セキュリティ/コンプライアンス センターで監査ログを検索するSearch the audit log in the Security & Compliance Center

ユーザーが特定のドキュメントを表示したかどうか、またはメールボックスからアイテムを削除したかどうかを確認する必要がありますか。Need to find if a user viewed a specific document or purged an item from their mailbox? その場合は、セキュリティ/コンプライアンス センターを使用して統合監査ログを検索し、組織内のユーザーと管理者のアクティビティを確認できます。If so, you can use the Security & Compliance Center to search the unified audit log to view user and administrator activity in your organization. なぜ統合監査ログが必要なのでしょうか。Why a unified audit log? Office 365 で以下の種類のユーザーおよび管理アクティビティを検索できるためです:Because you can search for the following types of user and admin activity in Office 365:

  • SharePoint Online および OneDrive for Business 内のユーザー アクティビティUser activity in SharePoint Online and OneDrive for Business

  • Exchange Online 内のユーザー アクティビティ (Exchange メールボックス監査ログ)User activity in Exchange Online (Exchange mailbox audit logging)

  • SharePoint Online 内の管理者アクティビティAdmin activity in SharePoint Online

  • Azure Active Directory (Office 365 のディレクトリ サービス) 内の管理者アクティビティAdmin activity in Azure Active Directory (the directory service for Office 365)

  • Exchange Online 内の管理者アクティビティ (Exchange 管理者監査ログ)Admin activity in Exchange Online (Exchange admin audit logging)

  • セキュリティ/コンプライアンス センター内の電子情報開示アクティビティeDiscovery activities in the security and compliance center

  • Power BI 内のユーザーおよび管理者のアクティビティUser and admin activity in Power BI

  • Microsoft Teams 内のユーザーおよび管理者のアクティビティUser and admin activity in Microsoft Teams

  • Dynamics 365 内のユーザーおよび管理者のアクティビティUser and admin activity in Dynamics 365

  • Yammer 内のユーザーおよび管理者のアクティビティUser and admin activity in Yammer

  • Microsoft Power Automate 内のユーザーおよび管理者のアクティビティUser and admin activity in Microsoft Power Automate

  • Microsoft Stream 内のユーザーおよび管理者のアクティビティUser and admin activity in Microsoft Stream

  • Microsoft Workplace Analytics でのアナリストと管理者のアクティビティAnalyst and admin activity in Microsoft Workplace Analytics

  • Microsoft Power Apps 内のユーザーおよび管理者のアクティビティUser and admin activity in Microsoft Power Apps

  • Microsoft Forms 内のユーザーおよび管理者のアクティビティUser and admin activity in Microsoft Forms

  • SharePoint Online または Microsoft Teams を使用するサイトの機密ラベルのユーザーおよび管理アクティビティUser and admin activity for sensitivity labels for sites that use SharePoint Online or Microsoft Teams

監査ログを検索するための要件Requirements to search the audit log

監査ログの検索を開始する前に、次の項目を必ず確認してください。Be sure to read the following items before you start searching the audit log.

  • 監査ログの検索を開始するには、自分 (または他の管理者) が監査ログを有効にしている必要があります。You (or another admin) must first turn on audit logging before you can start searching the audit log. 有効にするには、セキュリティ/コンプライアンス センターの [監査ログの検索] ページで [監査を有効にする] をクリックします。To turn it on, click Turn on auditing on the Audit log search page in the Security & Compliance Center. (このリンクが表示されない場合、組織の監査はすでに有効になっています)。有効にすると、監査ログの準備中で、準備が完了してから数時間で検索を実行できることを通知するメッセージが表示されます。(If you don't see this link, auditing has already been turned on for your organization.) After you turn it on, a message is displayed that says the audit log is being prepared and that you can run a search in a couple of hours after the preparation is complete. これを行う必要があるのは 1 回だけです。You only have to do this once. 詳細については、「監査ログの検索を有効または無効にする」をご覧ください。For more information, see Turn audit log search on or off.

    注意

    現在、既定で監査が有効になるように準備を進めています。We're in the process of turning on auditing by default. それまでは、前述のように監査を有効にすることができます。Until then, you can turn it on as previously described.

  • 監査ログを検索するには、Exchange Online で閲覧限定の監査ログまたは監査ログの役割が割り当てられている必要があります。You have to be assigned the View-Only Audit Logs or Audit Logs role in Exchange Online to search the audit log. 既定では、これらの役割は Exchange 管理センターの [アクセス許可] ページでコンプライアンス管理役割グループまたは組織管理役割グループに割り当てられています。By default, these roles are assigned to the Compliance Management and Organization Management role groups on the Permissions page in the Exchange admin center. Office 365 および Microsoft 365 のグローバル管理者は自動的に、組織管理役割グループのメンバーとして Exchange Online に追加されます。Note global administrators in Office 365 and Microsoft 365 are automatically added as members of the Organization Management role group in Exchange Online. 最小限の特権レベルで監査ログを検索する権限をユーザーに付与するには、Exchange Online でカスタムの役割グループを作成し、閲覧限定の監査ログまたは監査ログの役割を追加し、この新しい役割グループのメンバーとしてユーザーを追加します。To give a user the ability to search the audit log with the minimum level of privileges, you can create a custom role group in Exchange Online, add the View-Only Audit Logs or Audit Logs role, and then add the user as a member of the new role group. 詳細については、「Exchange Online で役割グループを管理する」を参照してください。For more information, see Manage role groups in Exchange Online.

    重要

    セキュリティ/コンプライアンス センターの [アクセス許可] ページでユーザーに View-Only Audit Logs (閲覧限定の監査ログ) または Audit Logs (監査ログ) の役割を割り当てると、監査ログを検索できなくなります。If you assign a user the View-Only Audit Logs or Audit Logs role on the Permissions page in the Security & Compliance Center, they won't be able to search the audit log. Exchange Online でアクセス許可を割り当てる必要があります。You have to assign the permissions in Exchange Online. これは、監査ログの検索に使用される基本のコマンドレットが ExchangeOnline コマンドレットだからです。This is because the underlying cmdlet used to search the audit log is an Exchange Online cmdlet.

  • 監査対象アクティビティがユーザーまたは管理者によって実行されると、監査レコードが生成され、組織の監査ログに格納されます。監査レコードの保持期間 (および監査ログで検索可能な期間) は、Office 365 または Microsoft 365 Enterprise サブスクリプション、具体的には、特定のユーザーに割り当てられたライセンスの種類によって異なります。When an audited activity is performed by a user or admin, an audit record is generated and stored in the audit log for your organization. The length of time that an audit record is retained (and searchable in the audit log) depends on your Office 365 or Microsoft 365 Enterprise subscription, and specifically the type of the license that is assigned to specific users.

    • Office 365 E5 または Microsoft 365 E5 ライセンスが割り当てられたユーザー (または Microsoft 365 E5 Compliance または Microsoft 365 E5 eDiscovery and Audit アドオン ライセンスを持っているユーザー) の場合、Azure Active Directory、Exchange、および SharePoint アクティビティの監査レコードは、既定で 1 年間保持されます。For users assigned an Office 365 E5 or Microsoft 365 E5 license (or users with a Microsoft 365 E5 Compliance or Microsoft 365 E5 eDiscovery and Audit add-on license), audit records for Azure Active Directory, Exchange, and SharePoint activity are retained for one year by default. また、組織では、監査ログの保持ポリシーを作成して、その他のサービスのアクティビティについての監査レコードを最大 1 年間保持します。Organizations can also create audit log retention policies to retain audit records for activities in other services for up to one year. 詳細については、「監査ログ保持ポリシーを管理する」を参照してください。For more information, see Manage audit log retention policies.

      注意

      監査レコードを 1 年間保持するプライベート プレビュー プログラムに参加した場合、一般提供のロールアウト日前に生成された監査レコードの保持期間はリセットされません。If your organization participated in the private preview program for the one-year retention of audit records, the retention duration for audit records that were generated before the general availability rollout date will not be reset.

    • その他 (E5 以外) の Office 365 または Microsoft 365 ライセンスが割り当てられているユーザーの場合、監査レコードは 90 日間保持されます。For users assigned any other (non-E5) Office 365 or Microsoft 365 license, audit records are retained for 90 days. 統合監査ログをサポートする Office 365 および Microsoft 365 サブスクリプションのリストについては、「セキュリティおよびコンプライアンス センター サービスの説明」を参照してください。For a list of Office 365 and Microsoft 365 subscriptions that support unified audit logging, see the security and compliance center service description.

      注意

      デフォルトでメールボックス監査がオンになっている場合でも、一部のユーザーのメールボックス監査イベントが、セキュリティ/コンプライアンス センターまたは Office 365 マネージメント アクティビティ API の監査ログ検索で見つからないことに気付く場合があります。Even when mailbox auditing on by default is turned on, you might notice that mailbox audit events for some users aren't found in audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API. 詳細については、「More information about mailbox audit logging (メールボックス監査ログの詳細)」を参照してください。For more information, see More information about mailbox audit logging.

  • 組織の監査ログの検索を無効にする場合は、Exchange Online 組織に接続されたリモート PowerShell で次のコマンドを実行できます。If you want to turn off audit log search for your organization, you can run the following command in remote PowerShell connected to your Exchange Online organization:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
    

    監査検索を再度有効にするには、Exchange Online PowerShell で次のコマンドを実行できます。To turn on audit search again, you can run the following command in Exchange Online PowerShell:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
    

    詳細については、「監査ログの検索を無効にする」を参照してください。For more information, see Turn off audit log search.

  • 前述のように、監査ログの検索に使用される基礎となるコマンドレットは Exchange Online コマンドレットの Search-UnifiedAuditLog です。As previously stated, the underlying cmdlet used to search the audit log is an Exchange Online cmdlet, which is Search-UnifiedAuditLog. つまり、セキュリティ/コンプライアンス センターの [監査ログの検索] ページではなく、このコマンドレットを使用して監査ログを検索できます。That means you can use this cmdlet to search the audit log instead of using the Audit log search page in the Security & Compliance Center. このコマンドレットは、Exchange Online 組織に接続されているリモートの PowerShell で実行する必要があります。You have to run this cmdlet in remote PowerShell connected to your Exchange Online organization. 詳細については、「Search-UnifiedAuditLog」を参照してください。For more information, see Search-UnifiedAuditLog.

    Search-UnifiedAuditLog コマンドレットによって返された検索結果を CSV ファイルにエクスポートする方法の詳細については、「監査ログ レコードをエクスポート、構成、表示する」の「監査ログをエクスポート、表示するためのヒント」のセクションを参照してください。For information about exporting the search results returned by the Search-UnifiedAuditLog cmdlet to a CSV file, see the "Tips for exporting and viewing the audit log" section in Export, configure, and view audit log records.

  • プログラムを使用して監査ログからデータをダウンロードする場合、PowerShell スクリプトを使用する代わりに、Office 365 マネージメント アクティビティ API を使用することをお勧めします。Office 365 マネージメント アクティビティ API は、組織の運用、セキュリティ、コンプライアンス監視ソリューションの開発に使用する REST Web サービスです。詳細については、「Office 365 マネージメント アクティビティ API リファレンス」を参照してください。If you want to programmatically download data from the audit log, we recommend that you use the Office 365 Management Activity API instead of using a PowerShell script. The Office 365 Management Activity API is a REST web service that you can use to develop operations, security, and compliance monitoring solutions for your organization. For more information, see Office 365 Management Activity API reference.

  • イベントが発生してから対応する監査ログ レコードが監査ログ検索の結果に返されるまで最長 30 分または最長 24 時間かかる場合があります。次の表は、Office 365 のさまざまなサービスで、この処理に要する時間を示しています。It can take up to 30 minutes or up to 24 hours after an event occurs for the corresponding audit log record to be returned in the results of an audit log search. The following table shows the time it takes for the different services in Office 365.

    Microsoft 365 サービスまたは機能Microsoft 365 service or feature 30 分30 minutes 24 時間24 hours
    Advanced Threat Protection および脅威インテリジェンスAdvanced Threat Protection and Threat Intelligence チェック マーク
    Azure Active Directory (ユーザー ログイン イベント)Azure Active Directory (user login events) チェック マーク
    Azure Active Directory (管理イベント)Azure Active Directory (admin events) チェック マーク
    データ損失防止Data Loss Prevention チェック マーク
    Dynamics 365 CRMDynamics 365 CRM チェック マーク
    電子情報開示eDiscovery チェック マーク
    Exchange OnlineExchange Online チェック マーク
    Microsoft Power AutomateMicrosoft Power Automate チェック マーク
    Microsoft ProjectMicrosoft Project チェック マーク
    Microsoft StreamMicrosoft Stream チェック マーク
    Microsoft TeamsMicrosoft Teams チェック マーク
    Power アプリPower Apps チェック マーク
    Power BIPower BI チェック マーク
    セキュリティ/コンプライアンス センターSecurity & Compliance Center チェック マーク
    機密ラベルSensitivity labels チェック マーク
    SharePoint Online と OneDrive for BusinessSharePoint Online and OneDrive for Business チェック マーク
    Workplace AnalyticsWorkplace Analytics チェック マーク
    YammerYammer チェック マーク
    Microsoft FormsMicrosoft Forms チェック マーク
  • Azure Active Directory (Azure AD) は、Office 365 のディレクトリ サービスです。Azure Active Directory (Azure AD) is the directory service for Office 365. 統合監査ログには、Microsoft 365 管理センターまたは Azure 管理ポータルで実行されたユーザー、グループ、アプリケーション、ドメイン、およびディレクトリのアクティビティが記録されます。The unified audit log contains user, group, application, domain, and directory activities performed in the Microsoft 365 admin center or in the Azure management portal. Azure AD のイベントの全リストについては、「Azure Active Directory 監査レポートのイベント」を参照してください。For a complete list of Azure AD events, see Azure Active Directory Audit Report Events.

  • Power BI の監査ログは、既定では有効になっていません。Audit logging for Power BI isn't enabled by default. 監査ログ内の Power BI アクティビティを検索するには、Power BI 管理ポータルで監査を有効にする必要があります。To search for Power BI activities in the audit log, you have to enable auditing in the Power BI admin portal. 手順については、Power BI 管理ポータルの「監査ログ」セクションをご覧ください。For instructions, see the "Audit logs" section in Power BI admin portal.

監査ログの検索Search the audit log

以下に、Office 365 で監査ログを検索するためのプロセスを示します。Here's the process for searching the audit log in Office 365.

手順 1: 監査ログの検索を実行するStep 1: Run an audit log search

手順 2: 検索結果を表示するStep 2: View the search results

手順 3: 検索結果をフィルター処理するStep 3: Filter the search results

手順 4: 検索結果をファイルにエクスポートするStep 4: Export the search results to a file

  1. https://protection.office.com に移動します。Go to https://protection.office.com.

    ヒント

    現在ログオンしている資格情報が使用されないようにするために、プライベート ブラウズ セッション (通常のセッションではありません) を使用してセキュリティ/コンプライアンス センターにアクセスします。Use a private browsing session (not a regular session) to access the Security & Compliance Center because this will prevent the credential that you are currently logged on with from being used. Internet Explorer または Microsoft Edge で InPrivate ブラウズ セッションを開くには、Ctrl + Shift + P キーを押します。To open an InPrivate Browsing session in Internet Explorer or Microsoft Edge, just press CTRL+SHIFT+P. Google Chrome でプライベート ブラウズ セッション (シークレット ウィンドウと呼ばれる) を開くには、Ctrl + Shift + N キーを押します。To open a private browsing session in Google Chrome (called an incognito window), press CTRL+SHIFT+N.

  2. 職場または学校のアカウントを使用してサインインします。Sign in using your work or school account.

  3. セキュリティ/コンプライアンス センターの左側のウィンドウで、[検索] をクリックし、[監査ログの検索] をクリックします。In the left pane of the Security & Compliance Center, click Search, and then click Audit log search.

    [監査ログの検索] ページが表示されます。The Audit log search page is displayed.

    検索条件を設定し、[検索] をクリックしてレポートを実行する

    注意

    監査ログの検索を実行する前に、監査ログをあらかじめ有効にする必要があります。[ユーザーと管理者のアクティビティの記録を開始する] リンクが表示される場合、それをクリックして監査を有効にします。このリンクが表示されない場合は、組織に対して監査が既に有効になっています。You have to first turn on audit logging before you can run an audit log search. If the Start recording user and admin activity link is displayed, click it to turn on auditing. If you don't see this link, auditing has already been turned on for your organization.

  4. 次の検索条件を設定します。Configure the following search criteria:

    1. [アクティビティ]: ドロップダウン リストをクリックして検索できるアクティビティを表示します。Activities: Click the drop-down list to display the activities that you can search for. ユーザーと管理者のアクティビティが、関連するアクティビティのグループに編成されています。User and admin activities are organized into groups of related activities. 特定のアクティビティを選択することも、アクティビティ グループ名をクリックして、グループ内のすべてのアクティビティを選択することもできます。You can select specific activities or you can click the activity group name to select all activities in the group. 選択したアクティビティをクリックして、選択を解除することもできます。You can also click a selected activity to clear the selection. 検索の実行後、選択したアクティビティの監査ログ エントリのみが表示されます。After you run the search, only the audit log entries for the selected activities are displayed. [すべてのアクティビティの結果を表示] を選択すると、選択したユーザーまたはユーザーのグループによって実行されたすべてのアクティビティの結果が表示されます。Selecting Show results for all activities displays results for all activities performed by the selected user or group of users.

      監査ログには、100 件以上のユーザーおよび管理者アクティビティが記録されます。Over 100 user and admin activities are logged in the audit log. 各種サービスの各アクティビティの説明を確認するには、本記事のこのトピックの「監査されるアクティビティ」タブをクリックしてください。Click the Audited activities tab at the topic of this article to see the descriptions of every activity in each of the different services.

    2. [開始日] と [終了日]: 既定で過去 7 日間が選択されています。Start date and End date: The last seven days are selected by default. 日付と時間の範囲を選択し、その期間内に発生したイベントを表示します。Select a date and time range to display the events that occurred within that period. 日付と時間は、協定世界時 (UTC) 形式で指定します。The date and time are presented in Coordinated Universal Time (UTC) format. 指定できる日付範囲は最大 90 日です。The maximum date range that you can specify is 90 days. 選択した日付範囲が 90 日間よりも大きい場合は、エラーが表示されます。An error is displayed if the selected date range is greater than 90 days.

