがあります。

先頭に戻る

Exchange メールボックスのアクティビティ

次の表に、メールボックス監査ログに記録される可能性があるアクティビティを示します。メールボックス所有者、委任されたユーザー、または管理者によって実行されたメールボックス アクティビティが記録されます。既定で、Office 365 のメールボックスの監査はオンにされていません。メールボックス アクティビティを記録する前に、各メールボックスのメールボックス監査ログをオンにする必要があります。詳細については、「Office 365 でメールボックスの監査を有効にする」を参照してください。

フレンドリ名

操作​​

説明

代理メールボックス アクセス許可が追加されました

Add-MailboxPermission

管理者が、ユーザー (代理人と呼ばれます) に FullAccess のメールボックス アクセス許可を別のユーザーのメールボックスに対して割り当てました。FullAccess アクセス許可では、代理人は、他のユーザーのメールボックスを開き、メールボックスの内容の閲覧および管理を行うことができます。

メッセージが別のフォルダーにコピーされました

Copy

メッセージが別のフォルダーにコピーされました。

メッセージが作成または受信されました

Create

アイテムが、メールボックスの [予定表]、[連絡先]、[メモ]、または [タスク] フォルダーに作成されます。たとえば、新しい会議出席依頼が作成されます。メッセージまたはフォルダーの作成は監査されないことにご注意ください。

メッセージが削除済みアイテム フォルダーから削除されました

SoftDelete

メッセージが削除済みアイテム フォルダーから完全に削除されたか、削除されました。これらのアイテムは、回復可能なアイテム フォルダーに移動されます。ユーザーを選択し、Shift + Delete キーを押した場合も、メッセージが回復可能なアイテム フォルダーに移動されます。

メッセージが別のフォルダーに移動しました

Move

メッセージが別のフォルダーに移動されました。

メッセージが削除済みアイテム フォルダーに移動しました

MoveToDeletedItems

メッセージが削除されたか、[削除済みアイテム] フォルダーに移動されました。

メッセージがメールボックスから削除されました

HardDelete

メッセージが回復可能なアイテム フォルダーから削除されました (メールボックスから完全に削除されました)。

代理メールボックス アクセス許可が削除されました

Remove-MailboxPermission

管理者が、ユーザーのメールボックスから (代理人に割り当てられていた) FullAccess アクセス許可を削除しました。FullAccess アクセス許可が削除されると、代理人は、他のユーザーのメールボックスを開いたり、内容にアクセスしたりすることはできません。

メールボックス所有者として送信するアクセス許可を使用してメッセージが送信されました

SendAs

メッセージがメールボックス所有者として送信するアクセス許可を使用して送信されました。これは、別のユーザーがメールボックスの所有者から送信されているようにメッセージを送信したことを意味します。

代理人として送信するアクセス許可を使用してメッセージが送信されました

SendOnBehalf

メッセージが代理人として送信するアクセス許可を使用して送信されました。これは、別のユーザーがメールボックスの所有者の代わりにメッセージを送信したことを意味します。このメッセージは、受信者に、代わりにメッセージが送信されたユーザーと実際にメッセージを送信したユーザーを示します。

メッセージが更新されました

Update

メッセージまたはそのプロパティが変更されました。

ユーザーがメールボックスにサインインしました

MailboxLogin

ユーザーが各自のメールボックスにサインインしました。

先頭に戻る

Sway のアクティビティ

次の表は、Sway のユーザーと管理者のアクティビティ一覧です。Sway は、ユーザーが対話型の Web ベースのキャンバスでアイデア、ストーリー、プレゼンテーションを収集、書式設定、および共有できる Office 365 アプリです。詳細については、「Sway – 管理のヘルプについてよく寄せられる質問」を参照してください。

フレンドリ名

操作​​

説明

Sway 共有レベルが変更されました

SwayChangeShareLevel

ユーザーが Sway の共有レベルを変更しました。このイベントで、Sway に関連付けられている共有の範囲を変更する (たとえば、パブリックと組織内など) ユーザーをキャプチャします。

