次の方法で共有


OMEPortal

Microsoft Purview Message Encryptionは、組織が任意の受信者に暗号化されたメールを送信できるようにするサービスです。

OMEPortal は、Office 365統合監査ログに記録されるイベントの一種です。 これは、暗号化されたメッセージ ポータルを使用して、外部受信者によって暗号化されたメッセージにアクセスするアクティビティを表します。 このイベントは、ポータルにアクセスしたタイミングとユーザーを特定するのに役立ちます。

  • 認証
  • メッセージを開く
  • 添付ファイルの表示
  • 添付ファイルをダウンロードする
  • reply/forward メッセージ

Office 365統合監査ログにアクセスする

監査ログには、次の方法を使用してアクセスできます。

監査ログ検索ツール

  1. Microsoft Purview コンプライアンス ポータルに移動し、サインインします。

  2. コンプライアンス ポータルの左側のウィンドウで、[監査] を選択 します

    注:

    左側のウィンドウに [監査] が表示されない場合は、アクセス許可の詳細については、「Microsoft Defender for Office 365のロールと役割グループ」と「Microsoft Purview コンプライアンス」を参照してください。

  3. [ 新しい検索 ] タブで、[レコードの種類] を [OMEPortal ] に設定し、他のパラメーターを構成します。 新しい検索オプションを示す [監査] ダイアログ

Microsoft Purview コンプライアンス ポータルでの監査ログの表示の詳細については、「監査ログ アクティビティ」を参照してください。

PowerShell で統合監査ログを検索する

PowerShell を使用して統合監査ログにアクセスするには、まず PowerShell ウィンドウを開き、PowerShell Exchange Onlineに接続します。 手順については、「Exchange Online PowerShell に接続する」を参照してください。

Search-UnifiedAuditLog コマンドレット

Search-UnifiedAuditLog コマンドレットは、Office 365統合監査ログの検索に使用できる PowerShell コマンドです。 統合監査ログは、イベントの追跡に使用できるOffice 365のユーザーと管理者のアクティビティの記録です。 このコマンドレットの使用に関するベスト プラクティスについては、「 Search-UnifiedAuditLog を使用するためのベスト プラクティス」を参照してください。

PowerShell を使用して統合監査ログから OMEPortal イベントを抽出するには、次のコマンドを使用します。 これにより、指定した日付範囲の統合監査ログが検索され、レコードの種類が "OMEPortal" のイベントが返されます。 結果は、指定したパスの CSV ファイルにエクスポートされます。

Search-UnifiedAuditLog -RecordType OMEPortal -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date) | Export-Csv -Path <output file> 

PowerShell からの OMEPortal イベントの例を次に示します。暗号化されたメッセージ ポータル アクティビティでメッセージを開きます。


RecordType   : OMEPortal 

CreationDate : 3/22/2023 7:00:59 PM 

UserIds      : admin@M365x965352.onmicrosoft.com 

Operations   : MessageAccess 

AuditData    : {"CreationTime":"2023-03-22T19:00:59","Id":"a3500d45-6ab3-4971-a762-a01a846015d0","Operation":"MessageAccess","OrganizationId":"84b06764-3e5e-4f51-9a78-046a7f38b59b","RecordType":154,"ResultStatus":"Success","UserKey":"admin@M365x965352.onmicrosoft.com","UserType":0,"Version":1,"Workload":"Exchange","UserId":"admin@M365x965352.onmicrosoft.com","AuthenticationMethod":"Google","AuthenticationStatus":0,"MessageId":"<MW5PR18MB5094602B59DFEC335A3C5E58AA869@MW5PR18MB5094.namprd18.prod.outlook.com>","OperationProperties":[{"Name":"MailSubject","Value":"Support case 1234567"}],"OperationStatus":0,"Recipient":"samschan.msft@gmail.com","Sender":"admin@M365x965352.onmicrosoft.com"} 

ResultIndex  : 6 

ResultCount  : 7 

Identity     : a3500d45-6ab3-4971-a762-a01a846015d0 

IsValid      : True 

ObjectState  : Unchanged 

次のコマンドを使用して、ユーザーが添付ファイルを表示するシナリオを具体的に検索します。 PowerShell コマンドレットの結果の例も次に示します。

Search-UnifiedAuditLog -Operations AttachmentReview -RecordType OMEPortal -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date)

PowerShell の AipSensitivityLabelAction イベントの例を次に示します。秘密度ラベルが更新されています。


RecordType   : OMEPortal 

CreationDate : 3/22/2023 7:04:09 PM 

UserIds      : admin@M365x965352.onmicrosoft.com 

Operations   : AttachmentReview 

AuditData    : {"CreationTime":"2023-03-22T19:04:09","Id":"ef29c387-c81b-4812-9020-90b378d92cde","Operation":"AttachmentReview","OrganizationId":"84b06764-3e5e-4f51-9a78-046a7f38b59b","RecordType":154,"ResultStatus":"Failure","UserKey":"admin@M365x965352.onmicrosoft.com","UserType":0,"Version":1,"Workload":"Exchange","UserId":"admin@M365x965352.onmicrosoft.com","AttachmentName":"Form.docx","AuthenticationMethod":"OTP","AuthenticationStatus":0,"MessageId":"<MW5PR18MB5094CD4A4C6D8A5636154FEBAA869@MW5PR18MB5094.namprd18.prod.outlook.com>","OperationProperties":[{"Name":"MailSubject","Value":"Support case 987654"}],"OperationStatus":1,"Recipient":"samschan.msft@gmail.com","Sender":"admin@M365x965352.onmicrosoft.com"} 

ResultIndex  : 4 

ResultCount  : 7 

Identity     : ef29c387-c81b-4812-9020-90b378d92cde 

IsValid      : True 

ObjectState  : Unchanged 

OMEPortal 内で特に検索できるその他の操作には、AttachmentDownload、AuthenticationRequest、MessageAccess、MessageForward があります。

OMEPortal イベントの属性

次の表に、OMEPortal イベントに関連する情報を示します。

イベント 説明
アクティビティ String 監査ログのアクティビティの種類。 OMEPortal の場合、操作には次を含めることができます。
- AttachmentDownload
- AttachmentReview
- AuthenticateRequest
- MessageAccess
- MessageForward
AttachmentName String AuditData の一部。
メッセージ内の添付ファイルの名前。
AuditData String OMEPortal アクティビティのログの詳細。
AuthenticationMethod String AuditData の一部。
ポータルへのログインに使用される認証の種類。 値は次のとおりです。
-Otp
-Google
-Yahoo
-マイクロソフト
AuthenticationStatus 倍精度浮動小数点数 認証の状態。
0 = 成功
1= 失敗
CreationTime 日付/時刻 ユーザーがアクティビティを実行した、世界協定時刻 (UTC) での日時。
Id GUID 監査レコードの一意識別子。
MessageId String メッセージ ID。
操作 String アクティビティと同じ値。
OperationProperties String AuditData の一部。
メールの件名が含まれます。
Recipient 文字列 AuditData の一部。
暗号化されたメッセージ ポータルでメッセージにアクセスするユーザーのメール アドレス。
RecordType 倍精度浮動小数点数 レコードによって示される操作の種類。 154 は OMEPortal レコードを表します。
ResultsStatus String 操作が成功したか失敗しました。
Sender String AuditData の一部。
暗号化されたメッセージを送信したユーザーのメール アドレス。
Workload String Exchange を使用して、暗号化されたメッセージ ポータルで電子メールを示します。
UserId String レコードがログに記録されるアクションを暗号化されたメールを送信したorganizationのユーザーのユーザー プリンシパル名 (UPN)。