メールボックスの監査を管理するManage mailbox auditing

2019 年 1 月から、Microsoft は、すべての組織のメールボックス監査ログを既定で有効にしています。Starting in January 2019, Microsoft is turning on mailbox audit logging by default for all organizations. つまり、メールボックスの所有者、代理人、管理者が実行した特定の操作は自動的にログに記録され、メールボックス監査ログでメールボックス監査レコードを検索すると、対応するメールボックス監査レコードを使用できます。This means that certain actions performed by mailbox owners, delegates, and admins are automatically logged, and the corresponding mailbox audit records will be available when you search for them in the mailbox audit log. メールボックス監査が既定で有効にされる前は、組織内のすべてのユーザー メールボックスに対して手動で有効にする必要があります。Before mailbox auditing was turned on by default, you had to manually enable it for every user mailbox in your organization.

メールボックス監査の既定の利点を次に示します。Here are some benefits of mailbox auditing on by default:

  • 新しいメールボックスを作成すると、監査が自動的に有効になります。Auditing is automatically enabled when you create a new mailbox. 新しいユーザーに対して手動で有効にする必要はありません。You don't need to manually enable it for new users.

  • 監査されるメールボックスアクションを管理する必要はない。You don't need to manage the mailbox actions that are audited. 定義済みのメールボックスアクションのセットは、ログオンの種類 (管理者、代理人、所有者) ごとに既定で監査されます。A predefined set of mailbox actions are audited by default for each logon type (Admin, Delegate, and Owner).

  • Microsoft が新しいメールボックス アクションをリリースすると、既定で監査されるメールボックスアクションの一覧にアクションが自動的に追加される場合があります (適切なライセンスを持つユーザーが対象となります)。When Microsoft releases a new mailbox action, the action might be automatically added to the list of mailbox actions that are audited by default (subject to the user having the appropriate license). つまり、メールボックスに対する新しいアクションの追加を監視する必要がなされません。This means you don't need to monitor add new actions on mailboxes.

  • 組織全体で一貫したメールボックス監査ポリシーを使用している (すべてのメールボックスに対して同じアクションを監査しているから)。You have a consistent mailbox auditing policy across your organization (because you're auditing the same actions for all mailboxes).

注意

  • 既定でメールボックス監査がリリースされた場合に覚えておく必要がある重要な点は、メールボックス監査を管理するために何もする必要はありません。The important thing to remember about the release of mailbox auditing on by default is: you don't need to do anything to manage mailbox auditing. ただし、詳細については、既定の設定からメールボックス監査をカスタマイズするか、完全にオフにしてください。このトピックは役立ちます。However, to learn more, customize mailbox auditing from the default settings, or turn it off altogether, this topic can help you.
  • 既定では、E5 ユーザーのメールボックス監査イベントのみを、セキュリティ & コンプライアンス センターまたは Office 365 管理アクティビティ API 経由で監査ログ検索で使用できます。By default, only mailbox audit events for E5 users are available in audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API. 詳細については、このトピックの「 詳細」 セクションを参照してください。For more information, see the More information section in this topic.

既定によるメールボックス監査の有効化がオンになっていることを確認するVerify mailbox auditing on by default is turned on

組織でメールボックス監査が既定で有効になっていることを確認するには 、Exchange Online PowerShellで次のコマンドを実行します。To verify that mailbox auditing on by default is turned on for your organization, run the following command in Exchange Online PowerShell:

Get-OrganizationConfig | Format-List AuditDisabled

False は、メールボックス監査が既定で組織に対して有効になっているかどうかを示します。The value False indicates that mailbox auditing on by default is enabled for the organization. これは、既定で組織の値が特定のメールボックスのメールボックス監査設定を上書きします。This on by default organizational value overrides the mailbox auditing setting on specific mailboxes. たとえば、メールボックスに対してメールボックス監査が無効になっている場合 (メールボックスの AuditEnabled プロパティが False の場合)、既定でメールボックス監査が組織に対して有効になっているため、メールボックスの既定のメールボックス操作は引き続き監査されます。For example, if mailbox auditing is disabled for a mailbox (the AuditEnabled property is False on the mailbox), the default mailbox actions will still be audited for the mailbox, because mailbox auditing on by default is enabled for the organization.

特定のメールボックスに対してメールボックス監査を無効に保つには、メールボックス所有者およびメールボックスへのアクセスを委任された他のユーザーに対してメールボックス監査バイパスを構成します。To keep mailbox auditing disabled for specific mailboxes, you configure mailbox auditing bypass for the mailbox owner and other users who have been delegated access to the mailbox. 詳細については、このトピックの「 メールボックス監査ログの バイパス」セクションを参照してください。For more information, see the Bypass mailbox audit logging section in this topic.

注意

組織でメールボックス監査が既定で有効になっている場合、影響を受けるメールボックスの AuditEnabled プロパティは False から True に変更 されませんWhen mailbox auditing on by default is turned on for the organization, the AuditEnabled property for affected mailboxes won't be changed from False to True. つまり、メールボックスの監査は既定でメールボックスの AuditEnabled プロパティを無視します。In other words, mailbox auditing on by default ignores the AuditEnabled property on mailboxes.

