メールボックスの監査を管理するManage mailbox auditing

2019年1月以降、Microsoft はすべての組織に対してメールボックス監査ログを既定でオンにしています。Starting in January 2019, Microsoft is turning on mailbox audit logging by default for all organizations. これは、メールボックスの所有者、代理人、および管理者によって実行される特定のアクションが自動的にログに記録されることを意味します。メールボックス監査ログで検索すると、対応するメールボックス監査レコードが使用できるようになります。This means that certain actions performed by mailbox owners, delegates, and admins are automatically logged, and the corresponding mailbox audit records will be available when you search for them in the mailbox audit log. 既定でメールボックス監査を有効にする前に、組織内のすべてのユーザーメールボックスに対して手動で有効にする必要がありました。Before mailbox auditing was turned on by default, you had to manually enable it for every user mailbox in your organization.

既定では、メールボックスの監査の利点は次のとおりです。Here are some benefits of mailbox auditing on by default:

  • 新しいメールボックスを作成すると、監査が自動的に有効になります。Auditing is automatically enabled when you create a new mailbox. 新規ユーザーに対して手動で有効にする必要はありません。You don't need to manually enable it for new users.

  • 監査対象のメールボックスアクションを管理する必要はありません。You don't need to manage the mailbox actions that are audited. 事前に定義された一連のメールボックスアクションは、既定では、各ログオンの種類 (管理者、代理人、および所有者) に対して監査されます。A predefined set of mailbox actions are audited by default for each logon type (Admin, Delegate, and Owner).

  • Microsoft が新しいメールボックスのアクションを解放すると、既定で監査されるメールボックスの操作 (適切なライセンスを持っているユーザーの場合) の一覧に、アクションが自動的に追加される場合があります。When Microsoft releases a new mailbox action, the action might be automatically added to the list of mailbox actions that are audited by default (subject to the user having the appropriate license). これは、メールボックスに新しいアクションを追加することを監視する必要がないことを意味します。This means you don't need to monitor add new actions on mailboxes.

  • 組織全体で一貫したメールボックスの監査ポリシーを使用している (すべてのメールボックスに対して同じアクションを監査しているため)。You have a consistent mailbox auditing policy across your organization (because you're auditing the same actions for all mailboxes).

注意

  • 既定では、メールボックス監査のリリースに関して次の重要な点を覚えておく必要があります。メールボックスの監査を管理するために何もする必要はありません。The important thing to remember about the release of mailbox auditing on by default is: you don't need to do anything to manage mailbox auditing. ただし、詳細については、このトピックで説明されているように、既定の設定からメールボックスの監査をカスタマイズするか、または完全に無効にすることをお勧めします。However, to learn more, customize mailbox auditing from the default settings, or turn it off altogether, this topic can help you.
  • 既定では、E5 ユーザーのメールボックス監査イベントのみが、セキュリティ & コンプライアンスセンターでの監査ログの検索、または Office 365 Management Activity API を介して使用できます。By default, only mailbox audit events for E5 users are available in audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API. 詳細については、このトピックの「 詳細情報 」を参照してください。For more information, see the More information section in this topic.

既定によるメールボックス監査の有効化がオンになっていることを確認するVerify mailbox auditing on by default is turned on

組織のメールボックス監査が既定でオンになっていることを確認するには、 Exchange Online PowerShellで次のコマンドを実行します。To verify that mailbox auditing on by default is turned on for your organization, run the following command in Exchange Online PowerShell:

Get-OrganizationConfig | Format-List AuditDisabled

値が False の場合、既定でオンになっているメールボックスの監査が組織に対して有効になっていることを示します。The value False indicates that mailbox auditing on by default is enabled for the organization. これは既定の組織値によって、特定のメールボックスのメールボックスの監査設定より優先されます。This on by default organizational value overrides the mailbox auditing setting on specific mailboxes. たとえば、メールボックスのメールボックスの監査が無効になっている場合 (メールボックスの Auditenabled プロパティが False の場合)、既定のメールボックスの操作が組織で有効になっているため、メールボックスの既定のメールボックスの操作が引き続き監査されます。For example, if mailbox auditing is disabled for a mailbox (the AuditEnabled property is False on the mailbox), the default mailbox actions will still be audited for the mailbox, because mailbox auditing on by default is enabled for the organization.

特定のメールボックスに対してメールボックスの監査を無効にするには、メールボックスの所有者とメールボックスへのアクセスが委任されている他のユーザーに対してメールボックス監査バイパスを構成します。To keep mailbox auditing disabled for specific mailboxes, you configure mailbox auditing bypass for the mailbox owner and other users who have been delegated access to the mailbox. 詳細については、このトピックの「 メールボックス監査ログをバイパス する」を参照してください。For more information, see the Bypass mailbox audit logging section in this topic.

注意

組織のメールボックス監査が既定で有効になっている場合は、影響を受けるメールボックスの Auditenabled プロパティが False から Trueに変更されません。When mailbox auditing on by default is turned on for the organization, the AuditEnabled property for affected mailboxes won't be changed from False to True. 言い換えると、メールボックスの監査が既定でオンになっている場合、メールボックスの auditenabled プロパティは無視されます。In other words, mailbox auditing on by default ignores the AuditEnabled property on mailboxes.