Sway が作成されました

SwayCreate

ユーザーが Sway を作成しました。

Sway が削除されました

SwayDelete

ユーザーが Sway を削除しました。

Sway の複製が無効になりました

SwayDisableDuplication

ユーザーが Sway の複製を無効にしました。

Sway が複製されました

SwayDuplicate

ユーザーが Sway を複製しました。

Sway が編集されました

SwayEdit

ユーザーが Sway を編集しました。

Sway の複製が有効になりました

EnableDuplication

ユーザーが Sway の複製を有効にしました。ユーザーが Sway の複製を有効にする機能は、既定で有効です。

Sway の共有が取り消されました

SwayRevokeShare

ユーザーが Sway へのアクセス権を取り消して、共有を停止しました。アクセス権を取り消すと、Sway に関連付けられたリンクが変更されます。

Sway が共有されました

SwayShare

ユーザーが Sway を共有しようとしました。このイベントは、Sway 共有メニュー内の特定の共有先をクリックするユーザー アクションをキャプチャします。このイベントは、ユーザーが共有アクションを完了したかどうかを示しません。

Sway の外部共有が無効になりました

SwayExternalSharingOff

管理者が、Office 365 管理センターを使用して、組織全体の外部 Sway 共有を無効にしました。

Sway の外部共有が有効になりました

SwayExternalSharingOn

管理者が、Office 365 管理センターを使用して、組織全体の外部 Sway 共有を有効にしました。

Sway サービスが無効になりました

SwayServiceOff

管理者が、Office 365 管理センターを使用して、組織全体の Sway を無効にしました。

Sway サービスが有効になりました

SwayServiceOn

管理者が、Sway 管理センターを使用して、組織全体の Office 365 を無効にしました (Sway サービスは既定で有効です)。

Sway が表示されました

SwayView

ユーザーが Sway を表示しました。

先頭に戻る

ユーザー管理アクティビティ

次の表に、管理者が Office 365 管理センター または Azure 管理ポータルを使用して、ユーザー アカウントを追加または変更したときに記録されるユーザー管理アクティビティを示します。

アクティビティ

操作​​

説明

ユーザーが追加されました

ユーザーの追加

Office 365 ユーザー アカウントが作成されました。

ユーザー ライセンスが変更されました

ユーザー ライセンスを変更します

ユーザーに割り当てられたライセンスが変更されました。変更されたライセンスを表示するには、対応する "ユーザーが更新されました" アクティビティを参照してください。

ユーザー パスワードが変更されました

ユーザー パスワードが変更されました

管理者がユーザーのパスワードを変更しました。

ユーザーが削除されました

ユーザーを削除する

Office 365 ユーザー アカウントが削除されました。

ユーザー パスワードが再設定されました

ユーザー パスワードが再設定されました

管理者がユーザーのパスワードをリセットしました。

ユーザーにパスワードの変更を要求するプロパティを設定します。

ユーザー パスワードの強制的な変更が設定されました

管理者が、次回にユーザーが Office 365 にサインインしたときに、強制的にパスワードを変更させるプロパティを設定しました。

ライセンスのプロパティが設定されました

ライセンスのプロパティが設定されました

管理者が、ユーザーに割り当てられるライセンスのプロパティを変更しました。

ユーザーが更新されました

ユーザーを更新する

管理者がユーザー アカウントの 1 つ以上のプロパティを変更しました。更新可能なユーザー プロパティの一覧については、「Azure Active Directory 監査レポートのイベント」の「ユーザーの更新属性」セクションを参照してください。

先頭に戻る

Azure AD グループ管理アクティビティ

次の表に、管理者またはユーザーが Office 365 グループを作成または変更したとき、または管理者が Office 365 管理センター または Azure 管理ポータルを使用して、セキュリティ グループを作成したときに記録されるグループ管理アクティビティを示します。Office 365 のグループの詳細については、「管理センターで Office 365 グループを作成する」を参照してください。

