Microsoft 365 の高度な監査Advanced Audit in Microsoft 365

Microsoft 365 の統合監査機能を使用すると、組織は Microsoft 365 のさまざまなサービスにわたって、さまざまな種類の監査済みアクティビティを可視化できます。The unified auditing functionality in Microsoft 365 provides organizations with visibility into many types of audited activities across many different services in Microsoft 365. 高度な監査は、侵害の範囲の決定に役立つ重要なイベントへのアクセスを提供し、Office 365 管理アクティビティ API への迅速なアクセスを提供することで、調査の実施に必要な監査ログの保持を高め、組織によるフォレンジック調査やコンプライアンス調査の実施をサポートします。Advanced Audit helps organizations to conduct forensic and compliance investigations by increasing audit log retention required to conduct an investigation, providing access to crucial events that help determine scope of compromise, and faster access to Office 365 Management Activity API.

注意

高度な監査は、Office 365 E5/G5 または Microsoft 365 Enterprise E5/G5のサブスクリプションを持つ組織で利用できます。Advanced Audit is available for organizations with an Office 365 E5/G5 or Microsoft 365 Enterprise E5/G5 subscription. さらに、Microsoft 365 E5 コンプライアンス アドオン ライセンスや Microsoft 365 E5 eDiscovery and Audit アドオン ライセンスは、監査ログの長期保持や調査のための重要なイベントへのアクセスと同様に、高度な監査機能にユーザーごとのライセンスが必要な場合に、ユーザーに割り当てることができます。Additionally, a Microsoft 365 E5 Compliance or E5 eDiscovery and Audit add-on license can be assigned to users when per-user licensing is required for Advanced Audit features as is the case for long-term retention of audit logs and access to crucial events for investigations. ライセンスの詳細については、「セキュリティとコンプライアンスのための Microsoft 365 ライセンス ガイダンス」を参照してください。For more information about licensing, see Microsoft 365 licensing guidance for security & compliance.

この記事では、高度な監査機能の概要を説明し、高度な監査用にユーザーを設定する方法を示します。This article provides an overview of Advanced Audit capabilities and shows you how to set up users for Advanced Audit.

監査ログの長期保持Long-term retention of audit logs

高度な監査では、Exchange、SharePoint、および Azure Active Directory の監査レコードが 1 年間保持されます。Advanced Audit retains all Exchange, SharePoint, and Azure Active Directory audit records for one year. これは、アクティビティが発生したサービスを示す ワークロード プロパティの ExchangeSharePoint、または AzureActiveDirectory の値を含む任意の監査レコードを 1 年間保持する既定の監査ログの保持ポリシーによって実現されます。This is accomplished by a default audit log retention policy that retains any audit record that contains the value of Exchange, SharePoint, or AzureActiveDirectory for the Workload property (which indicates the service in which the activity occurred) for one year. 監査レコードの長期間にわたる保持は、継続的なフォレンジック調査やコンプライアンス調査に役立ちます。Retaining audit records for longer periods can help with on-going forensic or compliance investigations. 詳細については、「監査ログの保持ポリシーの管理」の「既定の監査ログの保持ポリシー」セクションを参照してください。For more information, see the "Default audit log retention policy" section in Manage audit log retention policies.

また、監査ログを 10 年間保持する機能もリリースしています。We're also releasing the capability to retain audit logs for 10 years. 監査ログを 10 年間保持することで、長期間にわたる調査や、規制、法律、社内の義務への対応をサポートします。The 10-year retention of audit logs helps support long running investigations and respond to regulatory, legal, and internal obligations.

注意

監査ログを 10 年間保持するには、追加のアドオン ライセンスが必要です。Retaining audit logs for 10 years will require an additional add-on license. この新しいライセンスは、2021 年初頭より利用可能になります。This new license will be available in early 2021. 詳細については、この記事の「高度な監査についてよく寄せられる質問」セクションを参照してください。For more information, see the FAQs for Advanced Audit section in this article.