サポートされるメールボックスの種類Supported mailbox types

次の表に、既定でメールボックス監査で現在サポートされているメールボックスの種類を示します。The following table shows the mailbox types that are currently supported by mailbox auditing on by default:

メールボックスの種類Mailbox type サポートされているSupported サポートされていないNot supported
ユーザー メールボックスUser mailboxes チェック マーク
共有メールボックスShared mailboxes チェック マーク
Microsoft 365 グループ メールボックスMicrosoft 365 Group mailboxes チェック マーク
リソース メールボックスResource mailboxes チェック マーク
パブリック フォルダー メールボックスPublic folder mailboxes チェック マーク

ログオンの種類とメールボックスの操作Logon types and mailbox actions

ログオンの種類は、メールボックスで監査されたアクションを実行したユーザーを分類します。Logon types classify the user that did the audited actions on the mailbox. 次の一覧では、メールボックス監査ログで使用されるログオンの種類について説明します。The following list describes the logon types that are used in mailbox audit logging:

  • 所有者: メールボックスの所有者 (メールボックスに関連付けられているアカウント)。Owner: The mailbox owner (the account that's associated with the mailbox).

  • デリゲート:Delegate:

    • 別のメールボックスに対する SendAs、SendOnBehalf、または FullAccess のアクセス許可が割り当てられているユーザー。A user who's been assigned the SendAs, SendOnBehalf, or FullAccess permission to another mailbox.

    • ユーザーのメールボックスに対する FullAccess アクセス許可が割り当てられている管理者。An admin who's been assigned the FullAccess permission to a user's mailbox.

  • 管理者:Admin:

    • メールボックスは、次の Microsoft 電子情報開示ツールのいずれかを使用して検索されます。The mailbox is searched with one of the following Microsoft eDiscovery tools:

      • コンプライアンス センターのコンテンツ検索。Content Search in the Compliance center.

      • コンプライアンス センターの電子情報開示または Advanced eDiscovery。eDiscovery or Advanced eDiscovery in the Compliance center.

      • In-Place Exchange Online の電子情報開示。In-Place eDiscovery in Exchange Online.

    • メールボックスにアクセスするには、MAPI エディターのMicrosoft Exchange Server使用します。The mailbox is accessed by using the Microsoft Exchange Server MAPI Editor.

ユーザー メールボックスと共有メールボックスのメールボックスアクションMailbox actions for user mailboxes and shared mailboxes

次の表では、ユーザー メールボックスと共有メールボックスのメールボックス監査ログで使用できるメールボックスの操作について説明します。The following table describes the mailbox actions that are available in mailbox audit logging for user mailboxes and shared mailboxes.

  • チェック マーク (A check mark ( チェック マーク) は、ログオンの種類に対してメールボックスアクションをログに記録できる (すべての種類のログオンで使用可能なアクションではない) を示します。) indicates the mailbox action can be logged for the logon type (not all actions are available for all logon types).

  • チェック マークの後にアスタリスク ( ) が付いている場合は、ログオンの種類に対してメールボックスの操作が既定 * で記録されます。An asterisk ( * ) after the check mark indicates the mailbox action is logged by default for the logon type.

  • メールボックスへのフル アクセスのアクセス許可を持つ管理者は代理人と見なされます。Remember, an admin with Full Access permission to a mailbox is considered a delegate.

メールボックスの操作Mailbox action 説明Description 管理者Admin 代理人Delegate 所有者Owner
AddFolderPermissionsAddFolderPermissions : この値はメールボックス アクションとして受け入れ可能ですが 、UpdateFolderPermissions アクションには既に含まれており、個別に監査されません。Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. つまり、この値は使用しない必要があります。In other words, don't use this value.
ApplyRecordApplyRecord アイテムはレコードとしてラベル付けされます。An item is labeled as a record. チェック マーク チェック マーク チェック マーク
コピーするCopy メッセージが別のフォルダーにコピーされました。A message was copied to another folder. チェック マーク
CreateCreate メールボックスの予定表、連絡先、メモ、またはタスク フォルダーにアイテムが作成されました (たとえば、新しい会議出席依頼が作成されます)。An item was created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox (for example, a new meeting request is created). メッセージの作成、送信、または受信は監査されません。Creating, sending, or receiving a message isn't audited. また、メールボックス フォルダーの作成も監査されません。Also, creating a mailbox folder is not audited. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク
DefaultDefault チェック マーク チェック マーク チェック マーク
FolderBindFolderBind メールボックス フォルダーがアクセスされました。この操作は、管理者または委任されたユーザーがメールボックスを開いたときにも記録されます。A mailbox folder was accessed. This action is also logged when the admin or delegate opens the mailbox.