フレンドリ名

操作​​

説明

グループが追加されました

グループを追加します

グループが作成されました。

グループにメンバーが追加されました

グループをメンバーに追加します

メンバーがグループに追加されました。

グループが削除されました

グループを削除します

グループが削除されました。

グループからメンバーが削除されました

グループからメンバーを削除します

メンバーがグループから削除されました。

グループが更新されました

グループを更新します

グループのプロパティが変更されました。

先頭に戻る

アプリケーション管理アクティビティ

次の表に、管理者が Azure AD に登録されているアプリケーションを追加または変更したときに記録されるアプリケーション管理者アクティビティを示します。認証のために、Azure AD に依存しているアプリケーションは、ディレクトリに登録されている必要があります。

フレンドリ名

操作​​

説明

委任エントリが追加されました

委任エントリを追加します

Azure AD 内のアプリケーションの認証アクセス許可が作成/付与されました。

サービス プリンシパルが追加されました

サービス プリンシパルを追加します

Azure AD にアプリケーションが登録されました。アプリケーションは、ディレクトリ内のサービス プリンシパルによって表されます。

サービス プリンシパルに資格情報が追加されました

サービス プリンシパル資格情報を追加します

Azure AD 内のサービス プリンシパルに資格情報が追加されました。サービス プリンシパルは、ディレクトリ内のアプリケーションを表します。

委任エントリが削除されました

委任エントリを削除します

Azure AD 内のアプリケーションから認証アクセス許可が削除されました。

ディレクトリからサービス プリンシパルが削除されました

サービス プリンシパルを削除します

Azure AD からアプリケーションが削除/登録解除されました。アプリケーションは、ディレクトリ内のサービス プリンシパルによって表されます。

サービス プリンシパルから資格情報が削除されました

サービス プリンシパル資格情報を削除します

Azure AD 内のサービス プリンシパルから資格情報が削除されました。サービス プリンシパルは、ディレクトリ内のアプリケーションを表します。

委任エントリが設定されました

委任エントリが設定されました

Azure AD 内のアプリケーションの認証アクセス許可が更新されました。

先頭に戻る

役割管理アクティビティ

次の表に、管理者が Office 365 管理センター または Azure 管理ポータルで管理者の役割を管理したときに記録される Azure AD 役割管理アクティビティを示します。

フレンドリ名

操作​​

説明

役割にメンバーが追加されました

役割メンバーに役割を追加します

Office 365 の管理者の役割にユーザーが追加されました。

ディレクトリの役割からユーザーが削除されました

役割から役割メンバーを削除します

Office 365 の管理者の役割からユーザーが削除されました。

会社の連絡先情報が設定されました

会社の連絡先情報が設定されました

Office 365 組織の会社レベルの連絡先設定が更新されました。これには、Office 365 によって送信されるサブスクリプション関連の電子メールのメール アドレスのほか、Office 365 サービスに関する技術的な通知が含まれます。

先頭に戻る

ディレクトリ管理アクティビティ

次の表に、管理者が Office 365 管理センター または Azure 管理ポータルで、Office 365 組織を管理するときに記録される Azure AD ディレクトリとドメイン関連のアクティビティを示します。

フレンドリ名

操作​​

説明

ドメインが会社に追加されました

ドメインを会社に追加します

Office 365 組織にドメインが追加されました。

ディレクトリにパートナーが追加されました

パートナーを会社に追加します

パートナー (代理管理者) が Office 365 組織に追加されました。

会社からドメインが削除されました

会社からドメインを削除します

Office 365 組織からドメインが削除されました。

ディレクトリからパートナーが削除されました

会社からパートナーを削除します

Office 365 組織からパートナー (委任された管理者) が削除されました。

会社情報が設定されました

会社情報が設定されました

Office 365 組織の会社情報が更新されました。これには、Office 365 によって送信されるサブスクリプション関連の電子メールのメール アドレスのほか、Office 365 サービスに関する技術的な通知が含まれます。