      ヒント

      最大の日付範囲である 90 日を使用する場合は、[開始日] で現在の時刻を選択してください。それ以外の時刻を選択すると、開始日が終了日より前であるというエラーが返されます。過去 90 日以内に監査を有効にした場合、最大の日付範囲の開始日を監査を有効にした日付より前にすることはできません。If you're using the maximum date range of 90 days, select the current time for the Start date. Otherwise, you'll receive an error saying that the start date is earlier than the end date. If you've turned on auditing within the last 90 days, the maximum date range can't start before the date that auditing was turned on.

    3. [ユーザー]: このボックスをクリックし、検索結果を表示する 1 人以上のユーザーを選択します。Users: Click in this box and then select one or more users to display search results for. このボックスで選択したユーザーによって実行された選択したアクティビティの監査ログ エントリが結果の一覧に表示されます。The audit log entries for the selected activity performed by the users you select in this box are displayed in the list of results. 組織のすべてのユーザー (およびサービス アカウント) のエントリを返すには、このボックスを空白のままにします。Leave this box blank to return entries for all users (and service accounts) in your organization.

    4. [ファイル、フォルダー、またはサイト]: 指定したキーワードを含むフォルダーのファイルに関連するアクティビティを検索するには、ファイルまたはフォルダー名の一部またはすべてを入力します。File, folder, or site: Type some or all of a file or folder name to search for activity related to the file of folder that contains the specified keyword. ファイルまたはフォルダーの URL を指定することもできます。You can also specify a URL of a file or folder. URL を使用する場合は、完全な URL パスを入力するか、URL の一部を入力する場合は、特殊文字やスペースを含めないでください。If you use a URL, be sure the type the full URL path or if you type a portion of the URL, don't include any special characters or spaces.

      組織内のすべてのファイルおよびフォルダーのエントリを返すには、このボックスを空白のままにします。Leave this box blank to return entries for all files and folders in your organization.

      ヒント

      • ある サイト に関するすべてのアクティビティを検索する場合、URL の後ろにワイルドカード文字 (*) を追加して、そのサイトのすべてのエントリが返されるようにします (例: "https://contoso-my.sharepoint.com/personal*")。If you're looking for all activities related to a site, add the wildcard symbol (*) after the URL to return all entries for that site; for example, "https://contoso-my.sharepoint.com/personal*".

      • 特定のファイルに関連するすべてのアクティビティを探す場合は、ファイル名の前にワイルドカード文字 (*) を追加すると、そのファイルのすべてのエントリが返されます (例: "*Customer_Profitability_Sample.csv")。If you're looking for all activities related to a file, add the wildcard symbol (*) before the file name to return all entries for that file; for example, "*Customer_Profitability_Sample.csv".

  5. [検索] をクリックして、設定した検索条件で検索を実行します。Click Search to run the search using your search criteria.

    検索結果が読み込まれ、しばらくすると、それらが [結果] の下に表示されます。The search results are loaded, and after a few moments they are displayed under Results. 検索が完了すると、検索結果の件数が表示されます。When the search is finished, the number of results found is displayed. [結果] ウィンドウには、イベント 150 件の増分で最大 5,000 件のイベントが表示されます。A maximum of 5,000 events will be displayed in the Results pane in increments of 150 events. 検索条件を満たすイベントが 5,000 件を超える場合、最新の5,000 件のイベントが表示されます。If more than 5,000 events meet the search criteria, the most recent 5,000 events are displayed.

    検索が完了すると、検索結果の件数が表示される

監査ログを検索するためのヒントTips for searching the audit log

  • 検索する特定のアクティビティを選択するには、アクティビティ名をクリックします。You can select specific activities to search for by clicking the activity name. またはグループ名をクリックして、グループ内のすべてのアクティビティ ([ファイルとフォルダーのアクティビティ] など) を検索できます。Or you can search for all activities in a group (such as File and folder activities) by clicking the group name. アクティビティが選択されている場合は、そのアクティビティをクリックして、選択を取り消すことができます。If an activity is selected, you can click it to cancel the selection. また、検索ボックスを使用して、入力したキーワードを含むアクティビティを表示することもできます。You can also use the search box to display the activities that contain the keyword that you type.

    アクティビティ グループの名前をクリックしてすべてのアクティビティを選択する

  • Exchange 管理者監査ログのイベントを表示するには、[アクティビティ] リストの [すべてのアクティビティの結果を表示] を選択する必要があります。You have to select Show results for all activities in the Activities list to display events from the Exchange admin audit log. この監査ログのイベントには、結果の [アクティビティ] 列にコマンドレット名 (Set-Mailbox など) が表示されます。Events from this audit log display a cmdlet name (for example, Set-Mailbox) in the Activity column in the results. 詳細については、 このトピックの [監査されるアクティビティ] タブをクリックし、[Exchange 管理者アクティビティ] をクリックします。For more information, click the Audited activities tab in this topic and then click Exchange admin activities.

    同様に、[アクティビティ] の一覧に対応する項目がない監査アクティビティがいくつかあります。これらのアクティビティの操作名がわかっている場合は、[アクティビティ] 列のボックスに操作名を入力してすべてのアクティビティを検索し、結果をフィルター処理することができます。結果のフィルター処理の詳細については、「手順 3: 検索結果をフィルター処理する」を参照してください。Similarly, there are some auditing activities that don't have a corresponding item in the Activities list. If you know the name of the operation for these activities, you can search for all activities, then filter the results by typing the name of the operation in the box for the Activity column. See Step 3: Filter the search results for more information about filtering the results.

  • 現在の検索条件をクリアするには、[クリア] をクリックします。日付の範囲は、既定の過去 7 日間に戻ります。[すべてをクリアしてすべてのアクティビティの結果を表示する] をクリックして、選択したすべてのアクティビティを取り消すこともできます。Click Clear to clear the current search criteria. The date range returns to the default of the last seven days. You can also click Clear all to show results for all activities to cancel all selected activities.

  • 5,000 件の結果が見つかった場合、検索条件に一致するイベントが 5,000 件を超えていると見なすことができます。If 5,000 results are found, you can probably assume that there are more than 5,000 events that met the search criteria. 検索条件を絞り込み、返される結果が少なくなるように検索を再実行するか、[結果のエクスポート] > [すべての結果をダウンロード] を選択して、すべての検索結果をエクスポートできます。You can either refine the search criteria and rerun the search to return fewer results, or you can export all of the search results by selecting Export results > Download all results.

手順 2: 検索結果を表示するStep 2: View the search results

監査ログの検索の結果は、[監査ログの検索] ページの [結果] の下に表示されます。前述のとおり、最大 5,000 件 (最新) のイベントが 150 件ずつ表示されます。さらにイベントを表示するには、結果ウィンドウにあるスクロール バーを使用するか、Shift + Endキーを押して、次の 150 件のイベントを表示することができます。The results of an audit log search are displayed under Results on the Audit log search page. As previously stated a maximum of 5,000 (newest) events are displayed in increments of 150 events. To display more events you can use the scroll bar in the Results pane or you can press Shift + End to display the next 150 events.

検索結果には、検索によって返された各イベントに関する次の情報が含まれます。The results contain the following information about each event returned by the search:

  • [日付]: イベントが発生した日付と時刻 (UTC 形式)。Date: The date and time (in UTC format) when the event occurred.

  • [IP アドレス]: アクティビティがログに記録されたときに使用されたデバイスの IP アドレス。IP address: The IP address of the device that was used when the activity was logged. IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。The IP address is displayed in either an IPv4 or IPv6 address format.

    注意

    一部のサービスでは、このフィールドに表示される値は、ユーザーに代わってサービスを呼び出す信頼できるアプリケーション (Office on the web アプリなど) の IP アドレスであり、アクティビティを実行したユーザーが使用するデバイスの IP アドレスではない場合があります。For some services, the value displayed in this field might be the IP address for a trusted application (for example, Office on the web apps) calling into the service on behalf of a user and not the IP address of the device used by person who performed the activity. また、Azure Active Directory 関連のイベントの管理者のアクティビティ (またはシステムアカウントによって実行されるアクティビティ) の場合、IP アドレスはログに記録されず、このフィールドに表示される値は null になります。Also, for admin activity (or activity performed by a system account) for Azure Active Directory-related events, the IP address isn't logged and the value displayed in this field is null.

  • [ユーザー]: イベントをトリガーしたアクションを実行したユーザー (またはサービス アカウント)。User: The user (or service account) who performed the action that triggered the event.

  • [アクティビティ]: ユーザーが実行したアクティビティ。Activity: The activity performed by the user. この値は [アクティビティ] ドロップダウン リストで選択したアクティビティに対応します。This value corresponds to the activities that you selected in the Activities drop down list. Exchange 管理者監査ログのイベントの場合、この列の値は、Exchange コマンドレットになります。For an event from the Exchange admin audit log, the value in this column is an Exchange cmdlet.

  • [アイテム]: 対応するアクティビティの結果として作成または変更されたオブジェクト。Item: The object that was created or modified as a result of the corresponding activity. たとえば、表示または変更されたファイルまたは更新されたユーザー アカウントなどです。For example, the file that was viewed or modified or the user account that was updated. すべてのアクティビティにこの列の値があるとは限りません。Not all activities have a value in this column.

  • [詳細]: アクティビティに関する追加の詳細。Detail: Additional information about an activity. ここでも、すべてのアクティビティに値があるとは限りません。Again, not all activities have a value.

ヒント

検索結果を並べ替えるには、[結果] の列見出しをクリックします。検索結果を昇順または降順で並べ替えることができます。検索結果を日付の古い順または新しい順に並べ替える場合は、[日付] ヘッダーをクリックします。Click a column header under Results to sort the results. You can sort the results from A to Z or Z to A. Click the Date header to sort the results from oldest to newest or newest to oldest.

特定のイベントの詳細を表示するView the details for a specific event

イベントの詳細情報を表示するには、検索結果一覧のイベント レコードをクリックします。You can view more details about an event by clicking the event record in the list of search results. イベント レコードの詳細なプロパティが記載された [詳細] ページが表示されます。A Details page is displayed that contains the detailed properties from the event record. 表示されるプロパティは、イベントが発生するサービスによって変わります。The properties that are displayed depend on the service in which the event occurs. これらの詳細な情報を表示するには、[詳細情報] をクリックします。To display these details, click More information. 説明については、「監査ログの詳細なプロパティ」をご覧ください。For descriptions, see Detailed properties in the audit log.

[詳細情報] をクリックして監査ログのイベント レコードの詳細なプロパティを表示する

手順 3: 検索結果をフィルター処理するStep 3: Filter the search results

並べ替えに加えて、監査ログの検索の結果をフィルター処理することもできます。In addition to sorting, you can also filter the results of an audit log search. これは、特定のユーザーやアクティビティに結果をすばやくフィルター処理できる優れた機能です。This is a great feature that can help you quickly filter the results for a specific user or activity. 最初に広範な検索を作成してから、結果をすばやくフィルター処理し、特定のイベントを表示できます。You can initially create a wide search and then quickly filter the results to see specific events. さらに、より小さく簡潔な一連の結果が返されるようにするには、検索条件を絞り込み、検索を再実行します。Then you can narrow the search criteria and rerun the search to return a smaller, more concise set of results.

結果をフィルター処理するには、次の手順を実行します。To filter the results:

  1. 監査ログの検索を実行します。Run an audit log search.

  2. 結果が表示されたら、[結果をフィルター] をクリックします。When the results are displayed, click Filter results.

    各列見出しの下にキーワード ボックスが表示されます。Keyword boxes are displayed under each column header.

  3. フィルター処理の対象となる列の列見出しの下に表示されたボックスのいずれかをクリックして語句を入力します。検索結果が動的に調整され、フィルターに一致するイベントが表示されます。Click one of the boxes under a column header and type a word or phrase, depending on the column you're filtering on. The results will dynamically readjust to display the events that match your filter.

    フィルターに単語を入力して、フィルターに一致するイベントを表示する

  4. フィルターを解除するには、フィルター ボックスの [X] をクリックするか、[フィルターの非表示] をクリックします。To clear a filter, click the X in the filter box or click Hide filtering.

ヒント

Exchange 管理監査ログのイベントを表示するには、[アクティビティ] フィルター ボックスに「-」 (ダッシュ) を入力します。これにより、Exchange 管理イベントの [アクティビティ] 列に表示されるコマンドレット名が表示されます。この後、コマンドレット名をアルファベット順に並べ替えることができます。To display events from the Exchange admin audit log, type a - (dash) in the Activity filter box. This will display cmdlet names, which are displayed in the Activity column for Exchange admin events. Then you can sort the cmdlet names in alphabetical order.

手順 4: 検索結果をファイルにエクスポートするStep 4: Export the search results to a file

監査ログの検索の結果を、ローカル コンピューター上のコンマ区切り値 (CSV) ファイルにエクスポートできます。You can export the results of an audit log search to a comma-separated value (CSV) file on your local computer. このファイルを Microsoft Excel で開いて、検索、並べ替え、フィルター処理、および単一の列 (複数のプロパティが含まれる) の複数列への分割などの機能を使用できます。You can open this file in Microsoft Excel and use features such as search, sorting, filtering, and splitting a single column (that contains multiple properties) into multiple columns.

  1. 監査ログの検索を実行して、目的の結果が得られるまで検索条件を変更します。Run an audit log search, and then revise the search criteria until you have the desired results.

  2. [結果のエクスポート] をクリックして、次のいずれかのオプションを選択します。Click Export results and select one of the following options:

    • [読み込まれた結果を保存]: [監査ログの検索] ページの [結果] に表示されたエントリのみをエクスポートするには、このオプションを選択します。Save loaded results: Choose this option to export only the entries that are displayed under Results on the Audit log search page. ダウンロードした CSV ファイルには、ページに表示されている同じ列 (およびデータ) (日付、ユーザー、アクティビティ、アイテム、詳細) が含まれています。The CSV file that is downloaded contains the same columns (and data) displayed on the page (Date, User, Activity, Item, and Details). CSV ファイルには、監査ログ エントリからの詳細な情報を含む追加の列 ([その他] と呼ばれる) が含まれます。An extra column (named More) is included in the CSV file that contains more information from the audit log entry. [監査ログの検索] ページに読み込まれた (および表示可能な) 同じ結果をエクスポートしているため、最大 5,000 件のエントリがエクスポートされます。Because you're exporting the same results that are loaded (and viewable) on the Audit log search page, a maximum of 5,000 entries are exported.

    • [すべての結果をダウンロードする]: 検索条件に一致する監査ログのすべてのエントリをエクスポートするには、このオプションを選択します。Download all results: Choose this option to export all entries from the audit log that meet the search criteria. 検索結果セットが大きい場合、このオプションを選択すると、[監査ログの検索] ページに表示できる 5,000 個の監査レコードに加えて、監査ログのすべてのエントリがダウンロードされます。For a large set of search results, choose this option to download all entries from the audit log in addition to the 5,000 audit records that can be displayed on the Audit log search page. このオプションは、監査ログから CSV ファイルに生データをダウンロードし、AuditData という名前の列に監査ログ エントリからの追加情報を格納します。This option downloads the raw data from the audit log to a CSV file, and contains additional information from the audit log entry in a column named AuditData. このエクスポート オプションを選択した場合、ファイルが他のオプションを選択した場合にダウンロードされるファイルよりはるかに大きくなる可能性があるため、ファイルのダウンロードには時間がかかることがあります。It may take longer to download the file if you choose this export option because the file may be much larger than the one that's downloaded if you choose the other option.

      重要

      1 回の監査ログの検索で、最大 50,000 件のエントリを CSV ファイルにダウンロードできます。50,000 件のエントリが CSV ファイルにダウンロードされた場合、検索条件に一致したエントリが 50,000 件を超える可能性があります。この制限を超えてエクスポートするには、日付範囲を使用して監査ログ エントリの件数を削減してみてください。50,000 件を超えるエントリをエクスポートするには、日付範囲を狭めて検索を複数回実行することが必要な場合があります。You can download a maximum of 50,000 entries to a CSV file from a single audit log search. If 50,000 entries are downloaded to the CSV file, you can probably assume there are more than 50,000 events that met the search criteria. To export more than this limit, try using a date range to reduce the number of audit log entries. You might have to run multiple searches with smaller date ranges to export more than 50,000 entries.

  3. エクスポート オプションを選択すると、ウィンドウの下部にメッセージが表示され、CSV ファイルを開く、[ダウンロード] フォルダーに保存する、または特定のフォルダーに保存するかを選択するように求められます。After you select an export option, a message is displayed at the bottom of the window that prompts you to open the CSV file, save it to the Downloads folder, or save it to a specific folder.

監査ログの検索結果のエクスポートと表示に関する詳細情報More information about exporting and viewing audit log search results

  • すべての検索結果をダウンロードすると、その CSV ファイルには AuditData という列が含まれており、その列に各イベントに関する追加情報が格納されています。If you download all search results, the CSV file contains a column named AuditData, which contains additional information about each event. この列のデータは、監査ログ レコードの複数のプロパティを含む JSON オブジェクトで構成されています。The data in this column consists of a JSON object that contains multiple properties from the audit log record. この JSON オブジェクトに含まれる property:value の各ペアは、コンマで区切られます。Each property:value pair in the JSON object is separated by a comma. Excel の Power Query エディターに含まれる JSON 変換ツールを使用すると、[AuditData] 列を複数の列に分割し、JSON オブジェクトのプロパティごとに個別の列を設定できます。You can use the JSON transform tool in the Power Query Editor in Excel to split AuditData column into multiple columns so that each property in the JSON object has its own column. このようにすると、これらの 1 つ以上のプロパティで並べ替えやフィルター処理を行うことができます。This lets you sort and filter on one or more of these properties. Power Query エディターを使用して JSON オブジェクトを変換するための詳しい手順については、「監査ログ レコードをエクスポート、構成、表示する」を参照してください。For step-by-step instructions using the Power Query Editor to transform the JSON object, see Export, configure, and view audit log records.

    AuditData 列を分割した後、[操作] 列でフィルター処理して、特定の種類のアクティビティの詳細なプロパティを表示できます。After you split the AuditData column, you can filter on the Operations column to display the detailed properties for a specific type of activity.