: 代理人によって実行されたフォルダー バインド操作の監査レコードは統合されます。Note: Audit records for folder bind actions performed by delegates are consolidated. 24 時間以内に個々のフォルダー アクセスに対して 1 つの監査レコードが生成されます。One audit record is generated for individual folder access within a 24-hour period.
チェック マーク チェック マーク
HardDeleteHardDelete メッセージが [回復可能なアイテム] フォルダーから削除されました。A message was purged from the Recoverable Items folder. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク*Check mark*
MailItemsAccessedMailItemsAccessed メール データには、メール プロトコルとクライアントがアクセスします。Mail data is accessed by mail protocols and clients. この値は、E5 または E5 コンプライアンス アドオン サブスクリプション のユーザーにのみ使用できます。This value is only available for E5 or E5 Compliance add-on subscription users. 詳細については、「調査のための 重要なイベントへのアクセス」を参照してくださいFor details, see Access to crucial events for investigations. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク*Check mark*
MailboxLoginMailboxLogin ユーザーが自分のメールボックスにサインインしました。The user signed into their mailbox. チェック マーク
MessageBindMessageBind メッセージがプレビュー ウィンドウで表示されたか、管理者によって開かされました。 : この値はメールボックスアクションとして受け入れらたが、これらのアクションはログに記録されなくなりました。A message was viewed in the preview pane or opened by an admin. Note: Although this value is accepted as a mailbox action, these actions are no longer logged. チェック マーク
ModifyFolderPermissionsModifyFolderPermissions : この値はメールボックス アクションとして受け入れ可能ですが 、UpdateFolderPermissions アクションには既に含まれており、個別に監査されません。Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. つまり、この値は使用しない必要があります。In other words, don't use this value.
移動するMove メッセージが別のフォルダーに移動されました。A message was moved to another folder. チェック マーク チェック マーク チェック マーク
MoveToDeletedItemsMoveToDeletedItems メッセージが削除され、[削除済みアイテム] フォルダーに移動されました。A message was deleted and moved to the Deleted Items folder. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク*Check mark*
RecordDeleteRecordDelete レコードとしてラベル付けされたアイテムが回復可能な削除によって削除された (回復可能なアイテム フォルダーに移動された)。An item that's labeled as a record was soft-deleted (moved to the Recoverable Items folder). レコードとしてラベル付けされたアイテムを完全に削除することはできません (回復可能なアイテム フォルダーから削除されます)。Items labeled as records can't be permanently deleted (purged from the Recoverable Items folder). チェック マーク チェック マーク チェック マーク
RemoveFolderPermissionsRemoveFolderPermissions : この値はメールボックス アクションとして受け入れ可能ですが 、UpdateFolderPermissions アクションには既に含まれており、個別に監査されません。Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. つまり、この値は使用しない必要があります。In other words, don't use this value.
SendSend ユーザーが電子メール メッセージを送信したり、電子メール メッセージに返信したり、電子メール メッセージを転送したりします。The user sends an email message, replies to an email message, or forwards an email message. この値は、E5 または E5 コンプライアンス アドオン サブスクリプション のユーザーにのみ使用できます。This value is only available for E5 or E5 Compliance add-on subscription users. 詳細については、「調査のための 重要なイベントへのアクセス」を参照してくださいFor details, see Access to crucial events for investigations. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク*Check mark*
SendAsSendAs SendAs アクセス許可を使用してメッセージが送信されました (他のユーザーがこのメールボックスの所有者を装ってメッセージを送信しました)。A message was sent using the SendAs permission. This means another user sent the message as though it came from the mailbox owner. チェック マーク*Check mark* チェック マーク*Check mark*
SendOnBehalfSendOnBehalf SendOnBehalf アクセス許可を使用してメッセージが送信されました (他のユーザーがこのメールボックスの所有者の代理人としてメッセージを送信しました)。この場合は、メッセージの名目上の送信者と実際の送信者が受信者に示されます。A message was sent using the SendOnBehalf permission. This means another user sent the message on behalf of the mailbox owner. The message indicates to the recipient who the message was sent on behalf of and who actually sent the message. チェック マーク*Check mark* チェック マーク*Check mark*
SoftDeleteSoftDelete メッセージが完全に削除された、つまり [削除済みアイテム] フォルダーから削除されました。削除済み (回復可能) アイテムは、回復可能なアイテム フォルダーに移動されます。A message was permanently deleted or deleted from the Deleted Items folder. Soft-deleted items are moved to the Recoverable Items folder. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク*Check mark*
UpdateUpdate メッセージまたはそのプロパティが変更されました。A message or its properties was changed. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク*Check mark*
UpdateCalendarDelegationUpdateCalendarDelegation メールボックスに予定表の委任が割り当てられました。予定表の委任により、同じ組織の他のユーザーに、メールボックス所有者の予定表を管理する権限が付与されます。A calendar delegation was assigned to a mailbox. Calendar delegation gives someone else in the same organization permissions to manage the mailbox owner's calendar. チェック マーク*Check mark* チェック マーク*Check mark*
UpdateComplianceTagUpdateComplianceTag 別の保持ラベルがメール アイテムに適用されます (アイテムに割り当て可能な保持ラベルは 1 つのみです)。A different retention label is applied to a mail item (an item can only have one retention label assigned to it). チェック マーク チェック マーク チェック マーク
UpdateFolderPermissionsUpdateFolderPermissions フォルダーのアクセス許可が変更されました。A folder permission was changed. フォルダーのアクセス許可では、メールボックス内のフォルダーとそれらのフォルダーに格納されているメッセージにアクセスできる組織内のユーザーを制限します。Folder permissions control which users in your organization can access folders in a mailbox and the messages located in those folders. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク*Check mark*
UpdateInboxRulesUpdateInboxRules 受信トレイ ルールが追加、削除、または変更されました。An inbox rule was added, removed, or changed. 受信トレイ ルールは、指定した条件に基づいてユーザーの受信トレイ内のメッセージを処理し、指定したフォルダーへのメッセージの移動やメッセージの削除など、ルールの条件が満たされた場合にアクションを実行するために使用されます。Inbox rules are used to process messages in the user's Inbox based on the specified conditions and take actions when the conditions of a rule are met, such as moving a message to a specified folder or deleting a message. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク*Check mark*