監査ログの保持ポリシーAudit log retention policies

(前のセクションで説明した) 既定の監査ログの保持ポリシーが適用されていない他のサービスで生成されたすべての監査レコードは、90 日間保持されます。All audit records generated in other services that aren't covered by the default audit log retention policy (described in the previous section) are retained for 90 days. ただし、カスタマイズした監査ログの保持ポリシーを作成すれば、最大 10 年間、長期にわたって他の監査レコードを保持できます。But you can create customized audit log retention policies to retain other audit records for longer periods of time up to 10 years. 次の 1 つ以上の基準に基づいて、監査レコードを保持するポリシーを作成できます。You can create a policy to retain audit records based on one or more of the following criteria:

  • 監査されたアクティビティが発生する Microsoft 365 サービス。The Microsoft 365 service where the audited activities occur.

  • 特定の監査されたアクティビティ。Specific audited activities.

  • 監査されたアクティビティを実行するユーザー。The user who performs an audited activity.

特定のポリシーが他のポリシーよりも優先されるように、ポリシーおよび優先度のレベルに一致する監査レコードを保持する期間を指定することもできます。You can also specify how long to retain audit records that match the policy and a priority level so that specific policies will take priority over other policies. また、組織の一部またはすべてのユーザーに対して Exchange、SharePoint、Azure Active Directory 監査レコードを 1 年未満 (または 10 年間) で保持する必要がある場合は、カスタム監査ログの保持ポリシーが既定の監査保持ポリシーよりも優先されます。Also note that any custom audit log retention policy will take precedence over the default audit retention policy in case you need retain Exchange, SharePoint, or Azure Active Directory audit records for less than a year (or for 10 years) for some or all users in your organization. 詳細については、「監査ログ保持ポリシーを管理する」を参照してください。For more information, see Manage audit log retention policies.

調査のための重要なイベントへのアクセスAccess to crucial events for investigations

高度な監査は、いつメール項目がアクセスされたか、いつメール項目が返信されたか、または転送されたか、ユーザーがいつ何を Exchange Online や SharePoint Online で検索したかなどの重要なイベントへのアクセスを提供することで、組織によるフォレンジック調査やコンプライアンス調査の実施をサポートします。Advanced Audit helps organizations to conduct forensic and compliance investigations by providing access to crucial events such as when mail items were accessed, or when mail items were replied to and forwarded, and when and what a user searched for in Exchange Online and SharePoint Online. これらの重要なイベントは、起こりうる侵害を調査し、侵害の範囲を決定するのに役立ちます。These crucial events can help you investigate possible breaches and determine the scope of compromise. 高度な監査は、次の重要なイベントを提供します。Advanced Auditing provides the following crucial events:

MailItemsAccessedMailItemsAccessed

MailItemsAccessed イベントは、メールボックス監査アクションであり、メール データがメール プロトコルやメール クライアントによってアクセスされたときにトリガーされます。The MailItemsAccessed event is a mailbox auditing action and is triggered when mail data is accessed by mail protocols and mail clients. MailItemsAccessed アクションは、調査者がデータ違反を識別し、侵害された可能性があるメッセージの範囲を特定するのに役立ちます。The MailItemsAccessed action can help investigators identify data breaches and determine the scope of messages that may have been compromised. 攻撃者がメール メッセージにアクセスすると、MailItemsAccessed アクションは、メッセージが実際に読み取られたことを示す明示的な信号がない場合でもトリガーされます (つまり、バインドや同期などのアクセスの種類が監査レコードに記録されます)。If an attacker gained access to email messages, the MailItemsAccessed action will be triggered even if there is no explicit signal that messages were actually read (in other words, the type of access such as a bind or sync is recorded in the audit record).