  • [すべての結果をダウンロードする] オプションは、監査ログから CSV ファイルに生データをダウンロードします。The Download all results option downloads the raw data from the audit log to a CSV file. このファイルには [読み込まれた結果を保存] オプションを選択した場合にダウンロードされるファイルと異なる列名 (CreationDate、UserIds、Operation、AuditData) が含まれます。This file contains different column names (CreationDate, UserIds, Operation, AuditData) than the file that's downloaded if you select the Save loaded results option. 同じアクティビティに対する 2 つの別の CSV ファイル内の値が異なる場合もあります。The values in the two different CSV files for the same activity may also be different. たとえば、CSV ファイル内の [アクション] 列のアクティビティが、[監査ログの検索] ページの [アクティビティ] 列に表示される "わかりやすい" 名前とは異なる値になることがあります。For example, the activity in the Action column in the CSV file and may have a different value than the "user-friendly" name that's displayed in the Activity column on the Audit log search page. たとえば、MailboxLogin と メールボックスへのユーザーのサインインです。For example, MailboxLogin vs. User signed in to mailbox.

  • さまざまなサービスのイベントが含まれている検索クエリからすべての結果をダウンロードすると、CSV ファイルの [AuditData] 列には、そのアクションが実行されたサービスに応じて異なるプロパティが含まれます。When you download all results from a search query that contains events from different services, the AuditData column in the CSV file contains different properties depending on which service the action was performed in. たとえば、Exchange と Azure AD の監査ログのエントリには、アクションが成功したかどうかを示す ResultStatus というプロパティが含まれます。For example, entries from Exchange and Azure AD audit logs include a property named ResultStatus that indicates if the action was successful or not. このプロパティは、SharePoint のイベントには含まれません。This property isn't included for events in SharePoint. 同様に、SharePoint イベントには、ファイルおよびフォルダー関連のアクティビティのサイト URL を識別するプロパティがあります。Similarly, SharePoint events have a property that identifies the site URL for file and folder-related activities. この動作を軽減するには、別々の検索を使用して、1 つのサービスからのアクティビティの結果をエクスポートすることを検討してください。To mitigate this behavior, consider using different searches to export the results for activities from a single service.

    すべての結果をダウンロードする場合に CSV ファイルの [AuditData] 列に一覧表示されるプロパティの多く、および各プロパティが適用されるサービスについては、「監査ログの詳細なプロパティ」を参照してください。For a description of many of the properties that are listed in the AuditData column in the CSV file when you download all results, and the service each one applies to, see Detailed properties in the audit log.

監査されるアクティビティAudited activities

このセクションの表で、Office 365 で監査されるアクティビティについて説明します。The tables in this section describe the activities that are audited in Office 365. これらのイベントを検索するには、セキュリティ/コンプライアンス センターで監査ログを検索します。You can search for these events by searching the audit log in the security and compliance center.

以下の表は、関連するアクティビティまたは特定のサービスのアクティビティをグループ別にまとめたものです。These tables group related activities or the activities from a specific service. 表には、[アクティビティ] ドロップダウン リストに表示されるフレンドリ名と、監査レコードの詳細情報および検索結果をエクスポートするときに CSV ファイルに表示される対応する操作名が含まれています。The tables include the friendly name that's displayed in the Activities drop-down list and the name of the corresponding operation that appears in the detailed information of an audit record and in the CSV file when you export the search results. 詳細情報の説明については、「監査ログの詳細なプロパティ」をご覧ください。For descriptions of the detailed information, see Detailed properties in the audit log.

特定の表に移動するには、次のいずれかのリンクをクリックしてください。Click one of the following links to go to a specific table.

ファイル アクティビティとページ アクティビティFile and page activities フォルダー アクティビティFolder activities SharePoint リスト アクティビティSharePoint list activities
共有アクティビティとアクセス要求アクティビティSharing and access request activities 同期アクティビティSynchronization activities サイトの権限のアクティビティSite permissions activities
サイト管理アクティビティSite administration activities Exchange メールボックスのアクティビティExchange mailbox activities ユーザー管理アクティビティUser administration activities
Azure AD グループ管理アクティビティAzure AD group administration activities アプリケーション管理アクティビティApplication administration activities 役割管理アクティビティRole administration activities
ディレクトリ管理アクティビティDirectory administration activities 電子情報開示アクティビティeDiscovery activities Advanced eDiscovery アクティビティAdvanced eDiscovery activities
Power BI アクティビティPower BI activities Microsoft Workplace AnalyticsMicrosoft Workplace Analytics Microsoft Teams アクティビティMicrosoft Teams activities
Microsoft Teams 医療活動アクティビティMicrosoft Teams Healthcare activities Microsoft Teams Shifts アクティビティMicrosoft Teams Shifts activities Yammer アクティビティYammer activities
Microsoft Power Automate のアクティビティMicrosoft Power Automate activities Microsoft Power Apps のアクティビティMicrosoft Power Apps activities Microsoft Stream アクティビティMicrosoft Stream activities
コンテンツ エクスプローラー アクティビティContent explorer activities 検疫アクティビティQuarantine activities Microsoft Forms アクティビティMicrosoft Forms activities
機密ラベル アクティビティSensitivity label activities アイテム保持ポリシーと保持ラベルのアクティビティRetention policy and retention label activities Exchange 管理アクティビティExchange admin activities

ファイル アクティビティとページ アクティビティFile and page activities

次の表では、SharePoint Online および OneDrive for Business 内のファイル アクティビティとページ アクティビティについて説明します。The following table describes the file and page activities in SharePoint Online and OneDrive for Business.

フレンドリ名Friendly name 操作​​Operation 説明Description
ファイルがアクセスされましたAccessed file FileAccessedFileAccessed ユーザーまたはシステム アカウントがファイルにアクセスします。User or system account accesses a file.
(なし)(none) FileAccessedExtendedFileAccessedExtended これは、"ファイルへのアクセス" (FileAccessed) アクティビティに関連します。This is related to the "Accessed file" (FileAccessed) activity. 同じユーザーが長時間 (最大 3 時間) にわたって、ファイルに継続的にアクセスすると、FileAccessedExtended イベントがログに記録されます。A FileAccessedExtended event is logged when the same person continually accesses a file for an extended period (up to 3 hours).

FileAccessedExtended イベントをログに記録する目的は、ファイルが継続的にアクセスされたときにログに記録される FileAccessed イベントの数を減らすことにあります。The purpose of logging FileAccessedExtended events is to reduce the number of FileAccessed events that are logged when a file is continually accessed. これにより、本質的に同じユーザーのアクティビティであるファイル アクセスに対する無意味な複数の FileAccessed レコードが減り、初期の (より重要な) FileAccessed イベントに注目できます。This helps reduce the noise of multiple FileAccessed records for what is essentially the same user activity, and lets you focus on the initial (and more important) FileAccessed event.
ファイルの保持ラベルが変更されましたChanged retention label for a file ComplianceSettingChangedComplianceSettingChanged 保持ラベルがドキュメントに適用またはドキュメントから削除されました。A retention label was applied to or removed from a document. このイベントは、保持ラベルが手動または自動でメッセージに適用されたときにトリガーされます。This event is triggered when a retention label is manually or automatically applied to a message.
レコードのステータスがロックに変更されましたChanged record status to locked LockRecordLockRecord ドキュメントをレコードとして分類する保持ラベルのレコード ステータスがロックされました。The record status of a retention label that classifies a document as a record was locked. これは、ドキュメントを変更したり削除したりできないことを意味します。This means the document can't be modified or deleted. ドキュメントのレコード ステータスを変更できるのは、共同作成者以上のアクセス許可がサイトで割り当てられているユーザーだけです。Only users assigned at least the contributor permission for a site can change the record status of a document.
レコード ステータスが、ロック解除に変更されましたChanged record status to unlocked UnlockRecordUnlockRecord ドキュメントをレコードとして分類する保持ラベルのレコード ステータスのロックが解除されました。The record status of a retention label that classifies a document as a record was unlocked. これは、ドキュメントを変更したり削除したりできることを意味します。This means that the document can be modified or deleted. ドキュメントのレコード ステータスを変更できるのは、共同作成者以上のアクセス許可がサイトで割り当てられているユーザーだけです。Only users assigned at least the contributor permission for a site can change the record status of a document.
ファイルのチェックインChecked in file FileCheckedInFileCheckedIn ユーザーがドキュメント ライブラリからチェックアウトしたドキュメントをチェックインしました。User checks in a document that they checked out from a document library.
ファイルのチェックアウトChecked out file FileCheckedOutFileCheckedOut ユーザーがドキュメント ライブラリにあるドキュメントをチェックアウトしました。ユーザーは、共有されているドキュメントをチェックアウトし、変更できます。User checks out a document located in a document library. Users can check out and make changes to documents that have been shared with them.
ファイルのコピーCopied file FileCopiedFileCopied ユーザーがサイトのドキュメントをコピーしました。コピーしたファイルは、サイトの別のフォルダーに保存できます。User copies a document from a site. The copied file can be saved to another folder on the site.
ファイルの削除Deleted file FileDeletedFileDeleted ユーザーがサイトからドキュメントを削除しました。User deletes a document from a site.
ごみ箱からのファイルの削除Deleted file from recycle bin FileDeletedFirstStageRecycleBinFileDeletedFirstStageRecycleBin ユーザーがサイトのごみ箱からファイルを削除しました。User deletes a file from the recycle bin of a site.
第 2 段階のごみ箱からのファイルの削除Deleted file from second-stage recycle bin FileDeletedSecondStageRecycleBinFileDeletedSecondStageRecycleBin ユーザーがサイトの第 2 段階のごみ箱からファイルを削除しました。User deletes a file from the second-stage recycle bin of a site.
削除されたレコードのコンプライアンス ポリシー ラベルDeleted record compliance policy label ComplianceRecordDeleteComplianceRecordDelete レコードとしてマークされたドキュメントが削除されました。A document that was marked as a record was deleted. ドキュメントがレコードとしてみなされるのは、ドキュメントをレコードとしてマークする保持ラベルがドキュメントに適用されている場合です。A document is considered a record when a retention label that marks content as a record is applied to the document.
検出されたドキュメントの秘密度の不一致Detected document sensitivity mismatch DocumentSensitivityMismatchDetectedDocumentSensitivityMismatchDetected ユーザーが、機密ラベルで保護されているサイトにドキュメントをアップロードし、そのドキュメントの機密ラベルが、サイトに適用されている機密ラベルよりも優先度が高くなっています。User uploads a document to a site that's protected with a sensitivity label and the document has a higher priority sensitivity label than the sensitivity label applied to the site. たとえば、「社外秘」というラベルの付いたドキュメントが、「一般」というラベルの付いたサイトにアップロードされている場合です。For example, a document labeled Confidential is uploaded to a site labeled General.

ドキュメントの機密ラベルが、サイトに適用されている機密ラベルよりも優先度が低い場合、このイベントは発生しません。This event isn't triggered if the document has a lower priority sensitivity label than the sensitivity label applied to the site. たとえば、「一般」というラベルの付いたドキュメントが、「社外秘」というラベルの付いたサイトにアップロードされている場合です。For example, a document labeled General is uploaded to a site labeled Confidential. 機密ラベルの優先度の詳細については、「ラベルの優先度 (順序の問題)」を参照してください。For more information about sensitivity label priority, see Label priority (order matters).
ファイルでのマルウェアの検出Detected malware in file FileMalwareDetectedFileMalwareDetected SharePoint ウイルス対策エンジンにより、ファイル内でマルウェアが検出されました。SharePoint anti-virus engine detects malware in a file.
ファイル チェックアウトの破棄Discarded file checkout FileCheckOutDiscardedFileCheckOutDiscarded ユーザーは、チェックアウトしたファイルを破棄します (または元に戻します)。つまり、チェックアウト時にファイルに加えた変更はすべて破棄され、ドキュメント ライブラリ内のドキュメントのバージョンには保存されないということです。User discards (or undoes) a checked out file. That means any changes they made to the file when it was checked out are discarded, and not saved to the version of the document in the document library.
ファイルのダウンロードDownloaded file FileDownloadedFileDownloaded ユーザーがサイトからドキュメントをダウンロードしました。User downloads a document from a site.
ファイルの変更Modified file FileModifiedFileModified ユーザーまたはシステム アカウントがサイトにあるドキュメントのコンテンツまたはプロパティを変更します。User or system account modifies the content or the properties of a document on a site.
(なし)(none) FileModifiedExtendedFileModifiedExtended これは、"ファイルの変更" (FileModified) アクティビティに関連しています。This is related to the "Modified file" (FileModified) activity. 同じユーザーが長時間 (最大 3 時間) にわたって、ファイルの変更を継続的に行うと、FileModifiedExtended イベントがログに記録されます。A FileModifiedExtended event is logged when the same person continually modifies a file for an extended period (up to 3 hours).

FileModifiedExtended イベントをログに記録する目的は、ファイルの変更が継続的に行われたときにログに記録される FileModified イベントの数を減らすことにあります。The purpose of logging FileModifiedExtended events is to reduce the number of FileModified events that are logged when a file is continually modified. これにより、本質的に同じユーザーのアクティビティであるファイル変更に対する無意味な複数の FileModified レコードを減り、初期 (のより重要な) FileModified イベントに注目できます。This helps reduce the noise of multiple FileModified records for what is essentially the same user activity, and lets you focus on the initial (and more important) FileModified event.
ファイルの移動Moved file FileMovedFileMoved ユーザーがドキュメントをサイトの現在の場所から新しい場所に移動しました。User moves a document from its current location on a site to a new location.
(なし)(none) FilePreviewedFilePreviewed ユーザーが SharePoint または OneDrive for Business サイトにあるファイルをプレビューします。User previews files on a SharePoint or OneDrive for Business site. 通常、これらのイベントは、イメージ ギャラリーの表示などの 1 つのアクティビティに基づいて、大きいボリュームで発生します。These events typically occur in high volumes based on a single activity, such as viewing an image gallery.
実行された検索クエリPerformed search query SearchQueryPerformedSearchQueryPerformed ユーザーまたはシステム アカウントが SharePoint または OneDrive for Business で検索を実行します。User or system account performs a search in SharePoint or OneDrive for Business. サービス アカウントにより検索クエリが実行される一般的なシナリオとして、電子開示情報の保留またはアイテム保持ポリシーがサイトおよび OneDrive アカウントに適用される場合や、保持ラベルまたは機密ラベルがサイト コンテンツに自動適用される場合があります。Some common scenarios where a service account performs a search query include applying an eDiscovery holds and retention policy to sites and OneDrive accounts, and auto-applying retention or sensitivity labels to site content.
リサイクルされたファイルのすべてのマイナー バージョンRecycled all minor versions of file FileVersionsAllMinorsRecycledFileVersionsAllMinorsRecycled ユーザーが、ファイルのバージョン履歴からすべてのマイナー バージョンを削除しました。削除されたバージョンは、サイトのごみ箱に移動されます。User deletes all minor versions from the version history of a file. The deleted versions are moved to the site's recycle bin.
ファイルのすべてのバージョンのリサイクルRecycled all versions of file FileVersionsAllRecycledFileVersionsAllRecycled ユーザーが、ファイルのバージョン履歴からすべてのバージョンを削除しました。削除されたバージョンは、サイトのごみ箱に移動されます。User deletes all versions from the version history of a file. The deleted versions are moved to the site's recycle bin.
ファイルのバージョンのリサイクルRecycled version of file FileVersionRecycledFileVersionRecycled ユーザーが、ファイルのバージョン履歴から 1 つのバージョンを削除しました。削除されたバージョンは、サイトのごみ箱に移動されます。User deletes a version from the version history of a file. The deleted version is moved to the site's recycle bin.
ファイルの名前変更Renamed file FileRenamedFileRenamed ユーザーがサイトのドキュメントの名前を変更しました。User renames a document on a site.
ファイルの復元Restored file FileRestoredFileRestored ユーザーがサイトのごみ箱からドキュメントを復元しました。User restores a document from the recycle bin of a site.
ファイルのアップロードUploaded file FileUploadedFileUploaded ユーザーがサイトのフォルダーにドキュメントをアップロードしました。User uploads a document to a folder on a site.
ページの表示Viewed page PageViewedPageViewed ユーザーがサイトのページを表示します。これには、Web ブラウザー使用してドキュメント ライブラリ内にあるファイルを表示する操作は含まれません。User views a page on a site. This doesn't include using a Web browser to view files located in a document library.
(なし)(none) PageViewedExtendedPageViewedExtended これは、"ページの表示" (PageViewed) アクティビティに関連しています。This is related to the "Viewed page" (PageViewed) activity. 同じユーザーが長時間 (最大 3 時間) にわたって、継続的に Web ページを表示すると、PageViewedExtended イベントがログに記録されます。A PageViewedExtended event is logged when the same person continually views a web page for an extended period (up to 3 hours).

PageViewedExtended イベントをログに記録する目的は、ページが継続的に表示されたときにログに記録される PageViewed イベントの数を減らすことにあります。The purpose of logging PageViewedExtended events is to reduce the number of PageViewed events that are logged when a page is continually viewed. これにより、本質的に同じユーザーのアクティビティであるページ表示に対する無意味な複数の PageViewed レコードが減り、初期 (のより重要な) PageViewed イベントに注目できます。This helps reduce the noise of multiple PageViewed records for what is essentially the same user activity, and lets you focus on the initial (and more important) PageViewed event.
クライアントが表示をシグナルView signaled by client ClientViewSignaledClientViewSignaled ユーザーのクライアント (Web サイトやモバイル アプリなど) が、示されるページをユーザーが表示したことをシグナルしました。A user's client (such as website or mobile app) has signaled that the indicated page has been viewed by the user. 多くの場合、ページでの PagePrefetched イベントに続いてこのアクティビティがログに記録されます。This activity is often logged following a PagePrefetched event for a page.

