Exchange Serverのメールボックスのメールボックス監査ログを有効または無効にする

  • [アーティクル]

Exchange Serverのメールボックス監査ログを使用すると、メールボックスへのログオンと、ユーザーのログオン中に実行されるアクションを追跡できます。 メールボックスのメールボックス監査ログを有効にすると、管理者と代理人が実行した操作が既定で記録されます。 既定では、メールボックスの所有者が実行した操作は記録されません。 メールボックス監査ログとログに記録できるアクションの詳細については、Exchange Serverのメールボックス監査ログに関するページを参照してください。

注意

メールボックス所有者の操作を監査すると、大量のメールボックス監査ログ エントリが生成される可能性があるため、既定では無効となっています。 業務上またはコンプライアンス上必要な、特定の所有者の操作の監査のみを有効にしておくことをお勧めします。

はじめに把握しておくべき情報

  • この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、「メッセージング ポリシーとコンプライアンスのアクセス許可」の「メールボックス監査ログ」エントリExchange Server参照してください。

  • 既定では、メールボックス監査ログのエントリは 90 日間保持されます。 エントリの保持期間の変更の詳細については、「詳細情報」セクションを参照してください。

  • Exchange 管理センター (EAC) を使用してメールボックス監査ログを有効または無効にすることはできません。 Exchange 管理シェル を使用する必要があります。 オンプレミスの Exchange 組織で Exchange 管理シェルを開く方法については、「 Open the Exchange Management Shell」をご覧ください。

  • ユーザーのメールボックスに対するフル アクセスのアクセス許可を割り当てられた管理者が代理人ユーザーと見なされます。

  • 以下のシナリオでは、メールボックスに管理者のみがアクセスするものと見なしています。

    • インプレース電子情報開示をメールボックスの検索に使用する。

    • New-MailboxExportRequest コマンドレットを使用してメールボックスをエクスポートする。

    • Microsoft Exchange Server の MAPI エディターを使用して、メールボックスにアクセスする。

メールボックス監査ログを有効または無効にする

Exchange 管理シェル を使用してメールボックスのメールボックス監査ログを有効または無効にすることができます。 これにより、管理者、代理人、およびメールボックスの所有者に指定されたすべての操作のログを有効または無効にできます。

次の例では、Ben Smith のメールボックスのメールボックス監査ログを有効にします。

Set-Mailbox -Identity "Ben Smith" -AuditEnabled $true

この例では、組織内のすべてのユーザー メールボックスに対して、メールボックス監査ログを有効にしています。

Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Select PrimarySmtpAddress | ForEach {Set-Mailbox -Identity $_.PrimarySmtpAddress -AuditEnabled $true}

次の例では、Ben Smith のメールボックスのメールボックス監査ログを無効にします。

Set-Mailbox -Identity "Ben Smith" -AuditEnabled $false

構文およびパラメーターの詳細については、「Set-Mailbox」を参照してください。

管理者、代理人、および所有者のアクセスのメールボックス監査ログ設定を構成する

メールボックスのメールボックス監査ログが有効の場合、そのメールボックスの監査ログ構成に指定された管理者、代理人、および所有者のアクションのみが記録されます。

この例では、 MessageBind 管理者によって実行された と FolderBind アクションが Ben Smith のメールボックスに対してログに記録されるように指定します。

Set-Mailbox -Identity "Ben Smith" -AuditAdmin MessageBind,FolderBind -AuditEnabled $true

この例では、 SendAs 代理人ユーザーによって実行された アクションまたは SendOnBehalf アクションが Ben Smith のメールボックスに対してログに記録されるように指定します。

Set-Mailbox -Identity "Ben Smith" -AuditDelegate SendAs,SendOnBehalf -AuditEnabled $true

この例では、メールボックス所有者 HardDelete によって実行されたアクションが Ben Smith のメールボックスに対してログに記録されるように指定します。

Set-Mailbox -Identity "Ben Smith" -AuditOwner HardDelete -AuditEnabled $true

構文およびパラメーターの詳細については、「Set-Mailbox」を参照してください。

正常な動作を確認する方法

メールボックスのメールボックス監査ログが正常に有効化され、管理者、代理人、および所有者のアクセスのログ設定が正確に指定されたことを確認するには、Get-Mailbox コマンドレットを使用してそのメールボックスのメールボックス監査ログ設定を取得します。

この例では、Ben Smith のメールボックス設定を取得して、指定された監査設定(監査ログ保管期限を含む)を Format-List コマンドレットにパイプ処理します。

Get-Mailbox "Ben Smith" | Format-List Audit*

AuditEnabled プロパティの True 値は、監査ログが有効になっていることを確認します。

この例では、組織内のすべてのユーザー メールボックスの監査設定を取得しています。

Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Format-List Name,Audit*

詳細情報

Get-Mailbox コマンドレットを実行するときに、ユーザーの種類に応じて監査されるすべての操作が表示されるわけではありません。 ただし、次のコマンドを実行すると、特定のユーザー ログオンの種類に対して監査されるすべての操作を表示することができます。

Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin

Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate

Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner

既定では、メールボックス監査ログのエントリは 90 日間保持されます。 90 日間の保存期間を過ぎたエントリは削除されます。 Set-Mailbox コマンドレットを使用してこの設定を変更し、アイテムがより長い (またはより短い) 期間保存されるようにすることができます。

この例では、Pilar Pinilla のメールボックスで、メールボックス監査ログのエントリの保存期間を 180 日間に増やします。

Set-Mailbox -Identity "Pilar Pinilla" -AuditLogAgeLimit 180

この例では、組織内のすべてのユーザー メールボックスで、メールボックス監査ログのエントリの保存期間を 60 日間に減らします。

Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Set-Mailbox -AuditLogAgeLimit 60