MailItemsAccessed メールボックス アクションは、Exchange Online のメールボックスの監査ログの MessageBind を置き換え、次の改善点を提供します。The MailItemsAccessed mailbox action replaces MessageBind in mailbox auditing logging in Exchange Online and provides these improvements:

  • MessageBind は、AuditAdmin ユーザー ログインの種類に対してのみ構成でき、委任または所有者のアクションには適用されません。MessageBind was only configurable for AuditAdmin user logon type; it did not apply to delegate or owner actions. MailItemsAccessed は、すべてのログインの種類に適用されます。MailItemsAccessed applies to all logon types.

  • MessageBind は、メール クライアントによるアクセスのみを対象としています。MessageBind only covered access by a mail client. 同期アクティビティには適用されませんでした。It didn't apply to sync activities. MailItemsAccessed イベントは、バインド アクセスの種類と同期アクセスの種類の両方によってトリガーされます。MailItemsAccessed events are triggered by both bind and sync access types.

  • MessageBind アクションによって、同じメール メッセージにアクセスしたときに複数の監査レコードが作成され、「ノイズ」が監査されます。MessageBind actions would trigger the creation of multiple audit records when the same email message was accessed, which resulted in auditing "noise". 一方、MailItemsAccessed イベントは、少数の監査レコードに集約されます。In contrast, MailItemsAccessed events are aggregated into fewer audit records.

MailItemsAccessed アクティビティの監査レコードの詳細については、「高度な監査を使用して、侵害されたアカウントを調査する」を参照してください。For information about audit records for MailItemsAccessed activities, see Use Advanced Audit to investigate compromised accounts.

MailItemsAccessed 監査レコードを検索するには、Microsoft 365 コンプライアンス センター内の 監査ログ検索ツールExchange メールボックス アクティビティ ドロップダウン リストで メールボックス アイテムへのアクセス アクティビティを検索できます。To search for MailItemsAccessed audit records, you can search for the Accessed mailbox items activity in the Exchange mailbox activities drop-down list in the audit log search tool in the Microsoft 365 compliance center.

監査ログ検索ツールで MailItemsAccessed アクションを検索する

Exchange Online PowerShell で Search-UnifiedAuditLog -Operations MailItemsAccessed または Search-MailboxAuditLog -Operations MailItemsAccessed コマンドを実行することもできます。You can also run the Search-UnifiedAuditLog -Operations MailItemsAccessed or Search-MailboxAuditLog -Operations MailItemsAccessed commands in Exchange Online PowerShell.

SendSend

Send イベントもメールボックス監査アクションであり、ユーザーが次のアクションのいずれかを実行したときにトリガーされます。The Send event is also a mailbox auditing action and is triggered when a user performs one of the following actions:

  • メール メッセージの送信Sends an email message

  • メール メッセージへの返信Replies to an email message

  • メール メッセージの転送Forwards an email message

調査担当者は Send イベントを使用して、侵害されたアカウントから送信されたメールを特定することができます。Investigators can use the Send event to identify email sent from a compromised account. Send イベントの監査レコードには、メッセージが送信された日時、InternetMessage ID、件名、メッセージに添付ファイルが含まれているかどうかなどのメッセージに関連する情報が含まれています。The audit record for a Send event contains information about the message, such as when the message was sent, the InternetMessage ID, the subject line, and if the message contained attachments. この監査情報は、調査担当者が侵害されたアカウントから送信された、または攻撃者によって送信されたメール メッセージに関連する情報を特定するのに役立ちます。This auditing information can help investigators identify information about email messages sent from a compromised account or sent by an attacker. さらに、調査担当者は Microsoft 365 の電子情報開示ツールを使用して (件名やメッセージ ID を使用して) メッセージを検索し、メッセージの送信先である受信者と送信されたメッセージの実際の内容を特定することができます。Additionally, investigators can use a Microsoft 365 eDiscovery tool to search for the message (by using the subject line or message ID) to identify the recipients the message was sent to and the actual contents of the sent message.