重要

組織で既定でメールボックス監査が有効にされる前に、ログオンの種類を監査するようにメールボックスの操作をカスタマイズした場合、カスタマイズされた設定はメールボックスに保持され、このセクションで説明するように既定のメールボックス操作によって上書きされることはありません。If you customized the mailbox actions to audit for any logon type before mailbox auditing on by default was enabled in your organization, the customized settings are preserved on the mailbox and aren't overwritten by the default mailbox actions as described in this section. 監査メールボックスの操作を既定値に戻すには (いつでも実行できます)、このトピックの「既定のメールボックス操作を復元する」セクションを参照してください。To revert the audit mailbox actions to their default values (which you can do at any time), see the Restore the default mailbox actions section later in this topic.

Microsoft 365 グループ メールボックスのメールボックスアクションMailbox actions for Microsoft 365 Group mailboxes

メールボックス監査は既定で Microsoft 365 グループメールボックスにメールボックス監査ログを表示しますが、記録される項目をカスタマイズすることはできません (ログオンの種類に対してログに記録されるメールボックス操作を追加または削除することはできません)。Mailbox auditing on by default brings mailbox audit logging to Microsoft 365 Group mailboxes, but you can't customize what's being logged (you can't add or remove mailbox actions that are logged for any logon type).

次の表では、ログオンの種類ごとに Microsoft 365 グループ のメールボックスに既定で記録されるメールボックスの操作について説明します。The following table describes the mailbox actions that are logged by default on Microsoft 365 Group mailboxes for each logon type.

Microsoft 365 グループ メールボックスへのフル アクセス許可を持つ管理者は代理人と見なされます。Remember, an admin with Full Access permission to a Microsoft 365 Group mailbox is considered a delegate.

メールボックスの操作Mailbox action 説明Description 管理者Admin 代理人Delegate 所有者Owner
CreateCreate 予定表アイテムの作成。Creation of a calendar Item. メッセージの作成、送信、または受信は監査されません。Creating, sending, or receiving a message isn't audited. チェック マーク*Check mark* チェック マーク*Check mark*
HardDeleteHardDelete メッセージが [回復可能なアイテム] フォルダーから削除されました。A message was purged from the Recoverable Items folder. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク*Check mark*
MoveToDeletedItemsMoveToDeletedItems メッセージが削除され、[削除済みアイテム] フォルダーに移動されました。A message was deleted and moved to the Deleted Items folder. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク*Check mark*
SendAsSendAs SendAs アクセス許可を使用してメッセージが送信されました。A message was sent using the SendAs permission. チェック マーク*Check mark* チェック マーク*Check mark*
SendOnBehalfSendOnBehalf SendOnBehalf アクセス許可を使用してメッセージが送信されました。A message was sent using the SendOnBehalf permission. チェック マーク*Check mark* チェック マーク*Check mark*
SoftDeleteSoftDelete メッセージが完全に削除された、つまり [削除済みアイテム] フォルダーから削除されました。削除済み (回復可能) アイテムは、回復可能なアイテム フォルダーに移動されます。A message was permanently deleted or deleted from the Deleted Items folder. Soft-deleted items are moved to the Recoverable Items folder. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク*Check mark*
UpdateUpdate メッセージまたはそのプロパティが変更されました。A message or its properties was changed. チェック マーク*Check mark* チェック マーク*Check mark* チェック マーク*Check mark*

ログオンの種類ごとに既定のメールボックス操作がログに記録されるのを確認するVerify that default mailbox actions are being logged for each logon type

既定では、メールボックス監査は新しい DefaultAuditSet プロパティをすべてのメールボックスに追加します。Mailbox auditing on by defaults adds a new DefaultAuditSet property to all mailboxes. このプロパティの値は、(Microsoft によって管理される) 既定のメールボックスアクションがメールボックスで監査されているかどうかを示します。The value of this property indicates whether the default mailbox actions (managed by Microsoft) are being audited on the mailbox.

ユーザー メールボックスまたは共有メールボックスの値を表示するには、メールボックスの名前、エイリアス、電子メール アドレス、またはユーザー プリンシパル名 (ユーザー名) に置き換え、Exchange Online PowerShell で次のコマンドを実行します <MailboxIdentity> 。To display the value on user mailboxes or shared mailboxes, replace <MailboxIdentity> with the name, alias, email address, or user principal name (username) of the mailbox and run the following command in Exchange Online PowerShell:

Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet

Microsoft 365 グループ メールボックスの値を表示するには、共有メールボックスの名前、エイリアス、または電子メール アドレスに置き換え、Exchange Online PowerShell で次のコマンドを <MailboxIdentity> 実行します。To display the value on Microsoft 365 group mailboxes, replace <MailboxIdentity> with the name, alias, or email address of the shared mailbox and run the following command in Exchange Online PowerShell:

Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet

値は Admin, Delegate, Owner 次を示します。The value Admin, Delegate, Owner indicates:

  • 3 種類すべてのログオンに対する既定のメールボックスアクションが監査されます。The default mailbox actions for all three logon types are being audited. これは、Microsoft 365 グループ メールボックスに表示される唯一の値です。This is the only value you'll see on Microsoft 365 Group mailboxes.