ドメイン認証が設定されました

ドメイン認証が設定されました

Office 365 組織のドメイン認証設定が変更されました。

ドメインのフェデレーション設定が更新されました

ドメインのフェデレーション設定を行います

Office 365 組織のフェデレーション (外部共有) 設定が変更されました。

パスワード ポリシーが設定されました

パスワード ポリシーが設定されました

Office 365 組織のユーザー パスワードの長さと文字の制約が変更されました。

Azure AD 同期が有効になりました

会社に DirSyncEnabled フラグを設定します

Azure AD のディレクトリの同期を有効にするプロパティが設定されました。

ドメインが更新されました

ドメインを更新します

Office 365 組織のドメインの設定が更新されました。

ドメインが確認されました

ドメインを確認します

組織がドメインの所有者であることが確認されました。

電子メールで確認されたドメインが確認されました

電子メールで確認されたドメインを確認します

電子メールの確認を使用して、組織がドメインの所有者であることが確認されました。

先頭に戻る

電子情報開示のアクティビティ

Office 365 セキュリティ/コンプライアンス センター、または対応する Windows PowerShell コマンドレットを使用して実行されたコンテンツ検索と電子情報開示関連のアクティビティは、Office 365 監査ログに記録されます。ログには次のアクティビティが含まれます。

  • 電子情報開示ケースの作成と管理

  • コンテンツ検索の作成、開始、編集

  • 検索結果のプレビュー、エクスポート、削除など、コンテンツ検索アクションの実行

  • コンテンツ検索に対するアクセス許可のフィルター処理の構成

  • 電子情報開示管理者の役割の管理

ログに記録される電子情報開示アクティビティの詳細な説明については、「Office 365 監査ログの電子情報開示アクティビティを検索する」を参照してください。

先頭に戻る

Power BI アクティビティ

次の表には、Office 365 監査ログに記録された Power BI のユーザー アクティビティおよび管理者アクティビティの一覧が表示されています。

フレンドリ名

操作​​

説明

Power BI グループ メンバーが追加されました

AddGroupMembers

Power BI のグループ ワークスペースにメンバーが追加されます。

Power BI データセットが分析されました

AnalyzedByExternalApplication

データセットが外部アプリケーションによって分析されます。

Power BI のダッシュ ボードが作成されました

CreateDashboard

新しいダッシュ ボードが作成されます。

Power BI グループが作成されました

CreateGroup

グループが作成されます。

組織の Power BI コンテンツ パックが作成されました

CreateOrgApp

組織のコンテンツ パックが作成されます。

Power BI のダッシュ ボードが削除されました

DeleteDashboard

ダッシュ ボードが削除されます。

Power BI データセットが削除されました

DeleteDataset

データセットが削除されます。

Power BI レポートが削除されました

DeleteReport

レポートが削除されます。

Power BI レポートがダウンロードされました

DownloadReport

ユーザーがサービスから自分のコンピューターに Power BI レポートをダウンロードします。

Power BI ダッシュ ボードが編集されました

EditDashboard

ダッシュ ボードの名前が変更されます。

Power BI レポートの視覚データがエクスポートされました

ExportReport

レポートタイルからデータがエクスポートされます。

Power BI タイル データがエクスポートされました

ExportTile

ダッシュ ボード タイルからデータがエクスポートされます。

Power BI ダッシュ ボードが印刷されました

PrintDashboard

ダッシュ ボードが印刷されます。

Power BI レポート ページが印刷されました

PrintReport

レポートが印刷されます。

Power BI レポートが Web に公開されました

PublishToWebReport

Web にレポートが発行されます。

Power BI ダッシュ ボードが共有されました

ShareDashboard

ダッシュ ボードが共有されます。

Power BI 試用版が開始されました

OptInForProTrial

ユーザーが Power BI Pro の試用版のサブスクリプションを開始します。

更新された組織の Power BI 設定

UpdatedAdminFeatureSwitch

管理者は、Power BI 管理者ポータルで組織の設定を変更しました。

Power BI ダッシュ ボードが表示されました

ViewDashboard

ダッシュ ボードが表示されます。

Power BI レポートが表示されました

ViewReport

レポートが表示されます。

先頭に戻る

Microsoft Teams アクティビティ

次の表には、Office 365 監査ログに記録された、Microsoft チーム のユーザー アクティビティおよび管理者アクティビティの一覧が表示されています。Microsoft チーム は、Office 365 の中にあるチャット中心のワークスペースです。これにより、チームの会話、会議、ファイル、およびノートが 1 つの場所に集められます。詳細およびヘルプ トピックへのリンクについては、以下を参照してください。