: ClientViewSignaled イベントはサーバーではなくクライアントによりシグナルされるため、イベントがサーバーによってログに記録されず、監査ログに表示されない場合があります。NOTE: Because ClientViewSignaled events are signaled by the client, rather than the server, it's possible the event may not be logged by the server and therefore may not appear in the audit log. また、監査レコードの情報の信頼性が低い可能性もあります。It's also possible that information in the audit record may not be trustworthy. ただし、ユーザーの ID はシグナルの作成に使用されたトークンによって検証されるため、対応する監査レコードに記載されているユーザーの ID は正確です。However, because the user's identity is validated by the token used to create the signal, the user's identity listed in the corresponding audit record is accurate.
(なし)(none) PagePrefetchedPagePrefetched 示されるページにユーザーがアクセスした際のパフォーマンスを上げるため、ユーザーのクライアント (Web サイトやモバイル アプリなど) がそのページを要求しました。A user's client (such as website or mobile app) has requested the indicated page to help improve performance if the user browses to it. このイベントは、ページの内容がユーザーのクライアントに配信されたことを示すため、ログに記録されます。This event is logged to indicate that the page content has been served to the user's client. このイベントは、ユーザーがページに移動したことをはっきりと示します。This event isn't a definitive indication that the user navigated to the page.

(ユーザーの要求に従って) ページのコンテンツがクライアントによってレンダリングされると、ClientViewSignaled イベントが生成されます。When the page content is rendered by the client (as per the user's request) a ClientViewSignaled event should be generated. プレフェッチの指摘はすべてのクライアントでサポートされているわけではないため、プレフェッチされた一部のアクティビティは PageViewed イベントとしてログ記録される可能性があります。Not all clients support indicating a pre-fetch, and therefore some pre-fetched activities might instead be logged as PageViewed events.

監査レコード内の app@sharepoint ユーザーThe app@sharepoint user in audit records

一部のファイルアクティビティ (およびその他の SharePoint 関連のアクティビティ) の監査レコードでは、([ユーザー] および [UserId] フィールドで識別された) アクティビティを実行したユーザーが app@sharepoint であることがわかります。In audit records for some file activities (and other SharePoint-related activities), you may notice the user who performed the activity (identified in the User and UserId fields) is app@sharepoint. これは、アクティビティを実行した「ユーザー」がアプリケーションだったことを示します。This indicates that the "user" who performed the activity was an application. この場合、アプリケーションには、ユーザー、管理者、またはサービスの代理として、組織全体のアクション (SharePoint サイトまたは OneDrive アカウント検索など) を実行するためのアクセス許可が SharePoint に与えられています。In this case, the application was granted permissions in SharePoint to perform organization-wide actions (such as search a SharePoint site or OneDrive account) on behalf of a user, admin, or service. アプリケーションに対するアクセス許可を与えるこのプロセスは、SharePoint アプリ専用アクセスと呼ばれます。This process of giving permissions to an application is called SharePoint App-Only access. これは、アクションを実行するために SharePoint に提示された認証が、ユーザーの代わりに、アプリケーションによって処理されたことを示します。This indicates that the authentication presented to SharePoint to perform an action was made by an application, instead of a user. そのため、app@sharepoint ユーザーが特定の監査レコードで識別されます。This is why the app@sharepoint user is identified in certain audit records. 詳細については、「SharePoint アプリ専用のアクセスを許可する」を参照してください。For more information, see Grant access using SharePoint App-Only.

たとえば、多くの場合、app@sharepoint は、"Performed search query" および "Accessed file" のイベントのユーザーとして識別されます。For example, app@sharepoint is often identified as the user for "Performed search query" and "Accessed file" events. これは、組織で SharePoint アプリ専用アクセスを持つアプリケーションのみが検索クエリを実行し、アイテム保持ポリシーをサイトおよび OneDrive アカウントに適用するときにファイルにアクセスするためです。That's because an application with SharePoint App-Only access in your organization performs search queries and accesses files when applying retention policies to sites and OneDrive accounts.

ここでは、アクティビティを実行したユーザーとして監査レコード内で app@sharepoint が識別される可能性のある他のいくつかのシナリオを次に示します。Here are a few other scenarios where app@sharepoint may be identified in an audit record as the user who performed an activity:

  • Microsoft 365 グループ。Microsoft 365 Groups. ユーザーまたは管理者が新しいグループを作成すると、サイト コレクションの作成、リストの更新、および SharePoint グループへのメンバーの追加のために監査レコードが生成されます。When a user or admin creates a new group, audit records are generated for creating a site collection, updating lists, and adding members to a SharePoint group. これらのタスクは、グループを作成したユーザーの代わりにアプリケーションで実行されます。These tasks are performed an application on behalf of the user who created the group.

  • Microsoft Teams。Microsoft Teams. Microsoft 365 グループと同様に、サイト コレクションの作成、リストの更新、およびチームの作成時に SharePoint グループにメンバーを追加するための監査レコードが生成されます。Similar to Microsoft 365 Groups, audit records are generated for creating a site collection, updating lists, and adding members to a SharePoint group when a team is created.

  • コンプライアンス機能。Compliance features. 管理者が、保持ポリシー、電子情報開示の保持、機密ラベルの自動適用などのコンプライアンス機能を実装する場合。When an admin implements compliance features, such as retention policies, eDiscovery holds, and auto-applying sensitivity labels.

これらのシナリオおよび他のシナリオでは、指定したユーザーとして app@sharepoint を使用した複数の監査レコードが、非常に短い時間枠内、多くの場合数秒以内に作成されています。In these and other scenarios, you'll also notice that multiple audit records with app@sharepoint as the specified user were created within a short time frame, often within a few seconds of each other. これは、ユーザーが開始した同じタスクによってトリガーされた可能性も示しています。This also indicates they were probably triggered by the same user-initiated task. 監査レコード内の ApplicationDisplayName および EventData フィールドを確認することにより、イベントをトリガーしたシナリオまたはアプリケーションを特定できる場合があります。Also, the ApplicationDisplayName and EventData fields in the audit record may help you identify the scenario or application that triggered the event.

フォルダー アクティビティFolder activities

次の表では、SharePoint Online および OneDrive for Business 内のフォルダー アクティビティについて説明します。The following table describes the folder activities in SharePoint Online and OneDrive for Business. 前に説明したように、一部の SharePoint アクティビティの監査レコードには、アクションを開始したユーザーまたは管理者に代わって app@sharepoint ユーザーがアクティビティを実行したことが示されます。As previously explained, audit records for some SharePoint activities will indicate the app@sharepoint user performed the activity of behalf of the user or admin who initiated the action. 詳細については、監査レコード内の app@sharepoint ユーザーを参照してくださいFor more information, see The app@sharepoint user in audit records.

フレンドリ名Friendly name 操作​​Operation 説明Description
フォルダーがコピーされましたCopied folder FolderCopiedFolderCopied ユーザーがフォルダーをサイトから SharePoint または OneDrive for Business の別の場所にコピーしました。User copies a folder from a site to another location in SharePoint or OneDrive for Business.
フォルダーの作成Created folder FolderCreatedFolderCreated ユーザーがサイトにフォルダーを作成しました。User creates a folder on a site.
フォルダーの削除Deleted folder FolderDeletedFolderDeleted ユーザーがサイトからフォルダーを削除しました。User deletes a folder from a site.
ごみ箱からのフォルダーの削除Deleted folder from recycle bin FolderDeletedFirstStageRecycleBinFolderDeletedFirstStageRecycleBin ユーザーがサイトのごみ箱からフォルダーを削除しました。User deletes a folder from the recycle bin on a site.
第 2 段階のごみ箱からのフォルダーの削除Deleted folder from second-stage recycle bin FolderDeletedSecondStageRecycleBinFolderDeletedSecondStageRecycleBin ユーザーがサイトの第 2 段階のごみ箱からフォルダーを削除しました。User deletes a folder from the second-stage recycle bin on a site.
フォルダーの変更Modified folder FolderModifiedFolderModified ユーザーがサイトのフォルダーを変更しました。これには、フォルダーのメタデータの変更 (タグおよびプロパティの変更など) が含まれます。User modifies a folder on a site. This includes changing the folder metadata, such as changing tags and properties.
フォルダーの移動Moved folder FolderMovedFolderMoved ユーザーがフォルダーをサイトの別の場所に移動しました。User moves a folder to a different location on a site.
フォルダーの名前変更Renamed folder FolderRenamedFolderRenamed ユーザーがサイトのフォルダーの名前を変更しました。User renames a folder on a site.
フォルダーの復元Restored folder FolderRestoredFolderRestored ユーザーがサイトのごみ箱から削除されたフォルダーを復元しました。User restores a deleted folder from the recycle bin on a site.

SharePoint リスト アクティビティSharePoint list activities

次の表では、ユーザーが SharePoint Online のリストとリストアイテムを操作する際に関連するアクティビティを説明します。The following table describes activities related to when users interact with lists and list items in SharePoint Online. 前に説明したように、一部の SharePoint アクティビティの監査レコードには、アクションを開始したユーザーまたは管理者に代わって app@sharepoint ユーザーがアクティビティを実行したことが示されます。As previously explained, audit records for some SharePoint activities will indicate the app@sharepoint user performed the activity of behalf of the user or admin who initiated the action. 詳細については、監査レコード内の app@sharepoint ユーザーを参照してくださいFor more information, see The app@sharepoint user in audit records.

フレンドリ名Friendly name 操作​​Operation 説明Description
リストの作成Created list ListCreatedListCreated ユーザーが SharePoint リストを作成しました。A user created a SharePoint list.
リスト列の作成Created list column ListColumnCreatedListColumnCreated ユーザーが SharePoint リスト列を作成しました。A user created a SharePoint list column. リスト列は、1 つまたは複数の SharePoint リストに関連付けられている列です。A list column is a column that's attached to one or more SharePoint lists.
リスト コンテンツ タイプの作成Created list content type ListContentTypeCreatedListContentTypeCreated ユーザーがリスト コンテンツ タイプを作成しました。A user created a list content type. リスト コンテンツ タイプは、1 つまたは複数の SharePoint リストに関連付けられているコンテンツ タイプです。A list content type is a content type that's attached to one or more SharePoint lists.
リスト アイテムの作成Created list item ListItemCreatedListItemCreated ユーザーが既存の SharePoint リストにアイテムを作成しました。A user created an item in an existing SharePoint list.
サイト列の作成Created site column SiteColumnCreatedSiteColumnCreated ユーザーが SharePoint サイト列を作成しました。A user created a SharePoint site column. サイト列とは、リストに関連付けられていない列のことです。A site column is a column that isn't attached to a list. サイト列は、特定の Web のすべてのリストで使用できるメタデータ構造でもあります。A site column is also a metadata structure that can be used by any list in a given web.
サイト コンテンツ タイプの作成Created site content type サイトの ContentType の作成Site ContentType Created ユーザーがサイト コンテンツ タイプを作成しました。A user created a site content type. サイト コンテンツ タイプは、親サイトに関連付けられているコンテンツ タイプです。A site content type is a content type that's attached to the parent site.
リストの削除Deleted list ListDeletedListDeleted ユーザーが SharePoint リストを削除しました。A user deleted a SharePoint list.
リスト列の削除Deleted list column 削除されたリスト列List Column Deleted ユーザーが SharePoint リスト列を削除しました。A user deleted a SharePoint list column.
リスト コンテンツ タイプの削除Deleted list content type ListContentTypeDeletedListContentTypeDeleted ユーザーがリスト コンテンツ タイプを削除しました。A user deleted a list content type.
リスト アイテムの削除Deleted list item 削除されたリスト アイテムList Item Deleted ユーザーが SharePoint リスト アイテムを削除しました。A user deleted a SharePoint list item.
サイト列の削除Deleted site column SiteColumnDeletedSiteColumnDeleted ユーザーが SharePoint サイト列を削除しました。A user deleted a SharePoint site column.
サイト コンテンツ タイプの削除Deleted site content type SiteContentTypeDeletedSiteContentTypeDeleted ユーザーがサイト コンテンツ タイプを削除しました。A user deleted a site content type.
リスト アイテムのリサイクルRecycled list item ListItemRecycledListItemRecycled ユーザーが SharePoint リスト アイテムをごみ箱に移動しました。A user moved a SharePoint list item to the Recycle Bin.
リストの復元Restored list ListRestoredListRestored ユーザーが SharePoint リストをごみ箱から復元しました。A user restored a SharePoint list from the Recycle Bin.
リスト アイテムの復元Restored list item ListItemRestoredListItemRestored ユーザーが SharePoint リスト アイテムをごみ箱から復元しました。A user restored a SharePoint list item from the Recycle Bin.
リストの更新Updated list ListUpdatedListUpdated ユーザーが 1 つ以上のプロパティを変更して SharePoint リストを更新しました。A user updated a SharePoint list by modifying one or more properties.
リスト列の更新Updated list column ListColumnUpdatedListColumnUpdated ユーザーが 1 つ以上のプロパティを変更して SharePoint リスト列を更新しました。A user updated a SharePoint list column by modifying one or more properties.
リスト コンテンツ タイプの更新Updated list content type ListContentTypeUpdatedListContentTypeUpdated ユーザーが 1 つ以上のプロパティを変更してリスト コンテンツ タイプを更新しました。A user updated a list content type by modifying one or more properties.
リスト アイテムの更新Updated list item ListItemUpdatedListItemUpdated ユーザーが 1 つ以上のプロパティを変更して SharePoint リスト アイテムを更新しました。A user updated a SharePoint list item by modifying one or more properties.
サイト列の更新Updated site column SiteColumnUpdatedSiteColumnUpdated ユーザーが 1 つ以上のプロパティを変更して SharePoint サイト列を更新しました。A user updated a SharePoint site column by modifying one or more properties.
サイト コンテンツ タイプの更新Updated site content type SiteContentTypeUpdatedSiteContentTypeUpdated ユーザーが 1 つ以上のプロパティを変更してサイト コンテンツ タイプを更新しました。A user updated a site content type by modifying one or more properties.

共有アクティビティとアクセス要求アクティビティSharing and access request activities

次の表では、SharePoint Online および OneDrive for Business でのユーザー共有とアクセス要求アクティビティを説明します。The following table describes the user sharing and access request activities in SharePoint Online and OneDrive for Business. 共有イベントの場合、[結果] の [詳細] 列で、アイテムを共有したユーザーまたはグループの名前と、そのユーザーまたはグループが組織のメンバーかゲストかが識別されます。For sharing events, the Detail column under Results identifies the name of the user or group the item was shared with and whether that user or group is a member or guest in your organization. 詳細については、「監査ログで共有監査を使用する」を参照してください。For more information, see Use sharing auditing in the audit log.

注意

ユーザーは、ユーザー オブジェクトの UserType プロパティに従ってメンバーまたはゲストのいずれかになります。通常、メンバーは従業員で、ゲストは組織外の共同作業者です。ユーザーが共有への招待を承諾すると (ユーザーがまだ組織のメンバーではない場合)、組織のディレクトリ内にそのユーザー用のゲスト アカウントが作成されます。ゲスト ユーザーがディレクトリ内にアカウントを持つと、リソースをそれらのユーザーと直接共有できます (ユーザーが招待を要求する必要はありません)。Users can be either members or guests based on the UserType property of the user object. A member is usually an employee, and a guest is usually a collaborator outside of your organization. When a user accepts a sharing invitation (and isn't already part of your organization), a guest account is created for them in your organization's directory. Once the guest user has an account in your directory, resources may be shared directly with them (without requiring an invitation).

フレンドリ名Friendly name 操作​​Operation 説明Description
サイト コレクションへのアクセス許可レベルの追加Added permission level to site collection PermissionLevelAddedPermissionLevelAdded サイト コレクションにアクセス許可レベルが追加されました。A permission level was added to a site collection.
アクセス要求の承諾Accepted access request AccessRequestAcceptedAccessRequestAccepted サイト、フォルダー、またはドキュメントに対するアクセス要求が承諾されて、要求したユーザーがアクセスを許可されました。An access request to a site, folder, or document was accepted and the requesting user has been granted access.
共有への招待の承諾Accepted sharing invitation SharingInvitationAcceptedSharingInvitationAccepted ユーザー (メンバーまたはゲスト) が共有の招待を承諾し、リソースに対するアクセス権が付与されました。このイベントには、招待されたユーザーと招待の承諾に使用されたメール アドレス (招待されたユーザーのメール アドレスとは異なる可能性があります) に関する情報が含まれています。多くの場合、このアクティビティには、リソースに対してどのようなアクセス権がユーザーに付与されたか、という 2 つ目のイベントが伴います。たとえば、リソースに対するアクセス権を持つグループへのユーザーの追加などです。 User (member or guest) accepted a sharing invitation and was granted access to a resource. This event includes information about the user who was invited and the email address that was used to accept the invitation (they could be different). This activity is often accompanied by a second event that describes how the user was granted access to the resource, for example, adding the user to a group that has access to the resource.
共有の招待がブロックされましたBlocked sharing invitation SharingInvitationBlockedSharingInvitationBlocked 組織内のユーザーによって送信された共有への招待は、ターゲット ユーザーのドメインに基づいて外部共有を許可または拒否する外部共有ポリシーのためにブロックされます。この場合、次の理由により、共有への招待がブロックされました。 A sharing invitation sent by a user in your organization is blocked because of an external sharing policy that either allows or denies external sharing based on the domain of the target user. In this case, the sharing invitation was blocked because:
ターゲット ユーザーのドメインが、許可されたドメインの一覧に含まれていない。The target user's domain isn't included in the list of allowed domains.
またはOr
ターゲット ユーザーのドメインが、ブロックするドメインの一覧に含まれている。The target user's domain is included in the list of blocked domains.
ドメインに基づく外部共有の許可またはブロックの詳細については、「SharePoint Online and OneDrive for Business での制限付きドメイン共有」を参照してください。For more information about allowing or blocking external sharing based on domains, see Restricted domains sharing in SharePoint Online and OneDrive for Business.
アクセス要求の作成Created access request AccessRequestCreatedAccessRequestCreated アクセス許可がないサイト、フォルダー、またはドキュメントに対するアクセスをユーザーが要求しました。User requests access to a site, folder, or document they don't have permissions to access.
会社の共有可能なリンクの作成Created a company shareable link CompanyLinkCreatedCompanyLinkCreated ユーザーがリソースへの全社的なリンクを作成しました。全社的なリンクは、組織内のメンバーのみが使用できます。ゲストは使用できません。User created a company-wide link to a resource. company-wide links can only be used by members in your organization. They can't be used by guests.
匿名リンクの作成Created an anonymous link AnonymousLinkCreatedAnonymousLinkCreated ユーザーがリソースへの匿名リンクを作成しました。このリンクを使用できるすべてのユーザーが、認証なしでリソースにアクセスできます。User created an anonymous link to a resource. Anyone with this link can access the resource without having to be authenticated.
セキュリティで保護されたリンクの作成Created secure link SecureLinkCreatedSecureLinkCreated セキュリティで保護された、このアイテムへの共有リンクが作成されました。A secure sharing link was created to this item.
共有への招待の作成Created sharing invitation SharingInvitationCreatedSharingInvitationCreated ユーザーが、組織のディレクトリ内に含まれていないユーザーと SharePoint Online または OneDrive for Business のリソースを共有しました。User shared a resource in SharePoint Online or OneDrive for Business with a user who isn't in your organization's directory.
セキュリティで保護されたリンクの削除Deleted secure link SecureLinkDeletedSecureLinkDeleted セキュリティで保護されたリンクが削除されました。A secure sharing link was deleted.
アクセス要求の拒否Denied access request AccessRequestDeniedAccessRequestDenied サイト、フォルダー、またはドキュメントに対するアクセスが拒否されました。An access request to a site, folder, or document was denied.
会社の共有可能なリンクが削除されましたRemoved a company shareable link CompanyLinkRemovedCompanyLinkRemoved ユーザーがリソースへの全社的なリンクを削除しました。リソースへのアクセスにリンクを使用できなくなります。User removed a company-wide link to a resource. The link can no longer be used to access the resource.
匿名リンクの削除Removed an anonymous link AnonymousLinkRemovedAnonymousLinkRemoved ユーザーがリソースに対する匿名リンクを削除しました。リソースにアクセスするリンクは使用できなくなります。User removed an anonymous link to a resource. The link can no longer be used to access the resource.
ファイル、フォルダー、サイトが共有されましたShared file, folder, or site SharingSetSharingSet ユーザー (メンバーまたはゲスト) が、組織のディレクトリ内のユーザーと SharePoint または OneDrive for Business のファイル、フォルダー、またはサイトを共有しました。User (member or guest) shared a file, folder, or site in SharePoint or OneDrive for Business with a user in your organization's directory. このアクティビティの [詳細] 列の値で、リソースを共有したユーザー名と、そのユーザーがメンバーかゲストかが識別されます。The value in the Detail column for this activity identifies the name of the user the resource was shared with and whether this user is a member or a guest.