サポートされるメールボックスの種類Supported mailbox types

次の表は、既定では、メールボックスの監査で現在サポートされているメールボックスの種類を示しています。The following table shows the mailbox types that are currently supported by mailbox auditing on by default:

メールボックスの種類Mailbox type サポートされているSupported サポートされていないNot supported
ユーザー メールボックスUser mailboxes チェック マーク
共有メールボックスShared mailboxes チェック マーク
Microsoft 365 グループメールボックスMicrosoft 365 Group mailboxes チェック マーク
リソース メールボックスResource mailboxes チェック マーク
パブリック フォルダー メールボックスPublic folder mailboxes チェック マーク

ログオンの種類とメールボックスの操作Logon types and mailbox actions

ログオンの種類は、監査対象のアクションを実行したユーザーをメールボックスに分類します。Logon types classify the user that did the audited actions on the mailbox. 次の一覧では、メールボックス監査ログで使用されるログオンの種類について説明します。The following list describes the logon types that are used in mailbox audit logging:

  • Owner: メールボックスの所有者 (メールボックスに関連付けられているアカウント)。Owner: The mailbox owner (the account that's associated with the mailbox).

  • デリゲート:Delegate:

    • 別のメールボックスへの SendAs、SendOnBehalf 人、または FullAccess のアクセス許可が割り当てられているユーザー。A user who's been assigned the SendAs, SendOnBehalf, or FullAccess permission to another mailbox.

    • ユーザーのメールボックスに対する FullAccess アクセス許可が割り当てられている管理者。An admin who's been assigned the FullAccess permission to a user's mailbox.

  • 管理者:Admin:

    • メールボックスは、次のいずれかの Microsoft eDiscovery ツールで検索されます。The mailbox is searched with one of the following Microsoft eDiscovery tools:

      • コンプライアンスセンターでのコンテンツ検索。Content Search in the Compliance center.

      • コンプライアンスセンターでの電子情報開示または高度な電子情報開示。eDiscovery or Advanced eDiscovery in the Compliance center.

      • Exchange Online の電子情報開示を In-Place します。In-Place eDiscovery in Exchange Online.

    • メールボックスは、Microsoft Exchange Server MAPI エディターを使用してアクセスします。The mailbox is accessed by using the Microsoft Exchange Server MAPI Editor.

ユーザーメールボックスと共有メールボックスのメールボックスアクションMailbox actions for user mailboxes and shared mailboxes

次の表では、ユーザーメールボックスと共有メールボックスのメールボックス監査ログで使用できるメールボックスアクションについて説明します。The following table describes the mailbox actions that are available in mailbox audit logging for user mailboxes and shared mailboxes.

  • チェック マーク (A check mark ( チェック マーク) メールボックスの操作をログオンの種類に対してログに記録できることを示します (すべてのログオンの種類で使用できるすべてのアクションがあるわけではありません)。) indicates the mailbox action can be logged for the logon type (not all actions are available for all logon types).

  • *チェックマークの後のアスタリスク () は、ログオンの種類に対して既定でメールボックスのアクションが記録されることを示します。An asterisk ( * ) after the check mark indicates the mailbox action is logged by default for the logon type.

  • メールボックスに対するフルアクセスのアクセス許可を持つ管理者は、代理人と見なされることに注意してください。Remember, an admin with Full Access permission to a mailbox is considered a delegate.

メールボックスアクションMailbox action 説明Description 管理者Admin 代理人Delegate 所有者Owner
AddFolderPermissionsAddFolderPermissions : この値はメールボックスアクションとして受け入れられますが、既に updatefolderpermissions アクションに含まれており、個別に監査されていません。Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. 言い換えると、この値は使用しないでください。In other words, don't use this value.
ApplyRecordApplyRecord アイテムには、レコードとしてラベルが付けられます。An item is labeled as a record. チェック マーク チェック マーク チェック マーク
コピーするCopy メッセージが別のフォルダーにコピーされました。A message was copied to another folder. チェック マーク
CreateCreate メールボックス内の予定表、連絡先、メモ、または仕事フォルダーにアイテムが作成されました (たとえば、新しい会議出席依頼が作成された場合)。An item was created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox (for example, a new meeting request is created). メッセージの作成、送信、または受信は監査されません。Creating, sending, or receiving a message isn't audited. また、メールボックス フォルダーの作成も監査されません。Also, creating a mailbox folder is not audited. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク
DefaultDefault チェック マーク チェック マーク チェック マーク
FolderBindFolderBind メールボックス フォルダーがアクセスされました。この操作は、管理者または委任されたユーザーがメールボックスを開いたときにも記録されます。A mailbox folder was accessed. This action is also logged when the admin or delegate opens the mailbox.

