監査ログの保持ポリシーを管理するManage audit log retention policies

セキュリティ/コンプライアンス センターで監査ログの保持ポリシーを作成および管理できます。You can create and manage audit log retention policies in the Security & Compliance Center. 監査ログの保持ポリシーは、Microsoft 365 の新しい高度な監査機能の一部です。Audit log retention policies are part of the new Advanced Audit capabilities in Microsoft 365. 監査ログの保持ポリシーでは、組織の監査ログを保持する期間を指定できます。An audit log retention policy lets you specify how long to retain audit logs in your organization. 監査ログは、最大 10 年間保持できます。You can retain audit logs for up to 10 years. 次の条件を基にしてポリシーを作成できます。You can create policies based on the following criteria:

  • 1 つまたは複数の Microsoft 365 サービスのすべてのアクティビティAll activities in one or more Microsoft 365 services

  • すべてのユーザーまたは特定のユーザーによって実行された (Microsoft 365 サービス内の) 特定のアクティビティSpecific activities (in a Microsoft 365 service) performed by all users or by specific users

  • 優先度レベルは、組織内に複数のポリシーがある場合に、どのポリシーが優先されるかを指定するA priority level that specifies which policy takes precedence in you have multiple policies in your organization

既定の監査ログの保持ポリシーDefault audit log retention policy

Microsoft 365 の高度な監査には、すべての組織の既定の監査ログの保持ポリシーが用意されています。Advanced Audit in Microsoft 365 provides a default audit log retention policy for all organizations. このポリシーでは、Exchange、SharePoint、および Azure Active Directory の監査レコードを 1 年間保持します。This policy retains all Exchange, SharePoint, and Azure Active Directory audit records for one year. この既定のポリシーは、ワークロード プロパティ (アクティビティが発生したサービス) の AzureActiveDirectoryExchange、または SharePoint の値を含む監査レコードを保持します。This default policy retains audit records that contain the value of AzureActiveDirectory, Exchange, or SharePoint for the Workload property (which is the service in which the activity occurred). 既定のポリシーは変更できません。The default policy can't be modified. 既定のポリシーに含まれている各ワークロードのレコード種類の一覧については、この記事の「詳細情報」を参照してください。See the More information section in this article for a list of record types for each workload that are included in the default policy.

注意

既定の監査ログの保持ポリシーは、Office 365 または Microsoft 365 E5 ライセンスが割り当てられているユーザー、または Microsoft 365 E5 コンプライアンスまたは Microsoft 365 E5 eDiscovery and Audit アドオン ライセンスを持つユーザーが実行したアクティビティの監査レコードにのみ適用されます。The default audit log retention policy only applies to audit records for activity performed by users who are assigned an Office 365 or Microsoft 365 E5 license or have a Microsoft 365 E5 Compliance or E5 eDiscovery and Audit add-on license. 組織に E5 以外のユーザーまたはゲスト ユーザーがいる場合、こうしたユーザーに対応する監査レコードは 90 日間保持されます。If you have non-E5 users or guest users in your organization, their corresponding audit records are retained for 90 days.

監査ログの保持ポリシーを作成する前にBefore you create an audit log retention policy

  • 監査保持ポリシーを作成または変更するには、セキュリティ/コンプライアンス センターの組織構成の役割を割り当てる必要があります。You have to be assigned the Organization Configuration role in the Security & Compliance Center to create or modify an audit retention policy.

  • 組織では、最大 50 個の監査ログの保持ポリシーを設定できます。You can have a maximum of 50 audit log retention policies in your organization.