Send 監査レコードを検索するには、Microsoft 365 コンプライアンス センター内の 監査ログ検索ツールExchange メールボックス アクティビティ ドロップダウン リストで 送信済みメッセージ アクティビティを検索できます。To search for Send audit records, you can search for the Sent message activity in the Exchange mailbox activities drop-down list in the audit log search tool in the Microsoft 365 compliance center.

監査ログ検索ツールでの送信済みメッセージ アクションの検索

Exchange Online PowerShell で Search-UnifiedAuditLog -Operations Send または Search-MailboxAuditLog -Operations Send コマンドを実行することもできます。You can also run the Search-UnifiedAuditLog -Operations Send or Search-MailboxAuditLog -Operations Send commands in Exchange Online PowerShell.

SearchQueryInitiatedExchangeSearchQueryInitiatedExchange

SearchQueryInitiatedExchange イベントは、ユーザーが Outlook on the web (OWA) の検索バーを使用してメールボックス内のアイテムを検索するときにトリガーされます。The SearchQueryInitiatedExchange event is triggered when a person uses the Search bar in Outlook on the web (OWA) to search for items in a mailbox. 調査担当者は SearchQueryInitiatedExchange イベントを使用し、アカウントを侵害した可能性のある攻撃者がメールボックス内の機密情報を探したり、アクセスしようとしたかどうかを判断することができます。Investigators can use the SearchQueryInitiatedExchange event to determine if an attacker who may have compromised an account looked for or tried to access sensitive information in the mailbox. SearchQueryInitiatedExchange イベントの監査レコードには、検索クエリの実際のテキストなどの情報が含まれています。The audit record for a SearchQueryInitiatedExchange event contains information such as the actual text of the search query. 攻撃者が実行した可能性のある検索クエリを調査することで、調査担当者は検索されたメール データの意図をより深く理解することができます。By looking at the search queries that an attacker may have performed, an investigator can better understand the intent of the email data that was searched for.

SearchQueryInitiatedExchange 監査レコードを検索するには、コンプライアンス センター内の 監査ログ検索ツール検索アクティビティ ドロップダウン リストで 実行されたメール検索 アクティビティを検索できます。To search for SearchQueryInitiatedExchange audit records, you can search for the Performed email search activity in the Search activities drop-down list in the audit log search tool in the compliance center.

監査ログ検索ツールでの実行されたメール検索アクションの検索

また、Exchange Online PowerShell で Search-UnifiedAuditLog -Operations SearchQueryInitiatedExchange を実行することもできます。You can also run the Search-UnifiedAuditLog -Operations SearchQueryInitiatedExchange in Exchange Online PowerShell.

注意

(特定の E5 ユーザーによって実行された) SearchQueryInitiatedExchange イベントが監査ログの検索結果に含まれるように、Exchange Online PowerShell で次のコマンドを実行する必要があります: Set-Mailbox <user identity> -AuditOwner @{Add="SearchQueryInitiated"}You must run the following command in Exchange Online PowerShell so that SearchQueryInitiatedExchange events (performed by the specified E5 user) are included in audit log search results: Set-Mailbox <user identity> -AuditOwner @{Add="SearchQueryInitiated"}.

SearchQueryInitiatedSharePointSearchQueryInitiatedSharePoint

メールボックス アイテムの検索と同様に、組織の SharePoint ホーム サイト内のアイテムをユーザーが検索すると、SearchQueryInitiatedSharePoint イベントがトリガーされます。Similar to searching for mailbox items, the SearchQueryInitiatedSharePoint event is triggered when a person searches for items in the SharePoint home site for your organization. 調査担当者は、SearchQueryInitiatedSharePoint イベントを使用して攻撃者が SharePoint 内の機密情報を見つけようとした (そしてアクセスした可能性がある) かどうかを判断することができます。Investigators can use the SearchQueryInitiatedSharePoint event to determine if an attacker tried to find (and possibly accessed) sensitive information in SharePoint. SearchQueryInitiatedSharePoint イベントの監査レコードには、検索クエリの実際のテキストも含まれています。The audit record for a SearchQueryInitiatedSharePoint event contains also contains the actual text of the search query. 攻撃者が実行した可能性のある検索クエリを調査することで、調査担当者は検索されたファイル データの意図や範囲をより深く理解することができます。By looking at the search queries that an attacker may have performed, an investigator can better understand the intent and scope of the file data being searched for.