: 代理人によって実行されたフォルダーバインド操作の監査レコードは統合されます。Note: Audit records for folder bind actions performed by delegates are consolidated. 1つの監査レコードは、24時間内に個々のフォルダーへのアクセスに対して生成されます。One audit record is generated for individual folder access within a 24-hour period.
チェック マーク チェック マーク
HardDeleteHardDelete メッセージが [回復可能なアイテム] フォルダーから削除されました。A message was purged from the Recoverable Items folder. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク*Check mark*
MailItemsAccessedMailItemsAccessed メールデータは、メールプロトコルおよびクライアントによってアクセスされます。Mail data is accessed by mail protocols and clients. この値は、E5 または E5 コンプライアンスアドオンのサブスクリプションユーザーに対してのみ使用できます。This value is only available for E5 or E5 Compliance add-on subscription users. 詳細については、「 調査のための重要なイベントへのアクセス」を参照してください。For details, see Access to crucial events for investigations. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク*Check mark*
MailboxLoginMailboxLogin ユーザーが自分のメールボックスにサインインしている。The user signed into their mailbox. チェック マーク
MessageBindMessageBind メッセージがプレビューウィンドウで表示されるか、管理者によって開かれた。 : この値はメールボックスアクションとして受け入れられますが、これらのアクションはログに記録されなくなります。A message was viewed in the preview pane or opened by an admin. Note: Although this value is accepted as a mailbox action, these actions are no longer logged. チェック マーク
ModifyFolderPermissionsModifyFolderPermissions : この値はメールボックスアクションとして受け入れられますが、既に updatefolderpermissions アクションに含まれており、個別に監査されていません。Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. 言い換えると、この値は使用しないでください。In other words, don't use this value.
移動するMove メッセージが別のフォルダーに移動されました。A message was moved to another folder. チェック マーク チェック マーク チェック マーク
MoveToDeletedItemsMoveToDeletedItems メッセージが削除され、[削除済みアイテム] フォルダーに移動されました。A message was deleted and moved to the Deleted Items folder. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク*Check mark*
RecordDeleteRecordDelete レコードとしてラベル付けされたアイテムは、回復可能な削除 (回復可能なアイテムフォルダーに移動) されました。An item that's labeled as a record was soft-deleted (moved to the Recoverable Items folder). レコードとしてラベル付けされたアイテムを完全に削除することはできません (回復可能なアイテムフォルダーから削除されます)。Items labeled as records can't be permanently deleted (purged from the Recoverable Items folder). チェック マーク チェック マーク チェック マーク
RemoveFolderPermissionsRemoveFolderPermissions : この値はメールボックスアクションとして受け入れられますが、既に updatefolderpermissions アクションに含まれており、個別に監査されていません。Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. 言い換えると、この値は使用しないでください。In other words, don't use this value.
SendAsSendAs SendAs アクセス許可を使用してメッセージが送信されました (他のユーザーがこのメールボックスの所有者を装ってメッセージを送信しました)。A message was sent using the SendAs permission. This means another user sent the message as though it came from the mailbox owner. チェック マーク*Check mark* チェック マーク*Check mark*
SendOnBehalfSendOnBehalf SendOnBehalf アクセス許可を使用してメッセージが送信されました (他のユーザーがこのメールボックスの所有者の代理人としてメッセージを送信しました)。この場合は、メッセージの名目上の送信者と実際の送信者が受信者に示されます。A message was sent using the SendOnBehalf permission. This means another user sent the message on behalf of the mailbox owner. The message indicates to the recipient who the message was sent on behalf of and who actually sent the message. チェック マーク*Check mark* チェック マーク*Check mark*
SoftDeleteSoftDelete メッセージが完全に削除された、つまり [削除済みアイテム] フォルダーから削除されました。削除済み (回復可能) アイテムは、回復可能なアイテム フォルダーに移動されます。A message was permanently deleted or deleted from the Deleted Items folder. Soft-deleted items are moved to the Recoverable Items folder. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク*Check mark*
UpdateUpdate メッセージまたはそのプロパティが変更されました。A message or its properties was changed. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク*Check mark*
UpdateCalendarDelegationUpdateCalendarDelegation メールボックスに予定表の委任が割り当てられました。予定表の委任により、同じ組織の他のユーザーに、メールボックス所有者の予定表を管理する権限が付与されます。A calendar delegation was assigned to a mailbox. Calendar delegation gives someone else in the same organization permissions to manage the mailbox owner's calendar. チェック マーク*Check mark* チェック マーク*Check mark*
UpdateComplianceTagUpdateComplianceTag メールアイテムに別の保持ラベルが適用されます (アイテムには、1つの保持ラベルが割り当てられている場合があります)。A different retention label is applied to a mail item (an item can only have one retention label assigned to it). チェック マーク チェック マーク チェック マーク
UpdateFolderPermissionsUpdateFolderPermissions フォルダーのアクセス許可が変更されました。A folder permission was changed. フォルダーのアクセス許可では、メールボックス内のフォルダーとそれらのフォルダーに格納されているメッセージにアクセスできる組織内のユーザーを制限します。Folder permissions control which users in your organization can access folders in a mailbox and the messages located in those folders. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク*Check mark*
UpdateInboxRulesUpdateInboxRules 受信トレイルールが追加、削除、または変更されました。An inbox rule was added, removed, or changed. 受信トレイルールは、指定された条件に基づいてユーザーの受信トレイ内のメッセージを処理し、指定されたフォルダーにメッセージを移動したり、メッセージを削除したりするなど、ルールの条件が満たされたときにアクションを実行するために使用されます。Inbox rules are used to process messages in the user's Inbox based on the specified conditions and take actions when the conditions of a rule are met, such as moving a message to a specified folder or deleting a message. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク*Check mark*

重要

組織内で既定でオンになっているメールボックスの監査を有効にする に、任意のログオンの種類を監査するようにメールボックスのアクションをカスタマイズした場合、カスタマイズした設定はメールボックスに保持され、このセクションで説明するように、既定のメールボックスアクションによって上書きされません。If you customized the mailbox actions to audit for any logon type before mailbox auditing on by default was enabled in your organization, the customized settings are preserved on the mailbox and aren't overwritten by the default mailbox actions as described in this section. 監査メールボックスアクションを既定値に戻すには (いつでも可能)、このトピックで後述する「 既定のメールボックスアクションを復元 する」セクションを参照してください。To revert the audit mailbox actions to their default values (which you can do at any time), see the Restore the default mailbox actions section later in this topic.