  • 管理者は 、ユーザー メールボックスまたは共有メールボックスのログオンの種類に対する監査メールボックスアクションを変更していない。An admin has not changed the audited mailbox actions for any logon type on a user mailbox or a shared mailbox. これは、既定でメールボックス監査が組織で有効になった後の既定の状態です。Note this is the default state after mailbox auditing on by default is initially turned on in your organization.

管理者がログオンの種類 (Set-Mailbox コマンドレットで AuditAdmin、AuditDelegate、 または AuditOwner パラメーターを使用して) 監査されるメールボックスアクションを変更した場合、プロパティ値は異なります。If an admin has ever changed the mailbox actions that are audited for a logon type (by using the AuditAdmin, AuditDelegate, or AuditOwner parameters on the Set-Mailbox cmdlet), the property value will be different.

たとえば、ユーザー メールボックス Owner または共有メールボックスの DefaultAuditSet プロパティの値は、次の値を示します。For example, the value Owner for the DefaultAuditSet property on a user mailbox or shared mailbox indicates:

  • メールボックス所有者の既定のメールボックスアクションは監査中です。The default mailbox actions for the mailbox owner are being audited.

  • 監査されるメールボックスの操作とログオン Delegate の種類 Admin は、既定のアクションから変更されています。The audited mailbox actions for the Delegate and Admin logon types have been changed from the default actions.

DefaultAuditSet プロパティの空白値は、ユーザー メールボックスまたは共有メールボックスで、3 つのログオンの種類すべてについてメールボックスの操作が変更されたかどうかを示します。A blank value for the DefaultAuditSet property indicates the mailbox actions for all three logon types have been changed on the user mailbox or a shared mailbox.

詳細については、このトピックの「既定で記録されるメールボックス操作の 変更 または復元」を参照してください。For more information, see the Change or restore mailbox actions logged by default section in this topic

ログオンしているメールボックスの操作を表示するDisplay the mailbox actions that are being logged on mailboxes

ユーザー メールボックスまたは共有メールボックスで現在ログオンしているメールボックスアクションを表示するには、メールボックスの名前、エイリアス、電子メール アドレス、またはユーザー プリンシパル名 (ユーザー名) に置き換え、Exchange Online PowerShell で次のコマンドを 1 つ以上実行します。 <MailboxIdentity>To see the mailbox actions that are currently being logged on user mailboxes or shared mailboxes, replace <MailboxIdentity> with the name, alias, email address, or user principal name (username) of the mailbox, and run one or more of the following commands in Exchange Online PowerShell.

注意

Microsoft 365 グループ メールボックスの次の Get-Mailbox コマンドにスイッチを追加することもできますが、返される値は -GroupMailbox 見なされません。 Although you can add the -GroupMailbox switch to the following Get-Mailbox commands for Microsoft 365 Group mailboxes, don't believe the values that are returned. Microsoft 365 グループ メールボックスに対して監査される既定の静的メールボックスアクションについては、このトピックの 「Microsoft 365 グループ メールボックスのメールボックスアクション」セクションで説明しました。The default and static mailbox actions that are audited for Microsoft 365 Group mailboxes are described in the Mailbox actions for Microsoft 365 Group mailboxes section earlier in this topic.

所有者の操作Owner actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner

委任アクションDelegate actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate

管理者アクションAdmin actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin

既定でログに記録されるメールボックスの操作を変更または復元するChange or restore mailbox actions logged by default

前に説明したように、メールボックス監査を既定で有効にする主な利点の 1 つは、監査されるメールボックスの操作を管理する必要がなさいという利点です。As previously explained, one of the key benefits of having mailbox auditing on by default is: you don't need to manage the mailboxes actions that are audited. Microsoft がこれを行い、新しいメールボックス アクションがリリースされると、既定で監査される新しいメールボックス アクションが自動的に追加されます。Microsoft does this for you and we'll automatically add new mailbox actions to be audited by default as they're released.

ただし、組織では、ユーザー メールボックスと共有メールボックスに対して異なるメールボックス操作のセットを監査する必要がある場合があります。However, your organization might be required to audit a different set of mailbox actions for user mailboxes and shared mailboxes. このセクションの手順では、ログオンの種類ごとに監査されるメールボックスアクションを変更する方法と、Microsoft が管理する既定のアクションに戻す方法について説明します。The procedures in this section show you how to change the mailbox actions that are audited for each logon type, and how to revert back to the Microsoft-managed default actions.

重要

次の手順を使用して、ユーザー メールボックスまたは共有メールボックスにログオンしているメールボックス操作をカスタマイズした場合、Microsoft によってリリースされた新しい既定のメールボックスアクションは、それらのメールボックスに対して自動的に監査されません。If you use the following procedures to customize the mailbox actions that are logged on user mailboxes or shared mailboxes, any new default mailbox actions released by Microsoft will not be automatically audited on those mailboxes. 新しいメールボックス アクションをカスタマイズしたアクションの一覧に手動で追加する必要があります。You'll need to manually add any new mailbox actions to your customized list of actions.