SearchQueryInitiatedSharePoint 監査レコードを検索するには、コンプライアンス センター内の 監査ログ検索ツール検索アクティビティ ドロップダウン リストで 実行された SharePoint 検索 アクティビティを検索できます。To search for SearchQueryInitiatedSharePoint audit records, you can search for the Performed SharePoint search activity in the Search activities drop-down list in the audit log search tool in the compliance center.

監査ログ検索ツールでの実行された SharePoint 検索アクションの検索

また、Exchange Online PowerShell で Search-UnifiedAuditLog -Operations SearchQueryInitiatedSharePoint を実行することもできます。You can also run the Search-UnifiedAuditLog -Operations SearchQueryInitiatedSharePoint in Exchange Online PowerShell.

注意

(特定の E5 ユーザーによって実行された) SearchQueryInitiatedSharePoint イベントが監査ログの検索結果に含まれるように、Exchange Online PowerShell で次のコマンドを実行する必要があります: Set-Mailbox <user identity> -AuditOwner @{Add="SearchQueryInitiated"}You must run the following command in Exchange Online PowerShell so that SearchQueryInitiatedSharePoint events (performed by the specified E5 user) are included in audit log search results: Set-Mailbox <user identity> -AuditOwner @{Add="SearchQueryInitiated"}.

Office 365 管理アクティビティ API への高帯域幅アクセスHigh-bandwidth access to the Office 365 Management Activity API

Office 365 管理アクティビティ API を使用して監査ログにアクセスする組織は、発行者レベルの調整制限により制限されていました。Organizations that access auditing logs through the Office 365 Management Activity API were restricted by throttling limits at the publisher level. つまり、発行者が複数のお客様に代わってデータをプルする場合、制限はそれらすべてのお客様で共有されていました。This means that for a publisher pulling data on behalf of multiple customers, the limit was shared by all those customers.

高度な監査のリリースにより、発行者レベルの制限からテナント レベルの制限に移行します。With the release of Advanced Audit, we're moving from a publisher-level limit to a tenant-level limit. その結果、各組織は、監査データにアクセスするために独自に完全に割り当てられた帯域幅を取得します。The result is that each organization will get their own fully allocated bandwidth quota to access their auditing data. 帯域幅は静的な定義済みの制限ではありませんが、組織内のシート数などの要因の組み合わせでモデル化され、E5 組織は E5 以外よりも多くの帯域幅を利用できます。The bandwidth is not a static, predefined limit but is modeled on a combination of factors including the number of seats in the organization and that E5 organizations will get more bandwidth than non-E5 organizations.

すべての組織には、最初に 1 分あたり 2,000 件の要求のベースラインが割り当てられます。All organizations are initially allocated a baseline of 2,000 requests per minute. この制限は、組織のシート数とライセンス サブスクリプションに応じて動的に増加します。This limit will dynamically increase depending on an organization's seat count and their licensing subscription. E5 組織は、E5 以外の組織の約 2 倍の帯域幅を利用できます。E5 organizations will get about twice as much bandwidth as non-E5 organizations. また、サービスの正常性を保護するために、最大帯域幅の上限も設定されます。There will also be cap on the maximum bandwidth to protect the health of the service.

詳細については、「Office 365 管理アクティビティ API リファレンス」の「API 調整」のセクションを参照してください。For more information, see the "API throttling" section in Office 365 Management Activity API reference.