Microsoft 365 のグループメールボックスのアクションMailbox actions for Microsoft 365 Group mailboxes

既定でのメールボックス監査メールボックス監査ログを Microsoft 365 グループメールボックスに取り込みますが、ログ記録される内容をカスタマイズすることはできません (任意のログオンの種類に対して記録されるメールボックスアクションを追加または削除することはできません)。Mailbox auditing on by default brings mailbox audit logging to Microsoft 365 Group mailboxes, but you can't customize what's being logged (you can't add or remove mailbox actions that are logged for any logon type).

次の表では、既定でログに記録されるメールボックスの操作について、各ログオンの種類の Microsoft 365 グループメールボックスについて説明します。The following table describes the mailbox actions that are logged by default on Microsoft 365 Group mailboxes for each logon type.

Microsoft 365 グループメールボックスに対するフルアクセスのアクセス許可を持つ管理者は、代理人と見なされることに注意してください。Remember, an admin with Full Access permission to an Microsoft 365 Group mailbox is considered a delegate.

メールボックスアクションMailbox action 説明Description 管理者Admin 代理人Delegate 所有者Owner
CreateCreate 予定表アイテムの作成。Creation of a calendar Item. メッセージの作成、送信、または受信は監査されません。Creating, sending, or receiving a message isn't audited. チェック マーク*Check mark* チェック マーク*Check mark*
HardDeleteHardDelete メッセージが [回復可能なアイテム] フォルダーから削除されました。A message was purged from the Recoverable Items folder. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク*Check mark*
MoveToDeletedItemsMoveToDeletedItems メッセージが削除され、[削除済みアイテム] フォルダーに移動されました。A message was deleted and moved to the Deleted Items folder. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク*Check mark*
SendAsSendAs SendAs アクセス許可を使用してメッセージが送信されました。A message was sent using the SendAs permission. チェック マーク*Check mark* チェック マーク*Check mark*
SendOnBehalfSendOnBehalf SendOnBehalf アクセス許可を使用してメッセージが送信されました。A message was sent using the SendOnBehalf permission. チェック マーク*Check mark* チェック マーク*Check mark*
SoftDeleteSoftDelete メッセージが完全に削除された、つまり [削除済みアイテム] フォルダーから削除されました。削除済み (回復可能) アイテムは、回復可能なアイテム フォルダーに移動されます。A message was permanently deleted or deleted from the Deleted Items folder. Soft-deleted items are moved to the Recoverable Items folder. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク*Check mark*
UpdateUpdate メッセージまたはそのプロパティが変更されました。A message or its properties was changed. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク*Check mark*

ログオンの種類ごとに既定のメールボックスアクションがログに記録されていることを確認するVerify that default mailbox actions are being logged for each logon type

既定でのメールボックスの監査すべてのメールボックスに新しい Defaultauditset プロパティを追加します。Mailbox auditing on by defaults adds a new DefaultAuditSet property to all mailboxes. このプロパティの値は、メールボックスの既定のメールボックスの操作 (Microsoft が管理する) が監査されているかどうかを示します。The value of this property indicates whether the default mailbox actions (managed by Microsoft) are being audited on the mailbox.

ユーザーメールボックスまたは共有メールボックスに値を表示するには、 <MailboxIdentity> メールボックスの名前、エイリアス、電子メールアドレス、またはユーザープリンシパル名 (username) に置き換えて、Exchange Online PowerShell で次のコマンドを実行します。To display the value on user mailboxes or shared mailboxes, replace <MailboxIdentity> with the name, alias, email address, or user principal name (username) of the mailbox and run the following command in Exchange Online PowerShell:

Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet

Microsoft 365 グループメールボックスの値を表示するには、を <MailboxIdentity> 共有メールボックスの名前、エイリアス、または電子メールアドレスに置き換えて、Exchange Online PowerShell で次のコマンドを実行します。To display the value on Microsoft 365 group mailboxes, replace <MailboxIdentity> with the name, alias, or email address of the shared mailbox and run the following command in Exchange Online PowerShell:

Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet

値は Admin, Delegate, Owner 次の値を示します。The value Admin, Delegate, Owner indicates:

  • 3つのすべてのログオンの種類に対する既定のメールボックスアクションが監査されます。The default mailbox actions for all three logon types are being audited. これは、Microsoft 365 グループメールボックスに表示される唯一の値です。This is the only value you'll see on Microsoft 365 Group mailboxes.

  • 管理者は、ユーザーのメールボックスまたは共有メールボックスのすべてのログオンの種類について、監査されたメールボックスの操作を変更し ていませんAn admin has not changed the audited mailbox actions for any logon type on a user mailbox or a shared mailbox. 注これは、既定でオンになっているメールボックスの監査後の既定の状態が組織内で最初に有効になっていることを示しています。Note this is the default state after mailbox auditing on by default is initially turned on in your organization.