フレンドリ名

操作​​

説明

チームへのボットの追加

BotAddedToTeam

ユーザーがボットをチームに追加します。

チャネルが追加されました

ChannelAdded

ユーザーがチャネルをチームに追加します。

コネクタの追加

ConnectorAdded

ユーザーがコネクタをチャネルに追加します。

タブの追加

TabAdded

ユーザーがタブをチャネルに追加します。

設定が変更されました (レガシ)

SettingChanged

SettingChanged 操作は、近い将来に廃止する予定です。この操作は、チャネル、組織、およびチームの設定が変更されると、ログに記録されていました。

SettingChanged 操作の監査ログを検索するときに以前に記録されたイベントを検索するには、変更されたチャネル設定変更された組織設定、および変更されたチーム設定のアクティビティを使用してください。

変更されたチャネルの設定

ChannelSettingChanged

次のアクティビティがチーム メンバーによって実行されると、ChannelSettingChanged 操作がログに記録されます。これらの各アクティビティについては、変更された設定 (下記のかっこ内の設定) の説明が、監査ログの検索結果の [アイテム] 列に表示されます。

  • チーム チャネルの名前を変更します (チャネル名)。

  • チーム チャネルの説明を変更します (チャネルの説明)。

組織の設定が変更されました

OrganizationSettingChanged

OrganizationSettingChanged 操作は、次のアクティビティが (Office 365 管理センターを使用して) グローバル管理者によって実行されると、ログに記録されます。これらのアクティビティは、組織全体の Microsoft チーム の設定に影響することに注意してください。詳細については、「Microsoft Teams の管理者設定」を参照してください。

これらの各アクティビティについては、変更された設定 (下記のかっこ内の設定) の説明が、監査ログの検索結果の [アイテム] 列に表示されます。

  • 組織の Microsoft チーム を有効または無効にします (Microsoft チーム)。

  • 組織の Microsoft チーム と Skype for Business の相互運用性を有効または無効にします (Skype for Business の相互運用性)。

  • Microsoft チーム クライアントの組織図ビューを有効または無効にします (組織図ビュー)。

  • チーム メンバーによるプライベート会議のスケジュール機能を有効または無効にします (プライベート会議のスケジュール)。

  • チーム メンバーによるチャネル会議のスケジュール機能を有効または無効にします (チャネル会議のスケジュール)。

  • チーム会議でのビデオ通話を有効または無効にします (Skype 会議のビデオ)。

  • 組織の Microsoft チーム ミートアップで画面共有を有効または無効にします (Skype 会議の画面共有)。

  • アニメーション画像 (Giphy と呼ばれる) をチームの会話に追加する機能を有効または無効にします (アニメーション画像)。

  • 組織のコンテンツの規制設定を変更します (コンテンツの規制)。

    コンテンツの規制により、会話に表示されるアニメーション画像の種類が制限されます。

  • インターネット上のカスタマイズ可能な画像 (カスタム ミームと呼ばれる) をチームの会話に追加する機能を有効または無効にします (インターネット上のカスタマイズ可能な画像)。

  • チーム メンバーが編集可能な画像 (ステッカーと呼ばれる) をチームの会話に追加する機能を有効または無効にします (編集可能な画像)。

  • チーム メンバーが Microsoft チーム のチャットおよびチャネルでボットを使用する機能を有効または無効にします (組織全体にわたるボット)。

  • Microsoft チーム の特定のボットを有効にします。 組織でボットを有効にすると利用可能になる、Teams のヘルプ ボットである T-Bot はこれに含まれません (個々のボット)。