監査するメールボックスアクションを変更するChange the mailbox actions to audit

Set-Mailbox コマンドレットで AuditAdmin、AuditDelegate、 または AuditOwner パラメーターを使用して、ユーザー メールボックスと共有メールボックスに対して監査されるメールボックスアクションを変更できます (Microsoft 365 グループ メールボックスの監査アクションはカスタマイズできません)。 You can use the AuditAdmin, AuditDelegate, or AuditOwner parameters on the Set-Mailbox cmdlet to change the mailbox actions that are audited for user mailboxes and shared mailboxes (audited actions for Microsoft 365 group mailboxes can't be customized).

次の 2 つの異なる方法を使用して、メールボックスの操作を指定できます。You can use two different methods to specify the mailbox actions:

  • 次の 構文を使用して、既存のメールボックスアクションを置換 (上書き) します action1,action2,...actionNReplace (overwrite) the existing mailbox actions by using this syntax: action1,action2,...actionN.

  • 次の構文を使用 して、他の既存の値に影響を与えることなく、メールボックスの操作を追加または @{Add="action1","action2",..."actionN"} 削除します @{Remove="action1","action2",..."actionN"}Add or remove mailbox actions without affecting other existing values by using this syntax: @{Add="action1","action2",..."actionN"} or @{Remove="action1","action2",..."actionN"}.

この例では、SoftDelete と HardDelete を使用して既定のアクションを上書きして、"Gabriela Laureano" という名前のメールボックスの管理メールボックスアクションを変更します。This example changes the admin mailbox actions for the mailbox named "Gabriela Laureano" by overwriting the default actions with SoftDelete and HardDelete.

Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete

この例では、MailboxLogin 所有者のアクションをメールボックス サーバーにlaura@contoso.onmicrosoft.com。This example adds the MailboxLogin owner action to the mailbox laura@contoso.onmicrosoft.com.

Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}

この例では、チーム ディスカッション メールボックスの MoveToDeletedItems 委任アクションを削除します。This example removes the MoveToDeletedItems delegate action for the Team Discussion mailbox.

Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}

使用する方法に関係なく、ユーザー メールボックスまたは共有メールボックスで監査メールボックスアクションをカスタマイズすると、次の結果が得られます。Regardless of the method you use, customizing the audited mailbox actions on user mailboxes or shared mailboxes has the following results:

  • カスタマイズしたログオンの種類では、監査されるメールボックスアクションは Microsoft によって管理されなくなりました。For the logon type that you customized, the audited mailbox actions are no longer managed by Microsoft.

  • カスタマイズしたログオンの種類は、前に説明したように、メールボックスの DefaultAuditSet プロパティ値 に表示されなくなりましたThe logon type that you customized is no longer displayed in the DefaultAuditSet property value for the mailbox as previously described.

既定のメールボックス操作を復元するRestore the default mailbox actions

ユーザー メールボックスまたは共有メールボックスで監査されるメールボックスアクションをカスタマイズした場合は、次の構文を使用して、1 つ以上のログオンの種類の既定のメールボックスアクションを復元できます。If you customized the mailbox actions that are audited on a user mailbox or a shared mailbox, you can restore the default mailbox actions for one or all logon types by using this syntax:

Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>

複数の DefaultAuditSet 値をコンマ で区切って指定できます。You can specify multiple DefaultAuditSet values separated by commas

: 次の手順は、Microsoft 365 グループ のメールボックスには適用されません (ここで説明する既定の操作に限定 されます)。Note: The following procedures don't apply to Microsoft 365 Group mailboxes (they're limited to the default actions as described here).

この例では、メールボックス サーバー上のすべてのログオンの種類の既定の監査メールボックスアクションをmark@contoso.onmicrosoft.com。This example restores the default audited mailbox actions for all logon types on the mailbox mark@contoso.onmicrosoft.com.

Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner

この例では、メールボックス chris@contoso.onmicrosoft.com の Admin ログオンの種類に対する既定の監査メールボックス アクションを復元しますが、委任ログオンの種類と所有者ログオンの種類に合わせてカスタマイズされた監査メールボックスアクションは残します。This example restores the default audited mailbox actions for the Admin logon type on the mailbox chris@contoso.onmicrosoft.com, but leaves the customized audited mailbox actions for the Delegate and Owner logon types.

Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin

ログオンの種類に対する既定の監査メールボックス操作を復元すると、次の結果が得られます。Restoring he default audited mailbox actions for a logon type has the following results:

  • メールボックスアクションの現在のリストは、ログオンの種類の既定のメールボックスアクションに置き換えられる。The current list of mailbox actions is replaced with the default mailbox actions for the logon type.

  • Microsoft によってリリースされた新しいメールボックス アクションは、ログオンの種類の監査済みアクションの一覧に自動的に追加されます。Any new mailbox actions that are released by Microsoft are automatically added to the list of audited actions for the logon type.

  • メールボックス の DefaultAuditSet プロパティ値が更新され、復元されたログオンの種類が含まれます。The DefaultAuditSet property value for the mailbox is updated to include the restored logon type.

組織のメールボックス監査を既定で無効にするTurn off mailbox auditing on by default for your organization

Exchange Online PowerShell で次のコマンドを実行すると、組織全体のメールボックス監査を既定で無効にできます。You can turn off mailbox auditing on by default for your entire organization by running the following command in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $true

メールボックスの監査を既定で無効にした場合、次の結果が得られます。Turning off mailbox auditing on by default has the following results:

  • 組織のメールボックス監査は無効になっています。Mailbox auditing is disabled for your organization.