管理者が、ログオンの種類に対して監査されるメールボックスの操作 ( Auditadminauditadmin、または AuditOwner コマンドレットのパラメーター を使用して) を変更した場合、プロパティ値は異なります。If an admin has ever changed the mailbox actions that are audited for a logon type (by using the AuditAdmin, AuditDelegate, or AuditOwner parameters on the Set-Mailbox cmdlet), the property value will be different.

たとえば、 Owner ユーザーメールボックスまたは共有メールボックスの Defaultauditset プロパティの値は次のように示されます。For example, the value Owner for the DefaultAuditSet property on a user mailbox or shared mailbox indicates:

  • メールボックスの所有者に対する既定のメールボックスアクションが監査されている。The default mailbox actions for the mailbox owner are being audited.

  • およびログオンの種類に対して監査されたメールボックスアクション Delegate Admin が既定のアクションから変更されました。The audited mailbox actions for the Delegate and Admin logon types have been changed from the default actions.

Defaultauditsetプロパティの空白値は、ユーザーのメールボックスまたは共有メールボックスで3種類のすべてのログオンの種類に対するメールボックスの操作が変更されたことを示します。A blank value for the DefaultAuditSet property indicates the mailbox actions for all three logon types have been changed on the user mailbox or a shared mailbox.

詳細については、このトピックの「 既定でログメールボックスのアクションを変更または復元 する」セクションを参照してください。For more information, see the Change or restore mailbox actions logged by default section in this topic

メールボックスにログオンしているメールボックスのアクションを表示するDisplay the mailbox actions that are being logged on mailboxes

ユーザーのメールボックスまたは共有メールボックスに現在ログオンしているメールボックスの操作を表示するには、 <MailboxIdentity> メールボックスの名前、エイリアス、電子メールアドレス、またはユーザープリンシパル名 (ユーザー名) に置き換えて、Exchange Online PowerShell で次のコマンドを1つ以上実行します。To see the mailbox actions that are currently being logged on user mailboxes or shared mailboxes, replace <MailboxIdentity> with the name, alias, email address, or user principal name (username) of the mailbox, and run one or more of the following commands in Exchange Online PowerShell.

注意

-GroupMailboxMicrosoft 365 グループメールボックスの次の取得メールボックスコマンドにスイッチを追加することはできますが、返される値は信じられません。Although you can add the -GroupMailbox switch to the following Get-Mailbox commands for Microsoft 365 Group mailboxes, don't believe the values that are returned. Microsoft 365 グループメールボックスに関して監査される既定および静的メールボックスのアクションについては、このトピックで前述した「 microsoft 365 グループメールボックスのメールボックスアクション 」セクションを参照してください。The default and static mailbox actions that are audited for Microsoft 365 Group mailboxes are described in the Mailbox actions for Microsoft 365 Group mailboxes section earlier in this topic.

所有者のアクションOwner actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner

デリゲートアクションDelegate actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate

管理者アクションAdmin actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin

既定でログに記録されるメールボックスアクションを変更または復元するChange or restore mailbox actions logged by default

前述のように、既定でメールボックス監査をオンにすることの主な利点の1つとして、監査対象のメールボックスアクションを管理する必要はありません。As previously explained, one of the key benefits of having mailbox auditing on by default is: you don't need to manage the mailboxes actions that are audited. Microsoft は、これをユーザーに対して自動的に追加し、リリースされたときに既定で監査される新しいメールボックスアクションを自動的に追加します。Microsoft does this for you and we'll automatically add new mailbox actions to be audited by default as they're released.

ただし、組織では、ユーザーメールボックスと共有メールボックスのメールボックスアクションの異なるセットを監査する必要がある場合があります。However, your organization might be required to audit a different set of mailbox actions for user mailboxes and shared mailboxes. このセクションの手順では、各ログオンの種類に対して監査されるメールボックスの操作を変更する方法と、Microsoft が管理する既定のアクションに戻す方法について説明します。The procedures in this section show you how to change the mailbox actions that are audited for each logon type, and how to revert back to the Microsoft-managed default actions.

重要

次の手順を使用して、ユーザーのメールボックスまたは共有メールボックスにログオンしたメールボックスの操作をカスタマイズすると、Microsoft によってリリースされた新しい既定のメールボックスのアクションは、それらのメールボックスで自動的には監査されません。If you use the following procedures to customize the mailbox actions that are logged on user mailboxes or shared mailboxes, any new default mailbox actions released by Microsoft will not be automatically audited on those mailboxes. カスタマイズしたアクションのリストに、新しいメールボックスアクションを手動で追加する必要があります。You'll need to manually add any new mailbox actions to your customized list of actions.

メールボックスのアクションを監査に変更するChange the mailbox actions to audit

ユーザーメールボックスと共有メールボックスに対して監査されるメールボックスの操作を変更するには、AuditOwner コマンドレットauditadminAuditadmin、またはAuditOwnerパラメーターを使用します (Microsoft 365 の監査されたアクションはカスタマイズできません)。You can use the AuditAdmin, AuditDelegate, or AuditOwner parameters on the Set-Mailbox cmdlet to change the mailbox actions that are audited for user mailboxes and shared mailboxes (audited actions for Microsoft 365 group mailboxes can't be customized).