多くの場合、このアクティビティには、リソースに対してどのようなアクセス権がユーザーに付与されたか、という 2 つ目のイベントが伴います。This activity is often accompanied by a second event that describes how the user was granted access to the resource. たとえば、リソースへのアクセス権を持つグループへのユーザーの追加などです。For example, adding the user to a group that has access to the resource.
アクセス要求の更新Updated access request AccessRequestUpdatedAccessRequestUpdated アイテムに対するアクセス要求が更新されました。An access request to an item was updated.
匿名リンクの更新Updated an anonymous link AnonymousLinkUpdatedAnonymousLinkUpdated ユーザーがリソースへの匿名リンクを更新しました。検索結果をエクスポートする場合、更新されたフィールドが EventData プロパティに含まれます。User updated an anonymous link to a resource. The updated field is included in the EventData property when you export the search results.
共有への招待の更新Updated sharing invitation SharingInvitationUpdatedSharingInvitationUpdated 外部共有への招待が更新されました。An external sharing invitation was updated.
匿名リンクの使用Used an anonymous link AnonymousLinkUsedAnonymousLinkUsed 匿名ユーザーが匿名リンクを使用してリソースにアクセスしました。ユーザーの ID が不明な可能性がありますが、ユーザーの IP アドレスなどの他の詳細を取得できます。An anonymous user accessed a resource by using an anonymous link. The user's identity might be unknown, but you can get other details such as the user's IP address.
ファイル、フォルダー、またはサイトの共有解除Unshared file, folder, or site SharingRevokedSharingRevoked ユーザー (メンバーまたはゲスト) が、以前別のユーザーと共有していたファイル、フォルダー、またはサイトの共有を解除しました。User (member or guest) unshared a file, folder, or site that was previously shared with another user.
会社の共有可能なリンクの使用Used a company shareable link CompanyLinkUsedCompanyLinkUsed ユーザーが全社的なリンクを使用してリソースにアクセスしました。User accessed a resource by using a company-wide link.
セキュリティで保護されたリンクの使用Used secure link SecureLinkUsedSecureLinkUsed ユーザーが、セキュリティで保護されたリンクを使用しました。A user used a secure link.
セキュリティで保護されたリンクへのユーザーの追加User added to secure link AddedToSecureLinkAddedToSecureLink ユーザーが、セキュリティで保護された共有リンクを使用できるエンティティの一覧に追加されました。A user was added to the list of entities who can use a secure sharing link.
セキュリティで保護されたリンクからのユーザーの削除User removed from secure link RemovedFromSecureLinkRemovedFromSecureLink ユーザーが、セキュリティで保護された共有リンクを使用できるエンティティの一覧から削除されました。A user was removed from the list of entities who can use a secure sharing link.
共有への招待の取り消しWithdrew sharing invitation SharingInvitationRevokedSharingInvitationRevoked ユーザーが、リソースの共有への招待を取り消しました。User withdrew a sharing invitation to a resource.

同期アクティビティSynchronization activities

次の表では、SharePoint Online および OneDrive for Business 内のファイル同期アクティビティを一覧表示します。The following table lists file synchronization activities in SharePoint Online and OneDrive for Business.

フレンドリ名Friendly name 操作​​Operation 説明Description
コンピューターによってファイルの同期が許可されましたAllowed computer to sync files ManagedSyncClientAllowedManagedSyncClientAllowed ユーザーがサイトとの同期関係を正常に確立しました。User successfully establishes a sync relationship with a site. ユーザーのコンピューターが、組織内のドキュメント ライブラリにアクセスできるドメインのリスト (宛先セーフ リストと呼ばれる) に追加されているドメインのメンバーであるため、同期関係は成功しました。The sync relationship is successful because the user's computer is a member of a domain that's been added to the list of domains (called the safe recipients list) that can access document libraries in your organization.

この機能の詳細については、「Windows PowerShell コマンドレットを使用して宛先セーフ リスト上のドメインに対して OneDrive 同期を有効にする」を参照してください。For more information about this feature, see Use Windows PowerShell cmdlets to enable OneDrive sync for domains that are on the safe recipients list.
コンピューターに対するファイル同期のブロックBlocked computer from syncing files UnmanagedSyncClientBlockedUnmanagedSyncClientBlocked ユーザーが、組織のドメインのメンバーではないか、組織のドキュメント ライブラリにアクセスできるドメインのリスト (信頼できる宛先のリストと呼ばれる) に追加されていないドメインのメンバーであるコンピューターから、サイトとの同期関係を確立しようとしました。同期関係は許可されず、ユーザーのコンピューターは、ドキュメント ライブラリのファイルの同期、ダウンロード、またはアップロードを行うことができません。 User tries to establish a sync relationship with a site from a computer that isn't a member of your organization's domain or is a member of a domain that hasn't been added to the list of domains (called the safe recipients list) that can access document libraries in your organization. The sync relationship is not allowed, and the user's computer is blocked from syncing, downloading, or uploading files on a document library.

この機能については、「Windows PowerShell コマンドレットを使用して宛先セーフ リスト上のドメインに対して OneDrive 同期を有効にする」を参照してください。For information about this feature, see Use Windows PowerShell cmdlets to enable OneDrive sync for domains that are on the safe recipients list.
コンピューターへのファイルのダウンロードDownloaded files to computer FileSyncDownloadedFullFileSyncDownloadedFull ユーザーが同期関係を確立して、ドキュメント ライブラリからコンピューターに初めてファイルを正常にダウンロードしました。User establishes a sync relationship and successfully downloads files for the first time to their computer from a document library.
コンピューターへのファイル変更のダウンロードDownloaded file changes to computer FileSyncDownloadedPartialFileSyncDownloadedPartial ユーザーがドキュメント ライブラリのファイルへの変更を正常にダウンロードしました。このアクティビティは、ドキュメント ライブラリ内のファイルに加えられた変更がユーザーのコンピューターにダウンロードされたことを示します。ドキュメント ライブラリは、(ファイルがコンピューターにダウンロードされましたというアクティビティに示されているように) 以前にユーザーによってダウンロードされているため、変更のみがダウンロードされました。User successfully downloads any changes to files from a document library. This activity indicates that any changes that were made to files in the document library were downloaded to the user's computer. Only changes were downloaded because the document library was previously downloaded by the user (as indicated by the Downloaded files to computer activity).
ファイルがドキュメント ライブラリにアップロードされましたUploaded files to document library FileSyncUploadedFullFileSyncUploadedFull ユーザーが同期関係を確立して、コンピューターからドキュメント ライブラリに初めてファイルを正常にアップロードしました。User establishes a sync relationship and successfully uploads files for the first time from their computer to a document library.
ドキュメント ライブラリへのファイル変更のアップロードUploaded file changes to document library FileSyncUploadedPartialFileSyncUploadedPartial ユーザーはドキュメント ライブラリ上のファイルの変更を正常にアップロードしました。User successfully uploads changes to files on a document library. このイベントは、ドキュメント ライブラリからダウンロードしたローカル バージョンのファイルに加えた変更内容が、ドキュメント ライブラリに正常にアップロードされたことを示します。This event indicates that any changes made to the local version of a file from a document library are successfully uploaded to the document library. それらのファイルは、(「ドキュメント ライブラリへのファイルのアップロード」 アクティビティによって示されるように) 以前にユーザーによってアップロードされているため、変更内容のみがアップロードされます。Only changes are uploaded because those files were previously uploaded by the user (as indicated by the Uploaded files to document library activity).

サイトの権限のアクティビティSite permissions activities

次の表では、SharePoint でのアクセス許可の割り当てとグループの使用によるサイトへのアクセス権の付与に関連するイベントを一覧表示します。The following table lists events related to assigning permissions in SharePoint and using groups to give (and revoke) access to sites. 前に説明したように、一部の SharePoint アクティビティの監査レコードには、アクションを開始したユーザーまたは管理者に代わって app@sharepoint ユーザーがアクティビティを実行したことが示されます。As previously explained, audit records for some SharePoint activities will indicate the app@sharepoint user performed the activity of behalf of the user or admin who initiated the action. 詳細については、監査レコード内の app@sharepoint ユーザーを参照してくださいFor more information, see The app@sharepoint user in audit records.

フレンドリ名Friendly name 操作​​Operation 説明Description
サイト コレクション管理者の追加Added site collection admin SiteCollectionAdminAddedSiteCollectionAdminAdded サイト コレクション管理者または所有者が、サイトのサイト コレクション管理者としてユーザーを追加します。Site collection administrator or owner adds a person as a site collection administrator for a site. サイト コレクション管理者には、サイト コレクションとすべてのサブサイトのフル コントロール権限があります。Site collection administrators have full control permissions for the site collection and all subsites. このアクティビティは、SharePoint 管理センターでユーザー プロファイルを編集するか Microsoft 365 管理センターを使用することにより、管理者がユーザーの OneDrive アカウントへのアクセス権限を自分自身に付与する際にも記録されます。This activity is also logged when an admin gives themselves access to a user's OneDrive account (by editing the user profile in the SharePoint admin center or by using the Microsoft 365 admin center).
SharePoint グループへのユーザーまたはグループの追加Added user or group to SharePoint group AddedToGroupAddedToGroup ユーザーが SharePoint グループにメンバーまたはゲストを追加しました。これは、意図したアクション、または別のアクティビティ (共有イベントなど) の結果の可能性があります。User added a member or guest to a SharePoint group. This might have been an intentional action or the result of another activity, such as a sharing event.
アクセス許可レベルの継承の停止Broke permission level inheritance PermissionLevelsInheritanceBrokenPermissionLevelsInheritanceBroken アイテムが変更されたので、アクセス許可レベルが親から継承されなくなりました。An item was changed so that it no longer inherits permission levels from its parent.
共有の継承の停止Broke sharing inheritance SharingInheritanceBrokenSharingInheritanceBroken アイテムが変更されたので、共有アクセス許可が親から継承されなくなりました。An item was changed so that it no longer inherits sharing permissions from its parent.
グループの作成Created group GroupAddedGroupAdded サイトの管理者または所有者がサイトのグループを作成したか、グループが作成されるタスクを実行しました。たとえば、ユーザーがファイルを共有するためのリンクを初めて作成すると、システム グループがユーザーの OneDrive for Business サイトに追加されます。このイベントは、ユーザーが共有ファイルに対する編集アクセス許可を含むリンクを作成した結果の場合もあります。Site administrator or owner creates a group for a site, or performs a task that results in a group being created. For example, the first time a user creates a link to share a file, a system group is added to the user's OneDrive for Business site. This event can also be a result of a user creating a link with edit permissions to a shared file.
グループの削除Deleted group GroupRemovedGroupRemoved ユーザーがサイトからグループを削除しました。User deletes a group from a site.
アクセス要求の設定の変更Modified access request setting WebRequestAccessModifiedWebRequestAccessModified サイトでアクセス要求の設定が変更されました。The access request settings were modified on a site.
[メンバーが共有可能] 設定の変更Modified 'Members Can Share' setting WebMembersCanShareModifiedWebMembersCanShareModified サイトで [メンバーが共有可能] 設定が変更されました。The Members Can Share setting was modified on a site.
サイト コレクションのアクセス許可レベルの変更Modified permission level on a site collection PermissionLevelModifiedPermissionLevelModified サイト コレクションでアクセス許可レベルが変更されました。A permission level was changed on a site collection.
サイト アクセス許可の変更Modified site permissions SitePermissionsModifiedSitePermissionsModified サイト管理者または所有者 (またはシステム アカウント) がサイトのグループに割り当てられたアクセス許可レベルを変更しました。Site administrator or owner (or system account) changes the permission level that is assigned to a group on a site. すべてのアクセス許可がグループから削除された場合も、このアクティビティが記録されます。This activity is also logged if all permissions are removed from a group.

: この操作は、SharePoint Online で廃止されました。NOTE: This operation has been deprecated in SharePoint Online. 関連するイベントを見つけるには、サイト コレクション管理者の追加SharePoint グループへのユーザーまたはグループの追加ユーザーに対するグループ作成の許可グループの作成グループの削除などのその他のアクセス許可関連のアイテムを検索することができます。To find related events, you can search for other permission-related activities such as Added site collection admin, Added user or group to SharePoint group, Allowed user to create groups, Created group, and Deleted group.
サイト コレクションからのアクセス許可レベルの削除Removed permission level from site collection PermissionLevelRemovedPermissionLevelRemoved サイト コレクションからアクセス許可レベルが削除されました。A permission level was removed from a site collection.
サイト コレクション管理者の削除Removed site collection admin SiteCollectionAdminRemovedSiteCollectionAdminRemoved サイト コレクション管理者または所有者が、サイトのサイト コレクション管理者としてユーザーを削除します。Site collection administrator or owner removes a person as a site collection administrator for a site. このアクティビティは、(SharePoint 管理センターでユーザー プロファイルを編集することにより) 管理者がユーザーの OneDrive アカウントのサイト コレクション管理者のリストから自分自身を削除する際にも記録されます。This activity is also logged when an admin removes themselves from the list of site collection administrators for a user's OneDrive account (by editing the user profile in the SharePoint admin center). 監査ログの検索結果にこのアクティビティを返すには、すべてのアクティビティを検索する必要があります。To return this activity in the audit log search results, you have to search for all activities.
SharePoint グループからのユーザーまたはグループの削除Removed user or group from SharePoint group RemovedFromGroupRemovedFromGroup ユーザーが SharePoint グループからメンバーまたはゲストを削除しました。これは、意図したアクション、または別のアクティビティ (共有解除イベントなど) の結果の可能性があります。User removed a member or guest from a SharePoint group. This might have been an intentional action or the result of another activity, such as an unsharing event.
サイト管理者アクセス許可の要求Requested site admin permissions SiteAdminChangeRequestSiteAdminChangeRequest ユーザーが、サイト コレクションのサイト コレクション管理者として追加するように要求しました。サイト コレクション管理者には、サイト コレクションとすべてのサブサイトのフル コントロール権限があります。User requests to be added as a site collection administrator for a site collection. Site collection administrators have full control permissions for the site collection and all subsites.
共有の継承の復元Restored sharing inheritance SharingInheritanceResetSharingInheritanceReset 変更が加えられたので、共有アクセス許可が親から継承されなくなりました。A change was made so that an item inherits sharing permissions from its parent.
グループの更新Updated group GroupUpdatedGroupUpdated サイトの管理者または所有者がサイトのグループの設定を変更しました。これには、グループ名の変更、グループのメンバーシップを表示または変更できるユーザーの変更、メンバーシップ要求の処理方法の変更などがあります。Site administrator or owner changes the settings of a group for a site. This can include changing the group's name, who can view or edit the group membership, and how membership requests are handled.

サイト管理アクティビティSite administration activities

次の表では、SharePoint Online 内のサイト管理タスクによって発生するイベントを一覧表示します。The following table lists events that result from site administration tasks in SharePoint Online. 前に説明したように、一部の SharePoint アクティビティの監査レコードには、アクションを開始したユーザーまたは管理者に代わって app@sharepoint ユーザーがアクティビティを実行したことが示されます。As previously explained, audit records for some SharePoint activities will indicate the app@sharepoint user performed the activity of behalf of the user or admin who initiated the action. 詳細については、監査レコード内の app@sharepoint ユーザーを参照してくださいFor more information, see The app@sharepoint user in audit records.