ユーザーの高度な監査のセットアップを行うSet up Advanced Audit for users

MailItemsAccessed や Send などの重要なイベントをログに記録する機能などの高度な監査機能を使用するには、ユーザーに適切な E5 ライセンスが割り当てられている必要があります。Advanced Audit features such as the ability to log crucial events such as MailItemsAccessed and Send require an appropriate E5 license assigned to users. さらに、それらのユーザーに対して高度な監査アプリ/サービス プランを有効にする必要があります。Additionally, the Advanced Auditing app/service plan must be enabled for those users. 高度な監査アプリがユーザーに割り当てられていることを確認するには、ユーザーごとに次の手順を実行します。To verify that the Advanced Auditing app is assigned to users, perform the following steps for each user:

  1. Microsoft 365 管理センターで、[ユーザー] > [アクティブなユーザー] の順に移動し、ユーザーを選択します。In the Microsoft 365 admin center, go to Users > Active users, and select a user.

  2. ユーザー プロパティのポップアップ ページで、[ライセンスとアプリ] をクリックします。On the user properties flyout page, click Licenses and apps.

  3. [ライセンス] セクションで、ユーザーに E5 ライセンスが割り当てられていることを確認します。In the Licenses section, verify that the user is assigned an E5 license.

  4. [アプリ] セクションを展開して、[Microsoft 365 高度な監査] チェック ボックスが選択されていることを確認します。Expand the Apps section, and verify that the Microsoft 365 Advanced Auditing checkbox is selected.

  5. そのチェック ボックスが選択されていない場合は、選択して [変更の保存] をクリックします。If the checkbox isn’t selected, select it, and then click Save changes.

    ユーザーの MailItemsAccessed、送信、およびその他の重要なイベントの監査レコードのログ記録は、24 時間以内に開始されます。The logging of audit records for MailItemsAccessed, Send, and other crucial events for the user will begin within 24 hours.

グループ ベースのライセンスを使用してユーザーのグループにライセンスを割り当てている組織では、グループに対する Microsoft 365 Advanced Auditing のライセンス割り当てをオフにする必要があります。For organizations that assign licenses to groups of users by using group-based licensing, you have to turn off the licensing assignment for Microsoft 365 Advanced Auditing for the group. 変更を保存したら、Microsoft 365 Advanced Auditing がグループに対してオフになっていることを確認します。After you save your changes, verify that Microsoft 365 Advanced Auditing is turned off for the group. その後、グループに対するライセンス割り当てをもう一度オンにします。Then turn the licensing assignment for the group back on. グループ ベースのライセンスの手順については、「Azure Active Directory でのグループ メンバーシップによるユーザーへのライセンスの割り当て」を参照してください。For instructions about group-based licensing, see Assign licenses to users by group membership in Azure Active Directory.

ユーザー メールボックスまたは共有メールボックスについてログに記録されるメールボックス操作をカスタマイズしている場合、MailItemsAccessed などの新しい既定のメールボックス操作は、これらのメールボックスでは自動的に監査されません。Also, if you have customized the mailbox actions that are logged on user mailboxes or shared mailboxes, new default mailbox actions such as MailItemsAccessed will not be automatically audited on those mailboxes. ログオンの種類ごとに監査されるメールボックス操作の変更については、 「メールボックスの監査を管理する」の「既定でログに記録されるメールボックスの操作を変更または復元する」セクションを参照してください。For information about changing the mailbox actions that are audited for each logon type, see the "Change or restore mailbox actions logged by default" section in Manage mailbox auditing.

高度な監査についてよく寄せられる質問FAQs for Advanced Audit

高度な監査を利用するには、すべてのユーザーに E5 ライセンスが必要ですか ?Does every user need an E5 license to benefit from Advanced Audit?