メールボックスのアクションを指定するには、2つの異なる方法を使用できます。You can use two different methods to specify the mailbox actions:

  • 次の構文を使用して、既存のメールボックスアクションを置換(上書き) し action1,action2,...actionN ます。Replace (overwrite) the existing mailbox actions by using this syntax: action1,action2,...actionN.

  • この構文を使用して、他の既存の値に影響を与えずに、メールボックスアクションを追加または削除 @{Add="action1","action2",..."actionN"} します。または @{Remove="action1","action2",..."actionN"}Add or remove mailbox actions without affecting other existing values by using this syntax: @{Add="action1","action2",..."actionN"} or @{Remove="action1","action2",..."actionN"}.

この例では、"Gabriela Laureano" という名前のメールボックスの管理メールボックスのアクションを変更します。これにより、既定の操作を SoftDelete およびハード Delete で上書きします。This example changes the admin mailbox actions for the mailbox named "Gabriela Laureano" by overwriting the default actions with SoftDelete and HardDelete.

Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete

この例では、MailboxLogin owner アクションをメールボックス laura@contoso.onmicrosoft.com に追加します。This example adds the MailboxLogin owner action to the mailbox laura@contoso.onmicrosoft.com.

Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}

この例では、チームディスカッションメールボックスの MoveToDeletedItems delegate アクションを削除します。This example removes the MoveToDeletedItems delegate action for the Team Discussion mailbox.

Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}

使用する方法に関係なく、ユーザーのメールボックスまたは共有メールボックスで監査されたメールボックスの操作をカスタマイズすると、次の結果が得られます。Regardless of the method you use, customizing the audited mailbox actions on user mailboxes or shared mailboxes has the following results:

  • カスタマイズしたログオンの種類については、監査されたメールボックスの操作が Microsoft によって管理されなくなりました。For the logon type that you customized, the audited mailbox actions are no longer managed by Microsoft.

  • カスタマイズしたログオンの種類は、前述したように、メールボックスのdefaultauditsetプロパティ値に表示されなくなりました。The logon type that you customized is no longer displayed in the DefaultAuditSet property value for the mailbox as previously described.

既定のメールボックスアクションを復元するRestore the default mailbox actions

ユーザーメールボックスまたは共有メールボックスで監査されるメールボックスの操作をカスタマイズした場合は、次の構文を使用して、1つまたはすべてのログオンの種類に対する既定のメールボックスアクションを復元できます。If you customized the mailbox actions that are audited on a user mailbox or a shared mailbox, you can restore the default mailbox actions for one or all logon types by using this syntax:

Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>

複数の Defaultauditset 値をコンマで区切って指定できます。You can specify multiple DefaultAuditSet values separated by commas

: 以下の手順は、Microsoft 365 グループメールボックスには適用されません ( ここで説明している既定の操作に制限されます)。Note: The following procedures don't apply to Microsoft 365 Group mailboxes (they're limited to the default actions as described here).

この例では、メールボックス mark@contoso.onmicrosoft.com 上のすべてのログオンの種類について、既定の監査済みメールボックスアクションを復元します。This example restores the default audited mailbox actions for all logon types on the mailbox mark@contoso.onmicrosoft.com.

Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner

この例では、メールボックス chris@contoso.onmicrosoft.com の管理者のログオンの種類に対する既定の監査済みメールボックスアクションを復元します。ただし、委任および所有者のログオンの種類に対してカスタマイズされた監査メールボックスアクションを残します。This example restores the default audited mailbox actions for the Admin logon type on the mailbox chris@contoso.onmicrosoft.com, but leaves the customized audited mailbox actions for the Delegate and Owner logon types.

Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin

既定の監査済みメールボックスのログオンの種類のアクションには、次のような結果があります。Restoring he default audited mailbox actions for a logon type has the following results:

  • メールボックスアクションの現在のリストは、ログオンの種類に対する既定のメールボックスアクションに置き換えられます。The current list of mailbox actions is replaced with the default mailbox actions for the logon type.

  • Microsoft によってリリースされた新しいメールボックスのアクションは、そのログオンの種類に対する監査対象のアクションの一覧に自動的に追加されます。Any new mailbox actions that are released by Microsoft are automatically added to the list of audited actions for the logon type.

  • メールボックスの Defaultauditset プロパティの値は、復元されたログオンの種類を含むように更新されます。The DefaultAuditSet property value for the mailbox is updated to include the restored logon type.

組織に対して既定でメールボックスの監査を無効にするTurn off mailbox auditing on by default for your organization

Exchange Online PowerShell で次のコマンドを実行することによって、組織全体のメールボックスの監査を既定で無効にすることができます。You can turn off mailbox auditing on by default for your entire organization by running the following command in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $true

既定でメールボックス監査を無効にすると、次の結果が得られます。Turning off mailbox auditing on by default has the following results:

  • 組織のメールボックスの監査が無効になっています。Mailbox auditing is disabled for your organization.

  • 既定では、メールボックスの監査を無効にしたときに、メールボックスの監査が有効になっている場合でも、メールボックスの操作は監査されません (メールボックスの Auditenabled プロパティが Trueに設定されている場合)。From the time you disabled mailbox auditing on by default, no mailbox actions are audited, even if auditing is enabled on a mailbox (the AuditEnabled property on the mailbox is True).