フレンドリ名Friendly name 操作​​Operation 説明Description
許可されるデータの場所の追加Added allowed data location AllowedDataLocationAddedAllowedDataLocationAdded SharePoint 管理者またはグローバル管理者が、複数地域環境で許可されるデータの場所を追加しました。A SharePoint or global administrator added an allowed data location in a multi-geo environment.
適用除外ユーザー エージェントの追加Added exempt user agent ExemptUserAgentSetExemptUserAgentSet SharePoint 管理者またはグローバル管理者が、SharePoint 管理センターで適用除外ユーザー エージェントの一覧にユーザー エージェントを追加しました。A SharePoint or global administrator added a user agent to the list of exempt user agents in the SharePoint admin center.
地理的位置の管理者の追加Added geo location admin GeoAdminAddedGeoAdminAdded SharePoint 管理者またはグローバル管理者が、地理的位置の管理者としてユーザーを追加しました。A SharePoint or global administrator added a user as a geo admin of a location.
ユーザーに対するグループ作成の許可Allowed user to create groups AllowGroupCreationSetAllowGroupCreationSet サイトの管理者または所有者がアクセス許可レベルをサイトに追加しました。そのアクセス許可が割り当てられているユーザーは、そのサイトのグループを作成することが許可されます。Site administrator or owner adds a permission level to a site that allows a user assigned that permission to create a group for that site.
サイトの地域の移動の取り消しCanceled site geo move SiteGeoMoveCancelledSiteGeoMoveCancelled SharePoint またはグローバル管理者が SharePoint または OneDrive サイトの地域の移動を正常にキャンセルしました。A SharePoint or global administrator successfully cancels a SharePoint or OneDrive site geo move. 複数地域機能を使用すると、組織が複数の Microsoft データセンターの場所にまたがることができます。これは「地域」と呼ばれます。The Multi-Geo capability lets an organization span multiple Microsoft datacenter geographies, which are called geos. 詳細については、「OneDrive および SharePoint Online の複数地域機能」を参照してください。For more information, see Multi-Geo Capabilities in OneDrive and SharePoint Online.
共有ポリシーの変更Changed a sharing policy SharingPolicyChangedSharingPolicyChanged SharePoint またはグローバル管理者が、Microsoft 365 管理ポータル、SharePoint 管理ポータル、または SharePoint Online 管理シェルを使用して SharePoint 共有ポリシーを変更しました。A SharePoint or global administrator changed a SharePoint sharing policy by using the Microsoft 365 admin portal, SharePoint admin portal, or SharePoint Online Management Shell. 組織の共有ポリシーの設定が変更されると、ログに記録されます。Any change to the settings in the sharing policy in your organization will be logged. 変更されたポリシーは、イベント レコードの詳細なプロパティの ModifiedProperties フィールドで識別されます。The policy that was changed is identified in the ModifiedProperties field in the detailed properties of the event record.
デバイス アクセス ポリシーの変更Changed device access policy DeviceAccessPolicyChangedDeviceAccessPolicyChanged SharePoint またはグローバル管理者が、組織の非管理対象デバイス ポリシーを変更しました。A SharePoint or global administrator changed the unmanaged devices policy for your organization. このポリシーは、組織に参加していないデバイスからの SharePoint、OneDrive、および Microsoft 365 へのアクセスを制御します。This policy controls access to SharePoint, OneDrive, and Microsoft 365 from devices that aren't joined to your organization. このポリシーを構成するには、Enterprise Mobility + Security サブスクリプションが必要です。Configuring this policy requires an Enterprise Mobility + Security subscription. 詳細については、「非管理対象デバイスからのアクセスを制御する」を参照してください。For more information, see Control access from unmanaged devices.
適用除外ユーザー エージェントの変更Changed exempt user agents CustomizeExemptUsersCustomizeExemptUsers SharePoint 管理者または全体管理者が、SharePoint 管理センターで適用除外ユーザー エージェントの一覧をカスタマイズしました。インデックスを作成する Web ページ全体を受け取らせないように除外するユーザー エージェントを指定できます。つまり、除外対象として指定されたユーザー エージェントが InfoPath フォームを検出すると、フォームは、Web ページ全体ではなく XML ファイルとして返されます。これにより InfoPath フォームのインデックス作成の速度が向上します。A SharePoint or global administrator customized the list of exempt user agents in the SharePoint admin center. You can specify which user agents to exempt from receiving an entire web page to index. This means when a user agent you've specified as exempt encounters an InfoPath form, the form will be returned as an XML file, instead of an entire web page. This makes indexing InfoPath forms faster.
ネットワーク アクセス ポリシーの変更Changed network access policy NetworkAccessPolicyChangedNetworkAccessPolicyChanged SharePoint 管理者または全体管理者が、SharePoint 管理センター内で、または SharePoint Online PowerShell を使用して、場所に基づくアクセス ポリシー (信頼されたネットワーク境界とも呼ばれる) を変更しました。この種類のポリシーは、指定された承認済み IP アドレスの範囲に基づいて、組織内の SharePoint および OneDrive リソースにアクセスできるユーザーを制御します。詳細については、「ネットワークの場所に基づいて SharePoint Online および OneDrive データへのアクセスを制御する」を参照してください。A SharePoint or global administrator changed the location-based access policy (also called a trusted network boundary) in the SharePoint admin center or by using SharePoint Online PowerShell. This type of policy controls who can access SharePoint and OneDrive resources in your organization based on authorized IP address ranges that you specify. For more information, see Control access to SharePoint Online and OneDrive data based on network location.
サイトの地域の移動の完了Completed site geo move SiteGeoMoveCompletedSiteGeoMoveCompleted 組織のグローバル管理者がスケジュールしたサイトの地域の移動が正常に完了しました。A site geo move that was scheduled by a global administrator in your organization was successfully completed. 複数地域機能を使用すると、組織が複数の Microsoft データセンターの場所にまたがることができます。これは「地域」と呼ばれます。The Multi-Geo capability lets an organization span multiple Microsoft datacenter geographies, which are called geos. 詳細については、「OneDrive の複数地域機能および Office 365 の SharePoint Online」を参照してください。For more information, see Multi-Geo Capabilities in OneDrive and SharePoint Online in Office 365.
送信接続の作成Created Sent To connection SendToConnectionAddedSendToConnectionAdded SharePoint 管理者または全体管理者が、SharePoint 管理センターの [レコード管理] ページで、新しい送信接続を作成しました。[送信接続] では、ドキュメント リポジトリまたはレコード センターの設定を指定します。送信接続を作成すると、コンテンツ オーガナイザーにより、指定された場所にドキュメントを送信できます。A SharePoint or global administrator creates a new Send To connection on the Records management page in the SharePoint admin center. A Send To connection specifies settings for a document repository or a records center. When you create a Send To connection, a Content Organizer can submit documents to the specified location.
サイト コレクションの作成Created site collection SiteCollectionCreatedSiteCollectionCreated SharePoint 管理者または全体管理者が、SharePoint Online 組織でサイト コレクションを作成したか、ユーザーが OneDrive for Business サイトをプロビジョニングしました。A SharePoint or global administrator creates a site collection in your SharePoint Online organization or a user provisions their OneDrive for Business site.
孤立したハブ サイトの削除Deleted orphaned hub site HubSiteOrphanHubDeletedHubSiteOrphanHubDeleted SharePoint 管理者またはグローバル管理者が、孤立したハブサイトを削除しました。これは、それに関連付けられているサイトがないハブサイトです。A SharePoint or global administrator deleted an orphan hub site, which is a hub site that doesn't have any sites associated with it. 孤立したハブは、元のハブサイトの削除が原因である可能性が大きいです。An orphaned hub is likely caused by the deletion of the original hub site.
送信接続の削除Deleted Sent To connection SendToConnectionRemovedSendToConnectionRemoved SharePoint 管理者または全体管理者が、SharePoint 管理センターの [レコード管理] ページで、送信接続を削除しました。A SharePoint or global administrator deletes a Send To connection on the Records management page in the SharePoint admin center.
サイトの削除Deleted site SiteDeletedSiteDeleted サイト管理者がサイトを削除しました。Site administrator deletes a site.
ドキュメント プレビューの有効化Enabled document preview PreviewModeEnabledSetPreviewModeEnabledSet サイト管理者がサイトのドキュメントのプレビューを有効にしました。Site administrator enables document preview for a site.
レガシー ワークフローの有効化Enabled legacy workflow LegacyWorkflowEnabledSetLegacyWorkflowEnabledSet サイト管理者または所有者が、SharePoint 2013 ワークフロー タスク コンテンツの種類をサイトに追加します。グローバル管理者は、SharePoint 管理センターの組織全体のワーク フローを有効にすることもできます。Site administrator or owner adds the SharePoint 2013 Workflow Task content type to the site. Global administrators can also enable work flows for the entire organization in the SharePoint admin center.
オンデマンドでの Office の有効化Enabled Office on Demand OfficeOnDemandSetOfficeOnDemandSet サイト管理者は、Office オンデマンドを有効にします。これによりユーザーは、Office デスクトップ アプリケーションの最新バージョンにアクセスできます。Site administrator enables Office on Demand, which lets users access the latest version of Office desktop applications. Office オンデマンドは SharePoint 管理センターで有効にされ、インストール済みのすべての Office アプリケーションを含む Microsoft 365 サブスクリプションを必要とします。Office on Demand is enabled in the SharePoint admin center and requires a Microsoft 365 subscription that includes full, installed Office applications.
人の検索の検索先の有効化Enabled result source for People Searches PeopleResultsScopeSetPeopleResultsScopeSet サイト管理者が、サイトの人の検索の検索先を作成しました。Site administrator creates the result source for People Searches for a site.
RSS フィードの有効化Enabled RSS feeds NewsFeedEnabledSetNewsFeedEnabledSet サイトの管理者または所有者がサイトの RSS フィードを有効にしました。全体管理者は、SharePoint 管理センターで組織全体の RSS フィードを有効にすることができます。Site administrator or owner enables RSS feeds for a site. Global administrators can enable RSS feeds for the entire organization in the SharePoint admin center.
サイトのハブサイトへの結合Joined site to hub site HubSiteJoinedHubSiteJoined サイト所有者が、サイトをハブサイトに関連付けました。A site owner associates their site with a hub site.
ハブサイトの登録Registered hub site HubSiteRegisteredHubSiteRegistered SharePoint またはグローバル管理者がハブ サイトを作成しました。A SharePoint or global administrator creates a hub site. その結果、サイトがハブ サイトとして登録されます。The results are that the site is registered to be a hub site.
許可されるデータの場所の削除Removed allowed data location AllowedDataLocationDeletedAllowedDataLocationDeleted SharePoint 管理者またはグローバル管理者が、複数地域環境で許可されるデータの場所を削除しました。A SharePoint or global administrator removed an allowed data location in a multi-geo environment.
地理的位置の管理者の削除Removed geo location admin GeoAdminDeletedGeoAdminDeleted SharePoint 管理者またはグローバル管理者が、ユーザーの地理的位置の管理者の役割を削除しました。A SharePoint or global administrator removed a user as a geo admin of a location.
サイトの名前変更Renamed site SiteRenamedSiteRenamed サイトの管理者または所有者がサイトの名前を変更しましたSite administrator or owner renames a site
サイトの地域の移動のスケジュール設定Scheduled site geo move SiteGeoMoveScheduledSiteGeoMoveScheduled SharePoint またはグローバル管理者が SharePoint または OneDrive サイトの地域の移動を正常にスケジュール設定しました。A SharePoint or global administrator successfully schedules a SharePoint or OneDrive site geo move. 複数地域機能を使用すると、組織が複数の Microsoft データセンターの場所にまたがることができます。これは「地域」と呼ばれます。The Multi-Geo capability lets an organization span multiple Microsoft datacenter geographies, which are called geos. 詳細については、「OneDrive の複数地域機能および Office 365 の SharePoint Online」を参照してください。For more information, see Multi-Geo Capabilities in OneDrive and SharePoint Online in Office 365.
ホスト サイトの設定Set host site HostSiteSetHostSiteSet SharePoint 管理者または全体管理者が、個人用サイトまたは OneDrive for Business サイトをホストするために指定されたサイトを変更しました。A SharePoint or global administrator changes the designated site to host personal or OneDrive for Business sites.
地理的位置のストレージ クォータの構成Set storage quota for geo location GeoQuotaAllocatedGeoQuotaAllocated SharePoint 管理者またはグローバル管理者が、複数地域環境での地理的位置のストレージ クォータを構成しました。A SharePoint or global administrator configured the storage quota for a geo location in a multi-geo environment.
サイトのハブサイトへの結合解除Unjoined site from hub site HubSiteUnjoinedHubSiteUnjoined サイト所有者が、ハブサイトへのサイトの関連付けを解除しました。A site owner disassociates their site from a hub site.
ハブサイトの登録解除Unregistered hub site HubSiteUnregisteredHubSiteUnregistered SharePoint またはグローバル管理者が、ハブサイトとしてのサイトの登録を解除しました。A SharePoint or global administrator unregisters a site as a hub site. ハブサイトが解除されると、そのサイトはハブサイトとして機能しなくなります。When a hub site is unregistered, it no longer functions as a hub site.

Exchange メールボックス アクティビティExchange mailbox activities

次の表に、メールボックス監査ログに記録される可能性があるアクティビティを示します。The following table lists the activities that can be logged by mailbox audit logging. メールボックス所有者、委任されたユーザー、または管理者によって実行されたメールボックス アクティビティは、監査ログに最大 90 日間自動的に記録されます。Mailbox activities performed by the mailbox owner, a delegated user, or an administrator are automatically logged in the audit log for up to 90 days. 管理者は、組織のすべてのユーザーについて、メールボックス監査ログをオフにできます。It's possible for an admin to turn off mailbox audit logging for all users in your organization. この場合、いずれのユーザーのメールボックス操作もログに記録されません。In this case, no mailbox actions for any user are logged. 詳細については、「メールボックスの監査を管理する」を参照してください。For more information, see Manage mailbox auditing.

メールボックス操作の検索は、Exchange Online PowerShell で Search-MailboxAuditLog コマンドレットを使用しても行えます。You can also search for mailbox activities by using the Search-MailboxAuditLog cmdlet in Exchange Online PowerShell.

フレンドリ名Friendly name 操作​​Operation 説明Description
メールボックス アイテムへのアクセスAccessed mailbox items MailItemsAccessedMailItemsAccessed メールボックスでメッセージが読み取りまたはアクセスされました。Messages were read or accessed in mailbox. このアクティビティの監査レコードは、次の 2 つのうちいずれかの方法でトリガーされます。メール クライアント (Outlook など) でメッセージに対するバインド操作が実行されたとき、またはメール プロトコル (Exchange ActiveSync や IMAP など) によりメール フォルダーのアイテムが同期されたとき。Audit records for this activity are triggered in one of two ways: when a mail client (such as Outlook) performs a bind operation on messages or when mail protocols (such as Exchange ActiveSync or IMAP) sync items in a mail folder. このアクティビティは、Office 365 または Microsoft 365 E5 ライセンスを持つユーザーのみに記録されます。This activity is only logged for users with an Office 365 or Microsoft 365 E5 license. このアクティビティの監査レコードの分析は、攻撃されたメール アカウントを調査するときに便利です。Analyzing audit records for this activity is useful when investigating compromised email account. 詳細については、「高度な監査」の「調査のための重要なイベントへのアクセス」セクションを参照してください。For more information, see the "Access to crucial events for investigations" section in Advanced Audit.
代理メールボックス アクセス許可の追加Added delegate mailbox permissions AddMailboxPermissionsAddMailboxPermissions 管理者が、ユーザー (代理人と呼ばれる) に対して、別のユーザーのメールボックスに対する FullAccess アクセス許可を割り当てました。FullAccess アクセス許可は、代理人が他のユーザーのメールボックスを開いて、そのメールボックスの内容を読み取り、管理することを許可します。An administrator assigned the FullAccess mailbox permission to a user (known as a delegate) to another person's mailbox. The FullAccess permission allows the delegate to open the other person's mailbox, and read and manage the contents of the mailbox.
代理人アクセス許可を持つユーザーが予定表フォルダーに追加または削除されましたAdded or removed user with delegate access to calendar folder UpdateCalendarDelegationUpdateCalendarDelegation ユーザーが、別のユーザーのメールボックスの予定表に代理人として追加または削除されました。A user was added or removed as a delegate to the calendar of another user's mailbox. 予定表の委任により、同じ組織の他のユーザーに、メールボックス所有者の予定表を管理する権限が付与されます。Calendar delegation gives someone else in the same organization permissions to manage the mailbox owner's calendar.
フォルダーへのアクセス許可が追加されましたAdded permissions to folder AddFolderPermissionsAddFolderPermissions フォルダーのアクセス許可が追加されました。A folder permission was added. フォルダーのアクセス許可では、メールボックス内のフォルダーとそれらのフォルダーに格納されているメッセージにアクセスできる組織内のユーザーを制限します。Folder permissions control which users in your organization can access folders in a mailbox and the messages located in those folders.
別のフォルダーへのメッセージのコピーCopied messages to another folder CopyCopy メッセージが別のフォルダーにコピーされました。A message was copied to another folder.
メールボックス アイテムの作成Created mailbox item CreateCreate アイテムが、メールボックスの予定表、連絡先、メモ、またはタスク フォルダーに作成されます。An item is created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox. たとえば、新しい会議出席依頼が作成されます。For example, a new meeting request is created. メッセージの作成、送信、または受信は監査されません。Creating, sending, or receiving a message isn't audited. また、メールボックス フォルダーの作成も監査されません。Also, creating a mailbox folder is not audited.
Outlook Web App の新しい受信トレイ ルールの作成Created new inbox rule in Outlook web app New-InboxRuleNew-InboxRule メールボックスの所有者またはメールボックスにアクセスできる別のユーザーが、Outlook Web App で受信トレイ ルールを作成しました。A mailbox owner or other user with access to the mailbox created an inbox rule in the Outlook web app.
削除済みアイテム フォルダーからのメッセージの削除Deleted messages from Deleted Items folder SoftDeleteSoftDelete メッセージが削除済みアイテム フォルダーから完全に削除されたか、削除されました。これらのアイテムは、回復可能なアイテム フォルダーに移動されます。ユーザーを選択し、Shift + Delete キーを押した場合も、メッセージが回復可能なアイテム フォルダーに移動されます。A message was permanently deleted or deleted from the Deleted Items folder. These items are moved to the Recoverable Items folder. Messages are also moved to the Recoverable Items folder when a user selects it and presses Shift+Delete.
メッセージをレコードとして分類しましたLabeled message as a record ApplyRecordLabelApplyRecordLabel メッセージがレコードとして分類されました。A message was classified as a record. これは、コンテンツをレコードとして分類する保持ラベルが手動または自動でメッセージに適用されるときに発生します。This occurs when a retention label that classifies content as a record is manually or automatically applied to a message.
別のフォルダーへのメッセージの移動Moved messages to another folder MoveMove メッセージが別のフォルダーに移動されました。A message was moved to another folder.
削除済みアイテム フォルダーへのメッセージの移動Moved messages to Deleted Items folder MoveToDeletedItemsMoveToDeletedItems メッセージが削除され、削除済みアイテム フォルダーに移動されました。A message was deleted and moved to the Deleted Items folder.
フォルダーのアクセス許可の変更Modified folder permission UpdateFolderPermissionsUpdateFolderPermissions フォルダーのアクセス許可が変更されました。フォルダーのアクセス許可は、メールボックスのフォルダーとそのフォルダー内のメッセージにアクセスできる組織内のユーザーを制御します。A folder permission was changed. Folder permissions control which users in your organization can access mailbox folders and the messages in the folder.
Outlook Web App の受信トレイ ルールが変更されましたModified inbox rule from Outlook web app Set-InboxRuleSet-InboxRule メールボックスの所有者またはメールボックスにアクセスできる別のユーザーが、Outlook Web App を使用して受信トレイ ルールを変更しました。A mailbox owner or other user with access to the mailbox modified an inbox rule using the Outlook web app.
メールボックスからのメッセージの消去Purged messages from the mailbox HardDeleteHardDelete メッセージが回復可能なアイテム フォルダーから削除されました (メールボックスから完全に削除されました)。A message was purged from the Recoverable Items folder (permanently deleted from the mailbox).
代理メールボックス アクセス許可の削除Removed delegate mailbox permissions Remove-MailboxPermissionRemove-MailboxPermission 管理者がユーザーのメールボックスから FullAccess アクセス許可 (代理人に割り当て済み) を削除しました。FullAccess アクセス許可が削除されると、代理人は、他のユーザーのメールボックスを開くことも、その内容にアクセスすることもできません。An administrator removed the FullAccess permission (that was assigned to a delegate) from a person's mailbox. After the FullAccess permission is removed, the delegate can't open the other person's mailbox or access any content in it.
フォルダーからアクセス許可が削除されましたRemoved permissions from folder RemoveFolderPermissionsRemoveFolderPermissions フォルダーのアクセス許可が削除されました。A folder permission was removed. フォルダーのアクセス許可では、メールボックス内のフォルダーとそれらのフォルダーに格納されているメッセージにアクセスできる組織内のユーザーを制限します。Folder permissions control which users in your organization can access folders in a mailbox and the messages located in those folders.
送信者権限を使ったメッセージの送信Sent message using Send As permissions SendAsSendAs SendAs アクセス許可を使用してメッセージが送信されました。A message was sent using the SendAs permission. つまり、別のユーザーがこのメールボックスの所有者を装ってメッセージを送信したということです。This means that another user sent the message as though it came from the mailbox owner.
代理送信権限を使ったメッセージの送信Sent message using Send On Behalf permissions SendOnBehalfSendOnBehalf SendOnBehalf アクセス許可を使用してメッセージが送信されました。A message was sent using the SendOnBehalf permission. つまり、別のユーザーがこのメールボックスの所有者の代理人としてメッセージを送信したということです。This means that another user sent the message on behalf of the mailbox owner. このメッセージは、代わりにメッセージが送信されたユーザーと実際にメッセージを送信したユーザーを受信者に示します。The message indicates to the recipient who the message was sent on behalf of and who actually sent the message.
Outlook クライアントの受信トレイ ルールの更新Updated inbox rules from Outlook client UpdateInboxRulesUpdateInboxRules メールボックスの所有者またはメールボックスにアクセスできる別のユーザーが、Outlook クライアントで受信トレイ ルールを変更しました。A mailbox owner or other user with access to the mailbox modified an inbox rule in the Outlook client.
メッセージの更新Updated message UpdateUpdate メッセージまたはそのプロパティが変更されました。A message or its properties was changed.
メールボックスへのユーザーのサインインUser signed in to mailbox MailboxLoginMailboxLogin ユーザーが自分のメールボックスにサインインしました。The user signed in to their mailbox.
メッセージをレコードとしてラベル付けするLabel message as a record ユーザーがメール メッセージに保持ラベルを適用しました。このラベルは、アイテムをレコードとしてマークするように構成されています。A user applied a retention label to an email message and that label is configured to mark the item as a record.