  • チーム メンバーが拡張機能またはタブを追加する機能を有効または無効にします (拡張機能またはタブ)。

  • Microsoft チーム の専用ボットのサイドローディングを有効または無効にします (ボットのサイドローディング)。

  • ユーザーがメール メッセージを Microsoft チーム チャネルに送信する機能を有効または無効にします (チャネル メール)。

チームの設定が変更されました

TeamSettingChanged

TeamSettingChanged 操作は、次のアクティビティがチーム管理者によって実行されると、ログに記録されます。これらの各アクティビティについては、変更された設定 (下記のかっこ内の設定) の説明が、監査ログの検索結果の [アイテム] 列に表示されます。

  • チームのアクセスの種類を変更します。チームは非公開または公開として設定することができます (チームのアクセスの種類)。

    チームが非公開 (既定の設定) の場合、ユーザーはチームには招待状でのみアクセスでき暗ます。チームが公開の場合、誰でもチームを発見可能です。

  • チームの情報の分類を変更します (チーム分類)。

    たとえば、チームのデータは業務への影響が大きい、業務への影響が中程度、業務への影響が小さい、といったように分類できます。

  • チームの名前を変更します (チーム名)。

  • チームの説明を変更します (チームの説明)。

チームの作成

TeamCreated

ユーザーが新しいチームを作成します。

チャネルの削除

ChannelDeleted

ユーザーは、チームからチャネルを削除します。

チームの削除

TeamDeleted 

チーム管理者がチームを削除します。

チームからのボットの削除

BotRemovedFromTeam

ユーザーがチームからボットを削除します。

コネクタの削除

ConnectorRemoved

ユーザーがチャネルからコネクタを削除します。

タブの削除

TabRemoved

ユーザーがチャネルからタブを削除します。

ユーザーがチームにサインインしました

TeamsSessionStarted

ユーザーが Microsoft チーム クライアントにサインインします。

先頭に戻る

Yammer アクティビティ

次の表には、Office 365 監査ログに記録された Yammer のユーザー アクティビティおよび管理者アクティビティの一覧が表示されています。Office 365 監査ログから Yammer に関連するアクティビティを返すには、[アクティビティ] リストの [すべてのアクティビティの結果を表示] を選択する必要があります。日付範囲のボックスと [ユーザー] リストを使用して、検索結果を絞り込みます。

フレンドリ名

操作​​

説明

データの保持ポリシーが変更されました

SoftDeleteSettingsUpdated

認証管理者がネットワーク データの保持ポリシーの設定を更新します。この操作を実行できるのは、認証管理者のみです。

ネットワークの構成が変更されました

NetworkConfigurationUpdated

ネットワーク管理者または認証管理者が Yammer ネットワークの構成を変更します。これには、データのエクスポートからチャットの有効化までの間隔の設定が含まれます。

ネットワーク プロファイルの設定が変更されました

ProcessProfileFields

ネットワーク管理者または認証管理者が、ネットワーク ユーザーのネットワークのメンバー プロファイルに表示される情報を変更します。

個人用のコンテンツ モードが変更されました。

SupervisorAdminToggled

認証管理者が、プライベート コンテンツ モードをオンまたはオフに切り替えます。管理者は、このモードを使用して、プライベート グループの投稿や、各ユーザー (またはユーザーのグループ) 間のプライベート メッセージを閲覧できます。この操作を実行できるのは、認証管理者のみです。

セキュリティの構成が変更されました

NetworkSecurityConfigurationUpdated

認証管理者が Yammer ネットワーク セキュリティの構成を更新します。これには、パスワードの有効期限ポリシーの設定と IP アドレスの制限事項が含まれます。この操作を実行できるのは、認証管理者のみです。