  • 監査ログを 90 日以上 (最大 1 年) 保持するには、(監査されるアクティビティの実行により) 監査ログを生成したユーザーに Office 365 E5 または Microsoft 365 E5 ライセンスを割り当てるか、または Microsoft 365 E5 Compliance または E5 eDiscovery および監査アドオン ライセンスが必要です。To retain an audit log for longer than 90 days (and up to 1 year), the user who generates the audit log (by performing an audited activity) must be assigned an Office 365 E5 or Microsoft 365 E5 license or have a Microsoft 365 E5 Compliance or E5 eDiscovery and Audit add-on license. 監査ログを 10 年間保持するには、監査ログを生成するユーザーに対して、E5 ライセンスに加えて、10 年間の監査ログ保持のアドオン ライセンスも割り当てられる必要があります。To retain audit logs for 10 years, the user who generates the audit log must also be assigned a 10-year audit log retention add-on license in addition to an E5 license.

  • 組織によって作成されるすべてのカスタム監査ログの保持ポリシーは、既定の保持ポリシーよりも優先されます。All custom audit log retention policies (created by your organization) take priority over the default retention policy. たとえば、保持期間が 1 年未満の Exchange メールボックス アクティビティに対して監査ログの保持ポリシーを作成すると、Exchange メールボックス アクティビティの監査レコードは、カスタム ポリシーで指定されている短い期間保持されます。For example, if you create an audit log retention policy for Exchange mailbox activity that has a retention period that's shorter than one year, audit records for Exchange mailbox activities will be retained for the shorter duration specified by the custom policy.

PowerShell で監査ログの保持ポリシーを作成するCreate an audit log retention policy

  1. https://compliance.microsoft.com に移動し、セキュリティ/コンプライアンス センターの [アクセス許可] ページで組織構成の役割が割り当てられているユーザー アカウントでサインインします。Go to https://compliance.microsoft.com and sign in with a user account that's assigned the Organization Configuration role on the Permissions page in the Security & Compliance Center.

  2. Microsoft 365 コンプライアンス センターの左側のウィンドウで、[すべてを表示] をクリックし、[監査] をクリックします。In the left pane of the Microsoft 365 compliance center, click Show all, and then click Audit.

  3. [監査保持ポリシー] タブをクリックします。Click the Audit retention policies tab.

  4. [監査保持ポリシーの作成] をクリックし、ポップアップ ページの次のフィールドに入力します。Click Create audit retention policy, and then complete the following fields on the flyout page:

    新しい監査保持ポリシーのポップアップ ページ

    1. ポリシー名: 監査ログの保持ポリシーの名前です。Policy name: The name of the audit log retention policy. この名前は組織内で一意である必要があり、ポリシーの作成後に変更することはできません。This name must be unique in your organization, and it can't be change after the policy is created.

    2. 説明: 省略可能ですが、レコードの種類やワークロード、ポリシーで指定されたユーザー、期間など、ポリシーに関する情報を提供するのに役立ちます。Description: Optional, but helpful to provide information about the policy, such as the record type or workload, users specified in the policy, and the duration.

    3. ユーザー: ポリシーを適用する 1 人以上のユーザーを選択します。Users: Select one or more users to apply the policy to. このボックスを空白のままにすると、ポリシーがすべてのユーザーに適用されます。If you leave this box blank, then the policy will apply to all users. レコードの種類 を空白のままにする場合は、ユーザーを選択する必要があります。If you leave the Record type blank, then you must select a user.

    4. レコードの種類: ポリシーの適用対象となる監査レコードの種類です。Record type: The audit record type the policy applies to. このプロパティを空白のままにする場合は、[ユーザー] ボックスでユーザーを選択する必要があります。If you leave this property blank, you must select a user in the Users box. 1 つまたは複数のレコードの種類を選択できます。You can select a single record type or multiple record types:

    • 単一のレコードの種類を選択した場合は、[アクティビティ] フィールドが動的に表示されます。If you select a single record type, the Activities field is dynamically displayed. ドロップダウン リストを使用して、選択したレコードの種類からポリシーを適用するアクティビティを選択できます。You can use the drop-down list to select activities from the selected record type to apply the policy to. 特定のアクティビティを選択しない場合は、選択したレコードの種類のすべてのアクティビティにポリシーが適用されます。If you don't choose specific activities, the policy will apply to all activities of the selected record type.