  • 新しいメールボックスに対してメールボックスの監査が有効になっておらず、新規または既存のメールボックスの Auditenabled プロパティが True に設定されている場合は無視されます。Mailbox auditing is not enabled for new mailboxes and setting the AuditEnabled property on a new or existing mailbox to True will be ignored.

  • メールボックス監査バイパスの関連付け設定 ( set-mailboxauditbypassassociation コマンドレットを使用して構成) は無視されます。Any mailbox audit bypass association settings (configured by using the Set-MailboxAuditBypassAssociation cmdlet) are ignored.

  • 既存のメールボックス監査レコードは、レコードの監査ログの有効期限が切れるまで保持されます。Existing mailbox audit records are retained until the audit log age limit for the record expires.

既定でメールボックス監査をオンにするTurn on mailbox auditing on by default

組織のメールボックスの監査を再び有効にするには、Exchange Online PowerShell で次のコマンドを実行します。To turn mailbox auditing back on for your organization, run the following command in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $false

メールボックス監査ログをバイパスするBypass mailbox audit logging

現時点では、既定によるメールボックス監査の有効化が組織でオンになっている場合は、特定のメールボックスでメールボックス監査を無効にできません。Currently, you can't disable mailbox auditing for specific mailboxes when mailbox auditing on by default is turned on in your organization. たとえば、 Auditenabled mailbox プロパティを False に設定することは無視されます。For example, setting the AuditEnabled mailbox property to False is ignored.

ただし、Exchange Online PowerShell で set-mailboxauditbypassassociation コマンドレットを使用して、アクションが発生した場所に関係なく、指定されたユーザーによる すべて のメールボックスの操作をログに記録しないようにすることができます。However, you can still use the Set-MailboxAuditBypassAssociation cmdlet in Exchange Online PowerShell to prevent any and all mailbox actions by the specified users from being logged, regardless where the actions occur. 次に、例を示します。For example:

  • バイパスユーザーが実行したメールボックスの所有者のアクションは記録されません。Mailbox owner actions performed by the bypassed users aren't logged.

  • 他のユーザーのメールボックス (共有メールボックスを含む) で、バイパスされたユーザーによって実行される代理アクションは記録されません。Delegate actions performed by the bypassed users on other users' mailboxes (including shared mailboxes) aren't logged.

  • バイパスユーザーによって実行された管理操作は記録されません。Admin actions performed by the bypassed users aren't logged.

特定のユーザーのメールボックス監査ログをバイパスするには、を <MailboxIdentity> ユーザーの名前、メールアドレス、エイリアス、またはユーザープリンシパル名 (username) に置き換えて、次のコマンドを実行します。To bypass mailbox audit logging for a specific user, replace <MailboxIdentity> with the name, email address, alias, or user principal name (username) of the user and run the following command:

Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true

特定のユーザーについて監査がバイパスされていることを確認するには、次のコマンドを実行します。To verify that auditing is bypassed for the specified user, run the following command:

Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled

True は、ユーザーのメールボックス監査ログがバイパスされることを示します。The value True indicates that mailbox audit logging is bypassed for the user.

詳細More information

  • 既定では、すべての組織に対してメールボックス監査ログ記録が有効になっていますが、E5 ライセンスを持つユーザーのみが 、セキュリティ & コンプライアンスセンター または Office 365 Management Activity APIを使用し て既定で、メールボックス監査ログイベントを返すことができます。Although mailbox audit logging on by default is enabled for all organizations, only users with E5 licenses will return mailbox audit log events in audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API by default.

    E5 ライセンスを持たないユーザーのメールボックス監査ログエントリを取得するには、次のことを行います。To retrieve mailbox audit log entries for users without E5 licenses, you can:

    • 個別のメールボックスでメールボックス監査を手動で有効にします (コマンドを実行し Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true ます)。Manually enable mailbox auditing on individual mailboxes (run the command, Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true). その後、セキュリティ & コンプライアンスセンターで、または Office 365 Management Activity API を介して監査ログの検索を使用できます。After you do this, you can use audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API.

      注意

      メールボックスの監査が既に有効になっていて、検索結果が返されなかった場合は、 Auditenabled パラメーターの値をに変更して $false からに戻し $true ます。If mailbox auditing already appears to be enabled on the mailbox, but your searches return no results, change the value of the AuditEnabled parameter to $false and then back to $true.

    • Exchange Online PowerShell で次のコマンドレットを使用します。Use the following cmdlets in Exchange Online PowerShell:

      • 「Search-mailboxauditlog を使用して、特定のユーザーのメールボックス監査ログを検索します。Search-MailboxAuditLog to search the mailbox audit log for specific users.

      • 「New-mailboxauditlogsearch」 を使用して、特定のユーザーのメールボックス監査ログを検索し、結果を指定された受信者に電子メール経由で送信します。New-MailboxAuditLogSearch to search the mailbox audit log for specific users and to have the results sent via email to specified recipients.

    • Exchange Online の Exchange 管理センター (EAC) を使用して、次の操作を行います。Use the Exchange admin center (EAC) in Exchange Online to do the following actions:

  • 既定では、メールボックス監査ログレコードは、削除されるまでは90日間保持されます。By default, mailbox audit log records are retained for 90 days before they're deleted. 監査ログレコードの有効期限を変更するには、Exchange Online PowerShell のメールボックスの設定コマンドレットで、 auditlogagelimitパラメーターを使用します。You can change the age limit for audit log records by using the AuditLogAgeLimit parameter on the Set-Mailbox cmdlet in Exchange Online PowerShell. ただし、この値を大きくすると、監査ログで90日より前のイベントを検索することはできません。However, increasing this value doesn't allow you to search for events that are older than 90 days in the audit log.