ユーザー管理アクティビティUser administration activities

次の表では、管理者が Microsoft 365 管理センターまたは Azure 管理ポータルを使用してユーザー アカウントを追加または変更したときに記録されるユーザー管理アクティビティを一覧表示します。The following table lists user administration activities that are logged when an admin adds or changes a user account by using the Microsoft 365 admin center or the Azure management portal.

アクティビティActivity 操作​​Operation 説明Description
ユーザーが追加されましたAdded user Add userAdd user ユーザー アカウントが作成されました。A user account was created.
ユーザー ライセンスの変更Changed user license ユーザー ライセンスを変更しますChange user license ユーザーに割り当てられたライセンスが変更されました。変更されたライセンスを表示するには、対応する "ユーザーが更新されました" アクティビティを参照してください。The license assigned to a user what changed. To see what licenses were changes, see the corresponding Updated user activity.
ユーザー パスワードが変更されましたChanged user password Change user passwordChange user password ユーザーがパスワードを変更します。A user changes their password. ユーザーがパスワードをリセットするには、組織内のすべてのユーザーまたは選択したユーザーに対して、セルフサービスパスワードリセットを有効にする必要があります。Self-service password reset has to be enabled (for all or selected users) in your organization to allow users to reset their password. Azure Active Directory でセルフサービスのパスワードリセットアクティビティを追跡することもできます。You can also track self-service password reset activity in Azure Active Directory. 詳細情報については、Azure ADパスワード管理に関するレポート オプションをご覧ください。For more information, see Reporting options for Azure AD password management.
ユーザーの削除Deleted user Delete userDelete user ユーザー アカウントが削除されました。A user account was deleted.
Reset user passwordReset user password Reset user passwordReset user password 管理者がユーザーのパスワードを再設定します。Administrator resets the password for a user.
ユーザーへパスワードの変更を強制するプロパティの設定Set property that forces user to change password Set force change user passwordSet force change user password 管理者が、ユーザーが次に Office 365 にサインインしたときにパスワードを強制的に変更させるプロパティを設定しました。Administrator set the property that forces a user to change their password the next time the user signs in to Office 365.
Set license propertiesSet license properties Set license propertiesSet license properties 管理者が、ユーザーに割り当てられたライセンスのプロパティを変更しました。Administrator modifies the properties of a licensed assigned to a user.
ユーザーの更新Updated user ユーザーを更新するUpdate user 管理者がユーザー アカウントの 1 つ以上のプロパティを変更しました。更新可能なユーザー プロパティの一覧については、「Azure Active Directory 監査レポート イベント」の「ユーザー属性の更新」セクションを参照してください。Administrator changes one or more properties of a user account. For a list of the user properties that can be updated, see the "Update user attributes" section in Azure Active Directory Audit Report Events.

Azure AD グループ管理アクティビティAzure AD group administration activities

次の表に、管理者かユーザーが Microsoft 365 グループを作成または変更したとき、あるいは管理者が Microsoft 365 管理センターか Azure 管理ポータルを使用してセキュリティ グループを作成したときに記録されるグループ管理アクティビティを示します。The following table lists group administration activities that are logged when an admin or a user creates or changes a Microsoft 365 group or when an admin creates a security group by using the Microsoft 365 admin center or the Azure management portal. Office 365 のグループの詳細については、「Microsoft 365 管理センターでグループを表示、作成、削除する」を参照してください。For more information about groups in Office 365, see View, create, and delete Groups in the Microsoft 365 admin center.

フレンドリ名Friendly name 操作​​Operation 説明Description
グループの追加Added group Add groupAdd group グループが作成されました。A group was created.
グループへのメンバーの追加Added member to group Add member to groupAdd member to group メンバーがグループに追加されました。A member was added to a group.
グループの削除Deleted group Delete groupDelete group グループが削除されました。A group was deleted.
グループからのメンバーの削除Removed member from group Remove member from groupRemove member from group メンバーがグループから削除されました。A member was removed from a group.
グループの更新Updated group Update groupUpdate group グループのプロパティが変更されました。A property of a group was changed.

アプリケーション管理アクティビティApplication administration activities

次の表では、管理者が Azure AD にアプリケーションを登録したか、登録されているアプリケーションを変更したときに記録されるアプリケーション管理アクティビティを一覧表示します。認証を Azure AD に依存するアプリケーションはすべて、Azure AD に登録する必要があります。The following table lists application admin activities that are logged when an admin adds or changes an application that's registered in Azure AD. Any application that relies on Azure AD for authentication must be registered in the directory.

フレンドリ名Friendly name 操作​​Operation 説明Description
委任エントリが追加されましたAdded delegation entry Add delegation entryAdd delegation entry Azure AD 内のアプリケーションに対して認証アクセス許可が作成または付与されました。An authentication permission was created/granted to an application in Azure AD.
サービス プリンシパルの追加Added service principal Add service principalAdd service principal Azure AD にアプリケーションが登録されました。Azure AD では、アプリケーションはサービス プリンシパルで表されます。An application was registered in Azure AD. An application is represented by a service principal in the directory.
サービス プリンシパルへの資格情報の追加Added credentials to a service principal Add service principal credentialsAdd service principal credentials Azure AD 内のサービス プリンシパルに資格情報が追加されました。Azure AD では、サービス プリンシパルはアプリケーションを表します。Credentials were added to a service principal in Azure AD. A service principle represents an application in the directory.
委任エントリの削除Removed delegation entry Remove delegation entryRemove delegation entry Azure AD 内のアプリケーションから認証アクセス許可が削除されました。An authentication permission was removed from an application in Azure AD.
ディレクトリからのサービス プリンシパルの削除Removed a service principal from the directory Remove service principalRemove service principal Azure AD からアプリケーションが削除/登録解除されました。Azure AD では、アプリケーションはサービス プリンシパルで表されます。An application was deleted/unregistered from Azure AD. An application is represented by a service principal in the directory.
サービス プリンシパルからの資格情報の削除Removed credentials from a service principal Remove service principal credentialsRemove service principal credentials Azure AD 内のサービス プリンシパルから資格情報が削除されました。Azure AD では、サービス プリンシパルはアプリケーションを表します。Credentials were removed from a service principal in Azure AD. A service principle represents an application in the directory.
委任エントリの設定Set delegation entry Set delegation entrySet delegation entry Azure AD 内のアプリケーションの認証アクセス許可が更新されました。An authentication permission was updated for an application in Azure AD.

役割管理アクティビティRole administration activities

次の表に、管理者が Microsoft 365 管理センターまたは Azure 管理ポータルで管理者の役割を管理したときに記録される Azure AD の役割管理アクティビティを示します。The following table lists Azure AD role administration activities that are logged when an admin manages admin roles in the Microsoft 365 admin center or in the Azure management portal.

フレンドリ名Friendly name 操作​​Operation 説明Description
役割にメンバーが追加されましたAdd member to Role Add role member to roleAdd role member to role Microsoft 365 の管理者の役割にユーザーが追加されました。Added a user to an admin role in Microsoft 365.
ディレクトリ ロールからのユーザーの削除Removed a user from a directory role Remove role member from roleRemove role member from role Microsoft 365 の管理者の役割からユーザーが削除されました。Removed a user to from an admin role in Microsoft 365.
会社の連絡先情報の設定Set company contact information 会社の連絡先情報の設定Set company contact information 組織の会社レベルの連絡先設定が更新されました。Updated the company-level contact preferences for your organization. これには、Microsoft 365 によって送信されるサブスクリプション関連のメールのメール アドレスと、サービスに関する技術的な通知が含まれます。This includes email addresses for subscription-related email sent by Microsoft 365, and technical notifications about services.

ディレクトリ管理アクティビティDirectory administration activities

次の表に、管理者が Microsoft 365 管理センターまたは Azure 管理ポータルで組織を管理したときに記録される Azure AD ディレクトリおよびドメイン関連のアクティビティを示します。The following table lists Azure AD directory and domain-related activities that are logged when an administrator manages their organization in the Microsoft 365 admin center or in the Azure management portal.

フレンドリ名Friendly name 操作​​Operation 説明Description
ドメインが会社に追加されましたAdded domain to company Add domain to companyAdd domain to company 組織にドメインが追加されました。Added a domain to your organization.
ディレクトリへのパートナーの追加Added a partner to the directory Add partner to companyAdd partner to company パートナー (代理管理者) が組織に追加されました。Added a partner (delegated administrator) to your organization.
会社からのドメインの削除Removed domain from company Remove domain from companyRemove domain from company 組織からドメインが削除されました。Removed a domain from your organization.
ディレクトリからのパートナーの削除Removed a partner from the directory Remove partner from companyRemove partner from company 組織からパートナー (代理管理者) が削除されました。Removed a partner (delegated administrator) from your organization.
会社情報の設定Set company information 会社情報の設定Set company information 組織の会社情報が更新されました。Updated the company information for your organization. これには、Microsoft 365 によって送信されるサブスクリプション関連のメールのメール アドレスと、Microsoft 365 サービスに関する技術的な通知が含まれます。This includes email addresses for subscription-related email sent by Microsoft 365, and technical notifications about Microsoft 365 services.
ドメイン認証の設定Set domain authentication ドメイン認証の設定Set domain authentication 組織のドメイン認証設定が変更されました。Changed the domain authentication setting for your organization.
ドメインのフェデレーション設定の更新Updated the federation settings for a domain Set federation settings on domainSet federation settings on domain 組織のフェデレーション (外部共有) 設定が変更されました。Changed the federation (external sharing) settings for your organization.
Set password policySet password policy Set password policySet password policy 組織のユーザー パスワードの長さと文字の制約が変更されました。Changed the length and character constraints for user passwords in your organization.
Azure AD Sync の有効化Turned on Azure AD sync Set DirSyncEnabled flag on companySet DirSyncEnabled flag on company Azure AD Sync のディレクトリを有効にするプロパティが設定されました。Set the property that enables a directory for Azure AD Sync.
ドメインの更新Updated domain Update domainUpdate domain 組織のドメインの設定が更新されました。Updated the settings of a domain in your organization.
ドメインの検証Verified domain Verify domainVerify domain 組織がドメインの所有者であるかどうかが検証されました。Verified that your organization is the owner of a domain.
メールで確認済みのドメインの検証Verified email verified domain Verify email verified domainVerify email verified domain メールによる確認を使用して、組織がドメインの所有者であるかどうかが検証されました。Used email verification to verify that your organization is the owner of a domain.

電子情報開示アクティビティeDiscovery activities

セキュリティ/コンプライアンス センターで実行された (または対応する PowerShell コマンドレットを使用して実行された) コンテンツ検索と電子情報開示関連のアクティビティは監査ログに記録されます。Content Search and eDiscovery-related activities that are performed in the security and compliance center or by running the corresponding PowerShell cmdlets are logged in the audit log. これには次のアクティビティが含まれます。This includes the following activities:

  • 電子情報開示ケースの作成と管理Creating and managing eDiscovery cases

  • コンテンツ検索の作成、開始、編集Creating, starting, and editing Content Searches

  • コンテンツ検索アクション (検索結果のプレビュー、エクスポート、削除など) の実行Performing Content Search actions, such as previewing, exporting, and deleting search results

  • コンテンツ検索用のアクセス許可フィルターの構成Configuring permissions filtering for Content Search

  • 電子情報開示管理者の役割の管理Managing the eDiscovery Administrator role

記録される電子情報開示アクティビティの一覧と詳細な説明については、「監査ログで電子情報開示アクティビティを検索する」を参照してください。For a list and detailed description of the eDiscovery activities that are logged, see Search for eDiscovery activities in the audit log.

注意

[アクティビティ] ドロップダウン リストの [電子情報開示アクティビティ] および [Advanced eDiscovery アクティビティ] の下に表示されるアクティビティの結果のイベントが、検索結果に表示されるまでに最大 30 分かかります。It takes up to 30 minutes for events that result from the activities listed under eDiscovery activities and Advanced eDiscovery activities in the Activities drop-down list to be displayed in the search results. 逆に、電子情報開示コマンドレットのアクティビティの対応するイベントが検索結果に表示されるまでに最大 24 時間かかります。Conversely, it takes up to 24 hours for the corresponding events from eDiscovery cmdlet activities to appear in the search results.

Advanced eDiscovery アクティビティAdvanced eDiscovery activities

監査ログで Advanced eDiscovery のアクティビティを検索できます。You can also search the audit log for activities in Advanced eDiscovery. これらのアクティビティの説明については、「監査ログで電子情報開示アクティビティを検索する」の「Advanced eDiscovery アクティビティ」セクションを参照してください。For a description of these activities, see the "Advanced eDiscovery activities" section in Search for eDiscovery activities in the audit log.

Power BI アクティビティPower BI activities

監査ログで Power BI のアクティビティを検索できます。You can search the audit log for activities in Power BI. Power BI アクティビティについては、「組織内での監査の使用」の「Power BI の監査対象アクティビティ」セクションを参照してください。For information about Power BI activities, see the "Activities audited by Power BI" section in Using auditing within your organization.

Power BI の監査ログは、既定では有効になっていません。Audit logging for Power BI isn't enabled by default. 監査ログ内の Power BI アクティビティを検索するには、Power BI 管理ポータルで監査を有効にする必要があります。To search for Power BI activities in the audit log, you have to enable auditing in the Power BI admin portal. 手順については、Power BI 管理ポータルの「監査ログ」セクションをご覧ください。For instructions, see the "Audit logs" section in Power BI admin portal.

Microsoft Workplace Analytics アクティビティMicrosoft Workplace Analytics activities

Workplace Analytics は、グループが組織全体でどのように共同作業するかに関する分析情報を提供します。Workplace Analytics provides insight into how groups collaborate across your organization. 次の表に、Workplace Analytics で管理者の役割またはアナリストの役割が割り当てられているユーザーが実行するアクティビティを示します。The following table lists activities performed by users that are assigned the Administrator role or the Analyst roles in Workplace Analytics. アナリストの役割が割り当てられたユーザーは、すべてのサービス機能に完全なアクセス権を持ち、製品を使用して分析を行います。Users assigned the Analyst role have full access to all service features and use the product to do analysis. 管理者の役割を割り当てられたユーザーは、プライバシー設定とシステム既定を構成でき、Workplace Analytics で組織データを準備、アップロード、および検証できます。Users assigned the Administrator role can configure privacy settings and system defaults, and can prepare, upload, and verify organizational data in Workplace Analytics. 詳細については、「Workplace Analytics」を参照してください。For more information, see Workplace Analytics.