    • 複数のレコードの種類を選択した場合、アクティビティを選択することはできません。If you select multiple record types, you don't have the ability to select activities. 選択したレコードの種類のすべてのアクティビティにポリシーが適用されます。The policy will apply to all activities of the selected record types.

    1. 期間: ポリシーの条件を満たす監査ログの保持期間です。Duration: The amount of time to retain the audit logs that meet the criteria of the policy.

    2. ポリシー: この値は、組織内の監査ログの保持ポリシーが処理される順序を決定します。Priority: This value determines the order in which audit log retention policies in your organization are processed. 値が高いほど、高い優先度を示します。A higher value indicates a higher priority. たとえば、優先度の値が 5 のポリシーは、優先度の値が 0 のポリシーよりも優先されます。For example, a policy with a priority value of 5 would take priority over a policy with a priority value of 0. 前述のとおり、カスタム監査ログの保持ポリシーは、組織の既定ポリシーよりも優先されます。As previously explained, any custom audit log retention policy takes priority over the default policy for your organization.

  5. [保存] をクリックして新しい監査ログの保持ポリシーを作成します。Click Save to create the new audit log retention policy.

    新しいポリシーは、[監査保持ポリシー] タブの一覧に表示されます。The new policy is displayed in the list on the Audit retention policies tab.

監査ログの保持ポリシーを管理するManage audit log retention policies

監査ログの保持ポリシーは、[監査保持ポリシー] タブ (ダッシュボード とも呼ばれる) に一覧表示されます。Audit log retention policies are listed on the Audit retention policies tab (also called the dashboard). ダッシュボードを使用して、監査保持ポリシーを表示、編集、および削除できます。You can use the dashboard to view, edit, and delete audit retention policies.

ダッシュボードでポリシーを表示するView policies in the dashboard

監査ログの保持ポリシーはダッシュボードに一覧表示されます。Audit log retention policies are listed in the dashboard. ダッシュボードにポリシーを表示する利点の 1 つは、[優先度] 列をクリックして、ポリシーが適用されている優先度のポリシーを一覧表示できることです。One advantage of viewing policies in the dashboard is that you can click the Priority column to list the policies in the priority in which they are applied. 前に説明したように、値が高いほど、高い優先度を示します。As previously explained, a higher value indicates a higher priority.

監査保持ポリシー ダッシュボードの [優先度] 列

また、ポリシーを選択して、その設定をポップアップ ページに表示することもできます。You can also select a policy to display its settings on the flyout page.

注意

組織の既定の監査ログの保持ポリシーはダッシュボードに表示されません。The default audit log retention policy for your organization isn't displayed in the dashboard.

ダッシュボードでポリシーを編集するEdit policies in the dashboard

ポリシーを編集するには、ポリシーを選択してポップアップ ページを表示します。To edit a policy, select it to display the flyout page. 1 つ以上の設定を変更してから、変更を保存できます。You can modify one or more setting and then save your changes.

重要

New-UnifiedAuditLogRetentionPolicy コマンドレットを使用すると、ダッシュボードの [監査保持ポリシーの作成] ツールでは使用できないレコードの種類またはアクティビティの監査ログ保持ポリシーを作成できます。If you use the New-UnifiedAuditLogRetentionPolicy cmdlet, it's possible to create an audit log retention policy for record types or activities that aren't available in the Create audit retention policy tool in the dashboard. この場合、[監査保持ポリシー] ダッシュボードからポリシーを編集 (保持期間の変更やアクティビティの追加と削除など) することはできません。In this case, you won't be able to edit the policy (for example, change the retention duration or add and remove activities) from the Audit retention policies dashboard. コンプライアンス センターでは、ポリシーを表示したり、削除したりすることはできません。You'll only be able to view and delete the policy in the compliance center. ポリシーを編集するには、セキュリティ/コンプライアンス センターの PowerShell で Set-UnifiedAuditLogRetentionPolicy コマンドレットを使用します。To edit the policy, you'll have to use the Set-UnifiedAuditLogRetentionPolicy cmdlet in Security & Compliance Center PowerShell.