  • メールボックスの監査を既定で無効にした時間から、メールボックスで監査が有効になっている場合でも、メールボックスの操作は監査されません (メールボックスの AuditEnabled プロパティは True です)。From the time you disabled mailbox auditing on by default, no mailbox actions are audited, even if auditing is enabled on a mailbox (the AuditEnabled property on the mailbox is True).

  • 新しいメールボックスに対してメールボックス監査が有効になっていない場合、新規または既存のメールボックスの AuditEnabled プロパティを True に設定しても無視されます。Mailbox auditing is not enabled for new mailboxes and setting the AuditEnabled property on a new or existing mailbox to True will be ignored.

  • メールボックス監査バイパスの関連付け設定 (Set-MailboxAuditBypassAssociation コマンドレットを使用して構成) は無視されます。Any mailbox audit bypass association settings (configured by using the Set-MailboxAuditBypassAssociation cmdlet) are ignored.

  • 既存のメールボックス監査レコードは、レコードの監査ログの有効期限が切れるまで保持されます。Existing mailbox audit records are retained until the audit log age limit for the record expires.

既定でメールボックス監査を有効にするTurn on mailbox auditing on by default

組織のメールボックス監査を有効に戻すには、Exchange Online PowerShell で次のコマンドを実行します。To turn mailbox auditing back on for your organization, run the following command in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $false

メールボックス監査ログをバイパスするBypass mailbox audit logging

現時点では、既定によるメールボックス監査の有効化が組織でオンになっている場合は、特定のメールボックスでメールボックス監査を無効にできません。Currently, you can't disable mailbox auditing for specific mailboxes when mailbox auditing on by default is turned on in your organization. たとえば 、AuditEnabled メールボックス プロパティを False に設定しても無視されます。For example, setting the AuditEnabled mailbox property to False is ignored.

ただし、Exchange Online PowerShell で Set-MailboxAuditBypassAssociation コマンドレットを引き続き使用して、アクションの発生場所に関係なく、指定したユーザーによるすべてのメールボックス操作がログに記録されるのを防ぐことが可能です。However, you can still use the Set-MailboxAuditBypassAssociation cmdlet in Exchange Online PowerShell to prevent any and all mailbox actions by the specified users from being logged, regardless where the actions occur. 例:For example:

  • バイパスされたユーザーによって実行されたメールボックス所有者の操作はログに記録されません。Mailbox owner actions performed by the bypassed users aren't logged.

  • 他のユーザーのメールボックス (共有メールボックスを含む) でバイパスされたユーザーによって実行された委任アクションはログに記録されません。Delegate actions performed by the bypassed users on other users' mailboxes (including shared mailboxes) aren't logged.

  • バイパスされたユーザーによって実行された管理者の操作はログに記録されません。Admin actions performed by the bypassed users aren't logged.

特定のユーザーのメールボックス監査ログをバイパスするには、ユーザーの名前、電子メール アドレス、エイリアス、またはユーザー プリンシパル名 (ユーザー名) に置き換え、次のコマンド <MailboxIdentity> を実行します。To bypass mailbox audit logging for a specific user, replace <MailboxIdentity> with the name, email address, alias, or user principal name (username) of the user and run the following command:

Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true

特定のユーザーについて監査がバイパスされていることを確認するには、次のコマンドを実行します。To verify that auditing is bypassed for the specified user, run the following command:

Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled

True は、メールボックス監査ログがユーザーに対してバイパスされるかどうかを示します。The value True indicates that mailbox audit logging is bypassed for the user.

詳細More information

  • メールボックス監査ログは、すべての組織で既定で有効になっていますが、E5 ライセンスを持つユーザーだけが、セキュリティ & コンプライアンス センターまたは Office 365マネージメント アクティビティ API を介して監査ログ検索でメールボックス監査ログ イベントを返 します。Although mailbox audit logging on by default is enabled for all organizations, only users with E5 licenses will return mailbox audit log events in audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API by default.

    E5 ライセンスのないユーザーのメールボックス監査ログ エントリを取得するには、次の方法があります。To retrieve mailbox audit log entries for users without E5 licenses, you can:

    • 個々のメールボックスでメールボックス監査を手動で有効にします (コマンドを実行します Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true )。Manually enable mailbox auditing on individual mailboxes (run the command, Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true). この操作を行 &った後は、セキュリティ/コンプライアンス センターまたは Office 365 管理アクティビティ API を介して、監査ログ検索を使用できます。After you do this, you can use audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API.

      注意

      メールボックスの監査が既にメールボックスで有効になっていると思うが、検索で結果が返されない場合は 、AuditEnabled パラメーターの値を次の値に変更してから、その値に戻 $false ります $trueIf mailbox auditing already appears to be enabled on the mailbox, but your searches return no results, change the value of the AuditEnabled parameter to $false and then back to $true.

    • Exchange Online PowerShell で次のコマンドレットを使用します。Use the following cmdlets in Exchange Online PowerShell:

    • Exchange Online の Exchange 管理センター (EAC) を使用して、次のアクションを実行します。Use the Exchange admin center (EAC) in Exchange Online to do the following actions:

  • 既定では、メールボックス監査ログ レコードは削除される前に 90 日間保持されます。By default, mailbox audit log records are retained for 90 days before they're deleted. Exchange Online PowerShell の Set-Mailbox コマンドレットの AuditLogAgeLimit パラメーターを使用して、監査ログ レコードの保存期限を変更できます。You can change the age limit for audit log records by using the AuditLogAgeLimit parameter on the Set-Mailbox cmdlet in Exchange Online PowerShell. ただし、この値を大きくしても、監査ログで 90 日以上前のイベントを検索できない。However, increasing this value doesn't allow you to search for events that are older than 90 days in the audit log.