ユーザーレベルの高度な監査機能を利用するには、ユーザーに E5 ライセンスを割り当てる必要があります。To benefit from user-level Advanced Audit capabilities, a user needs to be assigned an E5 license. 適切なライセンスをチェックして、ユーザーに機能を公開するための機能がいくつかあります。There are some capabilities that will check for the appropriate license to expose the feature for the user. たとえば、90 日を超えて E5 ライセンスが割り当てられていないユーザーの監査レコードを保持しようとすると、システムはエラー メッセージを返します。For example, if you're trying to retain the audit records for a user who isn't assigned an E5 license for longer than 90 days, the system will return an error message.

組織に E5 サブスクリプションがある場合、重要なイベントの監査レコードにアクセスするために何かをする必要はありますか?My organization has an E5 subscription, do I need to do anything to get access to audit records for crucial events?

適切なライセンスが割り当てられている対象のお客様とユーザーには、重要な監査イベントにアクセスするためのアクションはありません。For eligible customers and users that are assigned the appropriate license, there is no action to get access to crucial auditing events.

新しい 10 年間の監査ログ保持アドオン ライセンスはいつ利用できるようになりますか?When will the new 10-year audit log retention add-on license be available?

新しい 10 年間の監査ログ保持アドオンは、E5 サブスクリプションをお持ちのお客様を対象に 2021 年初頭より購入できるようになります。The new 10-year audit log retention add-on will be available for purchase by customers with E5 subscriptions in early 2021.

10 年間の監査ログ保持ポリシーを作成していて、必要なアドオン ライセンスが 2021 年初頭に利用可能となる前に一般提供された場合、組織の監査ログ データはどうなりますか?What happens to my organization's audit log data if I create 10-year audit log retention policy the feature is released to general availability but before the required add-on license is available in early 2021?

一般提供された後に作成した 10 年間の監査ログ保持ポリシーの対象となる任意の監査ログ データについては、10 年間にわたって保持されます。Any audit log data covered by a 10-year audit log retention policy that you create after general availability will be retained for 10 years. 2021 年初頭に 10 年間の監査ログ保持アドオン ライセンスが利用可能になったときには、既存の 10 年間の監査データ保持ポリシーによって監査データを保持しているユーザーのためのアドオン ライセンスを購入する必要があります。When the 10-year audit log retention add-on license is available in early 2021, you will need to purchase add-on licenses for users who's audit data is being retained by an existing 10-year audit retention policy. また、2021 年初頭にアドオン ライセンスが利用可能になると、10 年間の監査ログ保持ポリシーを新たに作成するときに適切なライセンスが強制されるようになります。Also, once the add-on license is available in early 2021, the appropriate licensing will be enforced when you create new 10-year audit log retention policies.

高度な監査の新しいイベントは、Office 365 管理アクティビティ API で利用できますか ?Are the new events in Advanced Audit available in the Office 365 Management Activity API?

はい。Yes. 適切なライセンスを持つユーザーの監査レコードが生成されている限り、Office 365 管理アクティビティ API を介してこれらのレコードにアクセスできます。As long as audit records are generated for users with the appropriate license, you'll be able to access these records via the Office 365 Management Activity API.

より高い帯域幅は、遅延の改善やより高い SLA を意味しますか ?Does higher bandwidth mean better latency or higher SLA?

現時点では、高帯域幅は、特に大量の監査シグナルおよび重要な消費パターンを持つ組織に対して、より良いパイプラインを提供します。At this time, high bandwidth provides a better pipeline, especially for organizations with a high volume of auditing signals and significant consumption patterns. より高い帯域幅により、遅延が改善される可能性があります。More bandwidth can lead to better latency. ただし、高帯域幅に関連する SLA はありません。But there isn't an SLA associated with high bandwidth. 標準的な遅延はドキュメント化されており、これらの遅延は高度な監査のリリースでは変更されません。Standard latencies are documented, and these latencies don't change with the release of Advanced Audit.