ヒント: PowerShell を使用して編集する必要があるポリシーのメッセージがポップアップ ページの上部に表示されます。Tip: A message is displayed at the top of the flyout page for policies that have to be edited using PowerShell.

ダッシュボードでポリシーを削除するDelete policies in the dashboard

ポリシーを削除するには、[削除] [削除] アイコン アイコンをクリックし、その後ポリシーの削除を確定します。To delete a policy, click the Delete Delete icon icon and then confirm that you want to delete the policy. ポリシーはダッシュボードから削除されますが、ポリシーが組織から削除されるまでに最大 30 分かかる場合があります。The policy is removed from the dashboard, but it might take up to 30 minutes for the policy to be removed from your organization.

PowerShell で監査ログの保持ポリシーを作成して管理するCreate and manage audit log retention policies in PowerShell

セキュリティ/コンプライアンス センターの PowerShell を使用して監査ログの保持ポリシーを作成して管理することもできます。You can also use Security & Compliance Center PowerShell to create and manage audit log retention policies. PowerShell を使用する理由の 1 つは、UI で使用できないレコードの種類またはアクティビティのポリシーを作成することです。One reason to use PowerShell is to create a policy for a record type or activity that isn't available in the UI.

PowerShell で監査ログの保持ポリシーを作成するCreate an audit log retention policy in PowerShell

PowerShell で監査ログの保持ポリシーを作成するには、次の手順を実行します。Follow these steps to create an audit log retention policy in PowerShell:

  1. セキュリティ/コンプライアンス センター PowerShell に接続しますConnect to Security & Compliance Center PowerShell.

  2. 次のコマンドを実行して監査ログの保持ポリーを作成します。Run the following command to create an audit log retention policy.

    New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100
    

    この例では、次の設定を使用して「Microsoft Teams 監査ポリシー」という名前の監査ログの保持ポリシーを作成します。This example creates an audit log retention policy named "Microsoft Teams Audit Policy" with these settings:

    • ポリシーの説明。A description of the policy.

    • Microsoft Teams のすべてのアクティビティ (RecordType パラメーターで定義) を保持します。Retains all Microsoft Teams activities (as defined by the RecordType parameter).

    • Microsoft Teams 監査ログを 10 年間保持します。Retains Microsoft Teams audit logs for 10 years.

    • 優先度が 100 の場合。A priority of 100.

監査ログの保持ポリシーを作成するもう 1 つの例を示します。Here's another example of creating an audit log retention policy. このポリシーには、ユーザー「admin@contoso.onmicrosoft.com」の 6 か月間の「ユーザー ログイン」アクティビティの監査ログが保持されます。This policy retains audit logs for the "User logged in" activity for six months for the user admin@contoso.onmicrosoft.com.

New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25

詳細については、「New-UnifiedAuditLogRetentionPolicy」を参照してください。For more information, see New-UnifiedAuditLogRetentionPolicy.

PowerShell でポリシーを表示するView policies in PowerShell

セキュリティ/コンプライアンス センターの PowerShell で Get-UnifiedAuditLogRetentionPolicy コマンドレットを使用して、監査ログの保持ポリシーを表示します。Use the Get-UnifiedAuditLogRetentionPolicy cmdlet in Security & Compliance Center PowerShell to view audit log retention policies.

組織においてすべての監査ログの保持ポリシーの設定を表示するコマンドの例を以下に示します。Here's a sample command to display the settings for all audit log retention policies in your organization. このコマンドを実行すると、ポリシーが優先度の高い順に並べ替えられます。This command sorts the policies from the highest to lowest priority.

Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

注意

Get-UnifiedAuditLogRetentionPolicy コマンドレットは、組織の既定の監査ログの保持ポリシーを返しません。The Get-UnifiedAuditLogRetentionPolicy cmdlet doesn't return the default audit log retention policy for your organization.

PowerShell でポリシーを編集するEdit policies in PowerShell

セキュリティ/コンプライアンス センターの PowerShell でSet-UnifiedAuditLogRetentionPolicy コマンドレットを使用して、既存の監査ログの保持ポリシーを編集します。Use the Set-UnifiedAuditLogRetentionPolicy cmdlet in Security & Compliance Center PowerShell to edit an existing audit log retention policy.

PowerShell でポリシーを削除するDelete policies in PowerShell

セキュリティ/コンプライアンス センターの PowerShell でRemove-UnifiedAuditLogRetentionPolicy コマンドレットを使用して、監査ログの保持ポリシーを削除します。Use the Remove-UnifiedAuditLogRetentionPolicy cmdlet in Security & Compliance Center PowerShell to delete an audit log retention policy. 組織からポリシーが削除されるまで、最大 30 分かかる場合があります。It might take up to 30 minutes for the policy to be removed from your organization.

詳細情報More information

前に説明したように、Azure Active Directory、Exchange、および SharePoint の運用に関する監査レコードは既定で 1 年間保持されます。As previously stated, audit records for operations in Azure Active Directory, Exchange, and SharePoint are retained for one year by default. 次の表に、既定の監査ログの保持ポリシーに含まれるすべてのレコードの種類 (これらのサービスごと) を示します。The following table lists all the record types (for each of these services) included in the default audit log retention policy. つまり、特定のレコードの種類、動作、またはユーザーに対してカスタム監査ログの保持ポリシーが優先されない限り、このレコードの種類の動作の監査ログは 1 年間保持されます。This means that audit logs for any operation with this record type are retained for one year unless a custom audit log retention policy takes precedence for a specific record type, operation, or user. 各レコードの種類の Enum 値 (監査レコード内の RecordType プロパティの値として表示される) はかっこ内に表示されます。The Enum value (which is displayed as the value for the RecordType property in an audit record) for each record type is shown in parentheses.

AzureActiveDirectoryAzureActiveDirectory ExchangeExchange SharePointSharePoint
AzureActiveDirectory (8)AzureActiveDirectory (8) ExchangeAdmin (1)ExchangeAdmin (1) ComplianceDLPSharePoint (11)ComplianceDLPSharePoint (11)
AzureActiveDirectoryAccountLogon (9)AzureActiveDirectoryAccountLogon (9) ExchangeItem (2)ExchangeItem (2) ComplianceDLPSharePointClassification (33)ComplianceDLPSharePointClassification (33)
AzureActiveDirectoryStsLogon (15)AzureActiveDirectoryStsLogon (15) Campaign (62)Campaign (62) Project (35)Project (35)
ComplianceDLPExchange (13)ComplianceDLPExchange (13) SharePoint (4)SharePoint (4)
ComplianceSupervisionExchange (68)ComplianceSupervisionExchange (68) SharePointCommentOperation (37)SharePointCommentOperation (37)
CustomerKeyServiceEncryption (69)CustomerKeyServiceEncryption (69) SharePointContentTypeOperation (55)SharePointContentTypeOperation (55)
ExchangeAggregatedOperation (19)ExchangeAggregatedOperation (19) SharePointFieldOperation (56)SharePointFieldOperation (56)
ExchangeItemAggregated (50)ExchangeItemAggregated (50) SharePointFileOperation (6)SharePointFileOperation (6)
ExchangeItemGroup (3)ExchangeItemGroup (3) SharePointListOperation (36)SharePointListOperation (36)
InformationBarrierPolicyApplication (53)InformationBarrierPolicyApplication (53) SharePointSharingOperation (14)SharePointSharingOperation (14)