    保存期間を延長した場合は、Exchange Online PowerShell で 「search-mailboxauditlog コマンドレットを使用して、ユーザーのメールボックス監査ログで90日より前のレコードを検索する必要があります。If you increase the age limit, you need to use the Search-MailboxAuditLog cmdlet in Exchange Online PowerShell to search the user's mailbox audit log for records that are older than 90 days.

  • メールボックスの監査を有効にする前にメールボックスの Auditlogagelimit プロパティを変更した場合、既定では、組織では、メールボックスの既存の監査ログの有効期限は変更されません。If you've changed the AuditLogAgeLimit property for a mailbox prior to mailbox auditing on by default being turned on for organization, the mailbox's existing audit log age limit isn't changed. 言い換えると、既定でオンになっているメールボックス監査は、メールボックス監査レコードの現在の保存期間制限に影響しません。In other words, mailbox auditing on by default doesn't affect the current age limit for mailbox audit records.

  • Microsoft 365 グループメールボックスの Auditlogagelimit 値を変更するには、このスイッチを -GroupMailbox mailbox コマンドに含める必要があります。To change the AuditLogAgeLimit value on an Microsoft 365 Group mailbox, you need to include the -GroupMailbox switch in the Set-Mailbox command.

  • メールボックス監査ログレコードは、各ユーザーのメールボックスの [回復可能なアイテム] フォルダーにあるサブフォルダー ( 監査という名前) に格納されます。Mailbox audit log records are stored in a subfolder (named Audits) in the Recoverable Items folder in each user's mailbox. メールボックス監査レコードと回復可能なアイテムフォルダーについては、次の点に注意してください。Keep the following things in mind about mailbox audit records and the Recoverable Items folder:

    • メールボックス監査レコードは、回復可能なアイテムフォルダーの記憶域のクォータに対してカウントされます。これは既定で30GB ます (警告クォータは 20 GB です)。Mailbox audit records count against the storage quota of the Recoverable Items folder, which is 30GB by default (the warning quota is 20 GB). ストレージクォータは、次の場合に自動的に 100 GB に増加します (90 GB の警告クォータがあります)。The storage quota is automatically increased to 100 GB (with a 90 GB warning quota) when:

      • メールボックスにホールドが適用されます。A hold is placed on a mailbox.

      • メールボックスは、コンプライアンスセンターのアイテム保持ポリシーに割り当てられます。The mailbox is assigned to a retention policy in the Compliance Center.

    • メールボックス監査レコードは 、回復可能なアイテムフォルダーのフォルダー制限にもカウントされます。Mailbox audit records also count against the folder limit for the Recoverable Items folder. 監査サブフォルダーには、最大300万個のアイテム (監査レコード) を格納できます。A maximum of 3 million items (audit records) can be stored in the Audits subfolder.

      注意

      既定では、メールボックスの監査が、回復可能なアイテムフォルダーの記憶域のクォータまたはフォルダーの制限に影響を与える可能性はほとんどありません。It's unlikely that mailbox auditing on by default will impact the storage quota or the folder limit for the Recoverable Items folder.

      • Exchange Online の PowerShell で次のコマンドを実行すると、回復可能なアイテムフォルダーの監査サブフォルダー内のアイテムのサイズと数を表示できます。You can run the following command in Exchange Online PowerShell to display the size and number of items in the Audits subfolder in the Recoverable Items folder:

        Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder
        
      • [回復可能なアイテム] フォルダー内の監査ログレコードに直接アクセスすることはできません。代わりに、 「search-mailboxauditlog コマンドレットを使用するか、監査ログを検索して、メールボックス監査レコードを検索して表示します。You can't directly access an audit log record in the Recoverable Items folder; instead, you use the Search-MailboxAuditLog cmdlet or search the audit log to find and view mailbox audit records.

  • メールボックスが保留になっている場合、またはコンプライアンスセンターでアイテム保持ポリシーに割り当てられている場合、メールボックスの Auditlogagelimit プロパティによって定義されている期間 (既定では90日間) の監査ログレコードが引き続き保持されます。If a mailbox is placed on hold or assigned to a retention policy in the Compliance Center, audit log records are still retained for the duration that's defined by the mailbox's AuditLogAgeLimit property (90 days by default). 保留中のメールボックスの監査ログレコードを長期間保持するには、メールボックスの Auditlogagelimit の値を増やす必要があります。To retain audit log records longer for mailboxes on hold, you need to increase mailbox's AuditLogAgeLimit value.

  • 複数地域環境では、複数地域のメールボックスの監査はサポートされていません。In a multi-geo environment, cross-geo mailbox auditing is not supported. たとえば、異なる地理的位置にある共有メールボックスにアクセスする権限がユーザーに割り当てられている場合、そのユーザーが実行したメールボックス操作は、共有メールボックスのメールボックス監査ログに記録されません。For example, if a user is assigned permissions to access a shared mailbox in a different geo location, mailbox actions performed by that user are not logged in the mailbox audit log of the shared mailbox.