    保存期間を増やす場合は、Exchange Online PowerShell で Search-MailboxAuditLog コマンドレットを使用して、ユーザーのメールボックス監査ログで 90 日以上前のレコードを検索する必要があります。If you increase the age limit, you need to use the Search-MailboxAuditLog cmdlet in Exchange Online PowerShell to search the user's mailbox audit log for records that are older than 90 days.

  • 組織のメールボックス監査が既定で有効にされる前に、メールボックスの AuditLogAgeLimit プロパティを変更した場合、メールボックスの既存の監査ログの保存期限は変更されません。If you've changed the AuditLogAgeLimit property for a mailbox prior to mailbox auditing on by default being turned on for organization, the mailbox's existing audit log age limit isn't changed. つまり、既定のメールボックス監査は、メールボックス監査レコードの現在の保存時間制限に影響を与えるという意味です。In other words, mailbox auditing on by default doesn't affect the current age limit for mailbox audit records.

  • Microsoft 365 グループ メールボックスの AuditLogAgeLimit 値を変更するには、スイッチを -GroupMailbox Set-Mailbox コマンドに含める必要 があります。To change the AuditLogAgeLimit value on a Microsoft 365 Group mailbox, you need to include the -GroupMailbox switch in the Set-Mailbox command.

  • メールボックス監査ログ レコードは、各ユーザーのメールボックスの [回復可能なアイテム] フォルダー内のサブフォルダー (Audits という名前) に格納されます。Mailbox audit log records are stored in a subfolder (named Audits) in the Recoverable Items folder in each user's mailbox. メールボックス監査レコードと回復可能なアイテム フォルダーについては、次の点に注意してください。Keep the following things in mind about mailbox audit records and the Recoverable Items folder:

    • メールボックス監査レコードは、回復可能なアイテム フォルダーの記憶域クォータ (既定では 30 GB) にカウントされます (警告クォータは 20 GB です)。Mailbox audit records count against the storage quota of the Recoverable Items folder, which is 30GB by default (the warning quota is 20 GB). 記憶域クォータは、次の場合に自動的に 100 GB に増やされます (警告クォータは 90 GB です)。The storage quota is automatically increased to 100 GB (with a 90 GB warning quota) when:

      • メールボックスにホールドが適用されます。A hold is placed on a mailbox.

      • メールボックスは、コンプライアンス センターのアイテム保持ポリシーに割り当てられます。The mailbox is assigned to a retention policy in the Compliance Center.

    • メールボックス監査レコードは、回復可能なアイテム フォルダーのフォルダー制限にもカウントされますMailbox audit records also count against the folder limit for the Recoverable Items folder. 最大 300 万アイテム (監査レコード) を Audits サブフォルダーに格納できます。A maximum of 3 million items (audit records) can be stored in the Audits subfolder.

      注意

      メールボックスの監査が既定で記憶域クォータまたは回復可能なアイテム フォルダーのフォルダー制限に影響を与える可能性は低い。It's unlikely that mailbox auditing on by default will impact the storage quota or the folder limit for the Recoverable Items folder.

      • Exchange Online PowerShell で次のコマンドを実行すると、回復可能なアイテム フォルダーの Audits サブフォルダー内のアイテムのサイズと数を表示できます。You can run the following command in Exchange Online PowerShell to display the size and number of items in the Audits subfolder in the Recoverable Items folder:

        Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder
        
      • [回復可能なアイテム] フォルダー内の監査ログ レコードに直接アクセスすることはできません。代わりに 、Search-MailboxAuditLog コマンドレットを使用するか、監査ログを検索してメールボックス監査レコードを検索して表示します。You can't directly access an audit log record in the Recoverable Items folder; instead, you use the Search-MailboxAuditLog cmdlet or search the audit log to find and view mailbox audit records.

  • メールボックスが保留にされている場合、またはコンプライアンス センターのアイテム保持ポリシーに割り当てられている場合、監査ログ レコードは、メールボックスの AuditLogAgeLimit プロパティで定義されている期間 (既定では 90 日間) 保持されます。If a mailbox is placed on hold or assigned to a retention policy in the Compliance Center, audit log records are still retained for the duration that's defined by the mailbox's AuditLogAgeLimit property (90 days by default). 保持中のメールボックスの監査ログ レコードを長く保持するには、メールボックスの AuditLogAgeLimit 値を増やす必要があります。To retain audit log records longer for mailboxes on hold, you need to increase mailbox's AuditLogAgeLimit value.

  • 複数地域環境では、複数地域のメールボックスの監査はサポートされていません。In a multi-geo environment, cross-geo mailbox auditing is not supported. たとえば、異なる地理的位置にある共有メールボックスにアクセスする権限がユーザーに割り当てられている場合、そのユーザーが実行したメールボックス操作は、共有メールボックスのメールボックス監査ログに記録されません。For example, if a user is assigned permissions to access a shared mailbox in a different geo location, mailbox actions performed by that user are not logged in the mailbox audit log of the shared mailbox.