ファイルが作成されました

FileCreated

ユーザーがファイルをアップロードします。

グループが作成されました

GroupCreation

ユーザーが新しいグループを作成します。

グループが削除されました

GroupDeletion

Yammer からグループが削除されます。

メッセージが削除されました

MessageDeleted

ユーザーがメッセージを削除します。

ダウンロードされたファイル

FileDownloaded

ユーザーがファイルをダウンロードします。

エクスポートされたデータ

DataExport

認証管理者が Yammer ネットワークのデータをエクスポートします。この操作を実行できるのは、認証管理者のみです。

ファイルが共有されました

FileShared

ユーザーが別のユーザーとファイルを共有します。

ネットワーク ユーザーを停止しました

NetworkUserSuspended

ネットワーク管理者または認証管理者が、Yammer から任意のユーザーを停止します。

ユーザーが停止されました

UserSuspension

ユーザー アカウントが停止 (非アクティブ化) されます。

ファイルの説明が更新されました

FileUpdateDescription

ユーザーがファイルの説明を変更します。

ファイル名が更新されました

FileUpdateName

ユーザーがファイル名を変更します。

ファイルが表示されました

FileVisited

ユーザーがファイルを表示します。

先頭に戻る

Exchange 管理者監査ログ

Exchange 管理者監査ログは、Office 365 で既定で有効になっており、管理者 (または管理者アクセス許可が割り当てられているユーザー) が Exchange Online 組織で変更を加えたときに Office 365 監査ログにイベントを記録します。Exchange 管理センターを使用するか、または Windows PowerShell でコマンドレットを実行して加えられた変更は、Exchange 管理者監査ログに記録されます。Exchange の管理者監査ログの詳細については、「管理者監査ログ」を参照してください。ここでは、Exchange 管理者監査ログでアクティビティを検索する場合のヒントをいくつか示します。

  • Exchange 管理者監査ログからのエントリを返すには、[アクティビティ] リストの [すべてのアクティビティの結果を表示] を選択する必要があります。日付範囲のボックスと [ユーザー] リストを使用して、特定の Exchange 管理者によって実行されるコマンドレットの検索結果を特定の日付範囲内に絞り込みます。

  • Exchange 管理者監査ログからのイベントを表示するには、検索結果をフィルター処理し、[アクティビティ] フィルター ボックスに「」(ダッシュ) を入力します。これにより、Exchange 管理者イベントの [アクティビティ] 列にコマンドレット名が表示されます。次に、コマンドレット名をアルファベット順に並べ替えることができます。

    [アクティビティ] ボックスにダッシュを入力して Exchange admin イベントをフィルターします。
  • 実行されたコマンドレット、使用されたパラメーターとパラメーター値、および影響を受けたオブジェクトに関する情報を入手するには、検索結果をエクスポートし、[すべての結果をダウンロード] オプションを選択する必要があります。

先頭に戻る

ユーザーが特定のドキュメントを表示したかどうか、または各自のメールボックスからアイテムを削除したかどうかを知る必要がありますか? その場合は、Office 365 セキュリティ/コンプライアンス センターを使用して、統合監査ログを検索し、Office 365 の組織のユーザーと管理者のアクティビティを表示できます。なぜ、統合監査ログなのでしょうか? Office 365 では、次の種類のユーザーと管理者のアクティビティを検索できるからです。

  • SharePoint Online および OneDrive for Business でのユーザー アクティビティ

  • Exchange Online でのユーザー アクティビティ (Exchange メールボックス監査ログ)

    重要: Exchange Online のユーザー アクティビティを記録する前に、各ユーザーのメールボックス監査ログをオンにする必要があります。詳細については、「Office 365 でメールボックスの監査を有効にする」を参照してください。

  • SharePoint Online での管理者アクティビティ

  • Azure Active Directory (Office 365 のディレクトリ サービス) での管理者アクティビティ

  • Exchange Online での管理者アクティビティ (Exchange 管理者監査ログ)

  • Sway でのユーザーと管理者のアクティビティ

  • Power BI for Office 365 でのユーザーと管理者のアクティビティ

  • Microsoft チーム でのユーザーと管理者のアクティビティ

  • Yammer でのユーザーと管理者のアクティビティ

LinkedIn ラーニングのショート アイコンです。 Office 365 を初めてお使いの場合は
、LinkedIn ラーニングによって提供された Office 365 管理者および IT プロフェッショナル向けの無料のビデオコースをご覧ください。

スキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×