フレンドリ名Friendly name 操作​​Operation 説明Description
OData リンクのアクセスAccessed OData link AccessedOdataLinkAccessedOdataLink アナリストはクエリの OData リンクにアクセスしました。Analyst accessed the OData link for a query.
クエリのキャンセルCanceled query CanceledQueryCanceledQuery アナリストはクエリの実行をキャンセルしました。Analyst canceled a running query.
会議の除外の作成Created meeting exclusion MeetingExclusionCreatedMeetingExclusionCreated アナリストは会議の除外ルールを作成しました。Analyst created a meeting exclusion rule.
結果の削除Deleted result DeletedResultDeletedResult アナリストはクエリ結果を削除しました。Analyst deleted a query result.
レポートのダウンロードDownloaded report DownloadedReportDownloadedReport アナリストはクエリ結果のファイルをダウンロードしました。Analyst downloaded a query result file.
クエリの実行Executed query ExecutedQueryExecutedQuery アナリストはクエリを実行しました。Analyst ran a query.
データ アクセス設定の更新Updated data access setting UpdatedDataAccessSettingUpdatedDataAccessSetting 管理者はデータ アクセス設定を更新しました。Admin updated data access settings.
プライバシー設定の更新Updated privacy setting UpdatedPrivacySettingUpdatedPrivacySetting 管理者は、プライバシーの設定 (最小グループ サイズなど) を更新しました。Admin updated privacy settings; for example, minimum group size.
組織データのアップロードUploaded organization data UploadedOrgDataUploadedOrgData 管理者は組織データのファイルをアップロードしました。Admin uploaded organizational data file.
参照の表示Viewed Explore ViewedExploreViewedExplore アナリストは、1 つまたは複数の参照ページ タブで視覚エフェクトを表示しました。Analyst viewed visualizations in one or more Explore page tabs.

Microsoft Teams アクティビティMicrosoft Teams activities

監査ログで Microsoft Stream のユーザーおよび管理者のアクティビティを検索できます。You can search the audit log for user and admin activities in Microsoft Teams. Teams は Office 365 のチャット中心のワークスペースです。Teams is a chat-centered workspace in Office 365. これにより、チームの会話、会議、ファイル、およびノートが 1 つの場所に集められます。It brings a team's conversations, meetings, files, and notes together into a single place. 監査されている Teams のアクティビティの説明については、「Microsoft Teams でイベントの監査ログを検索する」を参照してください。For descriptions of the Teams activities that are audited, see Search the audit log for events in Microsoft Teams.

Microsoft Teams 医療活動アクティビティMicrosoft Teams Healthcare activities

組織で Microsoft Teams の 患者用アプリケーション を使用している場合は、患者アプリの使用に関連するアクティビティの監査ログを検索できます。If your organization is using the Patients application in Microsoft Teams, you can search the audit log for activities related to the using the Patients app. 患者アプリをサポートするように使用環境が構成されている場合、これらのアクティビティの追加アクティビティグループは、アクティビティ 選択リストに表示されます。If your environment is configured to support Patients app, an additional activity group for these activities is available in the Activities picker list.

アクティビティ選択リスト内の Microsoft Teams 医療活動 アクティビティ

患者アプリのアクティビティの説明については、患者アプリの監査ログをご覧ください。For a description of the Patients app activities, see Audit logs for Patients app.

Microsoft Teams Shifts アクティビティMicrosoft Teams Shifts activities

組織で Microsoft Teams の Shifts アプリを使用している場合は、Shifts アプリの使用に関連するアクティビティの監査ログを検索できます。If your organization is using the Shifts app in Microsoft Teams, you can search the audit log for activities related to the using the Shifts app. Shifts アプリをサポートするように使用環境が構成されている場合、これらのアクティビティの追加アクティビティ グループは、[アクティビティ] 選択リストに表示されます。If your environment is configured to support Shifts apps, an additional activity group for these activities is available in the Activities picker list.

Shifts アプリのアクティビティの説明については、「Microsoft Teams でイベントの監査ログを検索する」を参照してください。For a description of Shifts app activities, see Search the audit log for events in Microsoft Teams.

Yammer アクティビティYammer activities

次の表には、監査ログに記録された Yammer のユーザー アクティビティおよび管理者アクティビティの一覧が表示されています。The following table lists the user and admin activities in Yammer that are logged in the audit log. 監査ログから Yammer に関連するアクティビティを返すには、[アクティビティ] リストの [すべてのアクティビティの結果を表示] を選択する必要があります。To return Yammer-related activities from the audit log, you have to select Show results for all activities in the Activities list. 日付範囲のボックスと [ユーザー] リストを使用して、検索結果を絞り込みます。Use the date range boxes and the Users list to narrow the search results.

フレンドリ名Friendly name 操作​​Operation 説明Description
データの保持ポリシーが変更されましたChanged data retention policy SoftDeleteSettingsUpdatedSoftDeleteSettingsUpdated 認証管理者が、ネットワーク データ保持ポリシーの設定を物理的な削除または論理的な削除に更新しました。この操作を実行できるのは、認証管理者のみです。Verified admin updates the setting for the network data retention policy to either Hard Delete or Soft Delete. Only verified admins can perform this operation.
ネットワークの構成の変更Changed network configuration NetworkConfigurationUpdatedNetworkConfigurationUpdated ネットワーク管理者または認証管理者が、Yammer ネットワークの構成を変更しました。これには、データのエクスポートの間隔の設定およびチャットの有効化が含まれます。Network or verified admin changes the Yammer network's configuration. This includes setting the interval for exporting data and enabling chat.
ネットワーク プロファイル設定の変更Changed network profile settings ProcessProfileFieldsProcessProfileFields ネットワーク管理者または認証管理者が、ネットワーク ユーザーのネットワークのメンバー プロファイルに表示される情報を変更しました。Network or verified admin changes the information that appears on member profiles for network users network.
プライベート コンテンツ モードの変更Changed private content mode SupervisorAdminToggledSupervisorAdminToggled 認証管理者が、[プライベート コンテンツ モード] をオンまたはオフに切り替えます。Verified admin turns Private Content Mode on or off. 管理者は、このモードを使用して、プライベート グループの投稿や、各ユーザー (またはユーザーのグループ) 間のプライベート メッセージを閲覧できます。This mode lets an admin view the posts in private groups and view private messages between individual users (or groups of users). この操作を実行できるのは、認証管理者のみです。Only verified admins only can perform this operation.
セキュリティの構成が変更されましたChanged security configuration NetworkSecurityConfigurationUpdatedNetworkSecurityConfigurationUpdated 認証管理者が、Yammer ネットワークのセキュリティの構成を更新しました。これには、パスワードの有効期限ポリシーの設定や IP アドレスの制限の設定が含まれます。この操作を実行できるのは、認証管理者のみです。Verified admin updates the Yammer network's security configuration. This includes setting password expiration policies and restrictions on IP addresses. Only verified admins can perform this operation.
ファイルの作成Created file FileCreatedFileCreated ユーザーがファイルをアップロードしました。User uploads a file.
グループの作成Created group GroupCreationGroupCreation ユーザーがグループを作成しました。User creates a group.
グループの削除Deleted group GroupDeletionGroupDeletion Yammer からグループが削除されました。A group is deleted from Yammer.
メッセージの削除Deleted message MessageDeletedMessageDeleted ユーザーがメッセージを削除しました。User deletes a message.
ファイルのダウンロードDownloaded file FileDownloadedFileDownloaded ユーザーがファイルをダウンロードしました。User downloads a file.
データのエクスポートExported data DataExportDataExport 認証管理者が、Yammer ネットワーク データをエクスポートしました。この操作を実行できるのは、認証管理者のみです。Verified admin exports Yammer network data. Only verified admins can perform this operation.
ファイルの共有Shared file FileSharedFileShared ユーザーが別のユーザーとファイルを共有しました。User shares a file with another user.
ネットワーク ユーザーの一時停止Suspended network user NetworkUserSuspendedNetworkUserSuspended ネットワーク管理者または認証管理者が、Yammer からユーザーを一時停止 (非アクティブ化) しました。Network or verified admin suspends (deactivates) a user from Yammer.
ユーザーの一時停止Suspended user UserSuspensionUserSuspension ユーザー アカウントが一時停止 (非アクティブ化) されました。User account is suspended (deactivated).
ファイルの説明の更新Updated file description FileUpdateDescriptionFileUpdateDescription ユーザーがファイルの説明を変更しました。User changes the description of a file.
ファイル名の更新Updated file name FileUpdateNameFileUpdateName ユーザーがファイルの名前を変更しました。User changes the name of a file.
ファイルの表示Viewed file FileVisitedFileVisited ユーザーがファイルを表示しました。User views a file.

Microsoft Power Automate のアクティビティMicrosoft Power Automate activities

Power Automate (旧称: Microsoft Flow) では、監査ログを検索できます。You can search the audit log for activities in Power Automate (formerly called Microsoft Flow). これらのアクティビティには、フローの作成、編集、および削除と、フローのアクセス許可の変更があります。These activities include creating, editing, and deleting flows, and changing flow permissions. Power Automate アクティビティの監査の詳細については、ブログ「セキュリティ/コンプライアンス センターで利用可能な Microsoft Flow 監査イベント」を参照してください。For information about auditing for Power Automate activities, see the blog Microsoft Flow audit events now available in Security & Compliance Center.

Microsoft Power Apps アクティビティMicrosoft Power Apps activities

Power Apps では、アプリ関連のアクティビティの監査ログを検索できます。You can search the audit log for app-related activities in Power Apps. これらのアクティビティには、アプリの作成、起動、公開が含まれます。These activities include creating, launching, and publishing an app. アプリへのアクセス許可の割り当ても監査されます。Assigning permissions to apps is also audited. Power Apps のすべてのアクティビティの説明については、「Activity logging for Power Apps のアクティビティのログ」を参照してください。For a description of all Power Apps activities, see Activity logging for Power Apps.

Microsoft Stream アクティビティMicrosoft Stream activities

監査ログで Microsoft Stream のアクティビティを検索できます。You can search the audit log for activities in Microsoft Stream. これらのアクティビティには、ユーザーが実行するビデオ アクティビティ、グループ チャネル アクティビティ、管理アクティビティ (ユーザーの管理、組織の設定の管理、レポートのエクスポートなど) が含まれます。These activities include video activities performed by users, group channel activities, and admin activities such as managing users, managing organization settings, and exporting reports. これらのアクティビティの詳細については、「Microsoft Stream の監査ログ」の「Stream に記録されたアクション」を参照してください。For a description of these activities, see the "Actions logged in Stream" section in Audit Logs in Microsoft Stream.

コンテンツ エクスプローラー アクティビティContent explorer activities

監査ログに記録されるコンテンツ エクスプローラーのアクティビティの一覧を次の表に記載します。The following table lists the activities in content explorer that are logged in the audit log. コンテンツ エクスプローラーは、Microsoft 365 コンプライアンス センターの [データ分類ツール] でアクセスできます。Content explorer, which is accessed on the Data classifications tool in the Microsoft 365 compliance center. 詳細については、「データ分類コンテンツ エクスプローラーの使用」を参照してください。For more information, see Using data classification content explorer.

フレンドリ名Friendly name 操作​​Operation 説明Description
項目がアクセスされましたAccessed item LabelContentExplorerAccessedItemLabelContentExplorerAccessedItem 管理者 (またはコンテンツ エクスプローラー コンテンツ ビューアー役割グループのメンバーであるユーザー) は、コンテンツ エクスプローラーを使用して電子メール メッセージまたは SharePoint/OneDrive ドキュメントを表示します。An admin (or a user who's a member of the Content Explorer Content Viewer role group) uses content explorer to view an email message or SharePoint/OneDrive document.

検疫アクティビティQuarantine activities

次の表に、監査ログで検索できる検疫アクティビティを示します。The following table lists the quarantine activities that you can search for in the audit log. 検疫の詳細については、「Office 365 でのメール メッセージの検疫」を参照してください。For more information about quarantine, see Quarantine email messages in Office 365.

フレンドリ名Friendly name 操作​​Operation 説明Description
削除された検疫メッセージDeleted quarantine message QuarantineDeleteQuarantineDelete ユーザーが有害と見なされたメール メッセージを削除しました。A user deleted an email message that was deemed to be harmful.
エクスポートされた検疫メッセージExported quarantine message QuarantineExportQuarantineExport ユーザーが有害と見なされたメール メッセージをエクスポートしました。A user exported an email message that was deemed to be harmful.
プレビューされた検疫メッセージPreviewed quarantine message QuarantinePreviewQuarantinePreview ユーザーが有害と見なされたメール メッセージをプレビューしました。A user previewed an email message that was deemed to be harmful.
解放された検疫メッセージReleased quarantine message QuarantineReleaseQuarantineRelease ユーザーが有害と見なされたメール メッセージを検疫から解放しました。A user released an email message from quarantine that was deemed to be harmful.
表示された検疫メッセージのヘッダーViewed quarantine message's header QuarantineViewHeaderQuarantineViewHeader ユーザーが有害と見なされたメール メッセージのヘッダーを表示しました。A user viewed the header an email message that was deemed to be harmful.

Microsoft Forms アクティビティMicrosoft Forms activities

次の表には、監査ログに記録された Microsoft Forms のユーザー アクティビティおよび管理者アクティビティの一覧が表示されています。The following table lists the user and admin activities in Microsoft Forms that are logged in the audit log. Microsoft Forms は、データを収集し分析するために使用するフォーム/クイズ/アンケート ツールです。Microsoft Forms is a forms/quiz/survey tool used to collect data for analysis.

下記の説明に別途記載するとおり、一部の操作には追加のアクティビティ パラメーターが含まれます。Where noted below in the descriptions, some operations contain additional activity parameters.

注意

Forms アクティビティが共同作成者または匿名のレスポンダーによって実行される場合、わずかに異なるログが記録されます。If a Forms activity is performed by a co-author or an anonymous responder, it will be logged slightly differently. 詳細については、共同作成者および匿名のレスポンダーによって実行される Forms アクティビティ セクションを参照してください。For more information, see the Forms activities performed by co-authors and anonymous responders section.

フレンドリ名Friendly name 操作​​Operation 説明Description
コメントが作成されるCreated comment CreateCommentCreateComment フォーム所有者がコメントまたはスコアをクイズに追加する。Form owner adds comment or score to a quiz.
フォームが作成されるCreated form CreateFormCreateForm フォーム所有者が新しいフォームを作成する。Form owner creates a new form.
フォームが編集されるEdited form EditFormEditForm フォーム所有者が質問の作成、削除、編集など、フォームを編集する。Form owner edits a form such, as creating, removing, or editing a question.

プロパティ EditOperation:string は、編集操作名を示します。Property EditOperation:string indicates the edit operation name. これに含まれる操作: CreateQuestion、CreateQuestionChoice、DeleteQuestion、DeleteQuestionChoice、DeleteFormImage、DeleteQuestionImage、UpdateQuestion、UpdateQuestionChoice、UploadFormImage/Bing/Onedrive、UploadQuestionImage、および ChangeThemePossible operations are: CreateQuestion, CreateQuestionChoice, DeleteQuestion, DeleteQuestionChoice, DeleteFormImage, DeleteQuestionImage, UpdateQuestion, UpdateQuestionChoice, UploadFormImage/Bing/Onedrive, UploadQuestionImage, and ChangeTheme.

ほとんどの操作名は、特に説明を必要としないはずです。Most operation names are self-explanatory.

FormImage には、クエリ内や背景テーマなど、ユーザーが画像をアップロードできるフォーム内のすべての場所が含まれます。FormImage includes any place within Forms that user can upload an image, such as in a query or as a background theme.
フォームが移動されるMoved form MoveFormMoveForm フォーム所有者がフォームを移動する。Form owner moves a form.

プロパティ DestinationUserId:string は、フォームを移動したユーザーのユーザー ID を示します。Property DestinationUserId:string indicates the user ID of the person who moved the form. プロパティ NewFormId:string は、新たにコピーされたフォームの新しい ID です。Property NewFormId:string is the new ID for the newly copied form.
フォームが削除されるDeleted form DeleteFormDeleteForm フォーウ所有者がフォームを削除する。Form owner deletes a form. これには、SoftDelete (削除オプションが使用され、フォームがごみ箱に移動されます) と HardDelete (ごみ箱が空になります) が含まれます。This includes SoftDelete (delete option used and form moved to recycle bin) and HardDelete (Recycle bin is emptied).
フォームが表示される (デザイン時)Viewed form (design time) ViewFormViewForm フォーム所有者が既存のフォームを編集するために開く。Form owner opens an existing form for editing.
フォームがプレビューされるPreviewed form PreviewFormPreviewForm フォーム所有者がプレビュー機能を使用してフォームをプレビューする。Form owner previews a form using the Preview function.
フォームがエクスポートされるExported form ExportFormExportForm フォーム所有者が結果を Excel にエクスポートする。Form owner exports results to Excel.

プロパティ ExportFormat:string は、Excel ファイルがダウンロードなのかオンラインなのかを示します。Property ExportFormat:string indicates if the Excel file is Download or Online.
コピー用のフォームの共有が許可されるAllowed share form for copy AllowShareFormForCopyAllowShareFormForCopy フォームを他のユーザーと共有するためのテンプレート リンクをフォーム所有者が作成する。Form owner creates a template link to share the form with other users. このイベントは、フォーム所有者がテンプレート URL を生成するためにクリックした際にログに記録されます。This event is logged when the form owner clicks to generate template URL.
コピー用のフォームの共有が許可されないDisallowed share form for copy DisallowShareFormForCopyDisallowShareFormForCopy フォーム所有者がテンプレートリンクを削除する。Form owner deletes template link.
フォームの共同編集者が追加されるAdded form coauthor AddFormCoauthorAddFormCoauthor 回答のデザインや表示のための共同作業リンクをユーザーが使用する。A user uses a collaboration link to help design for/view responses. このイベントは、共同作業 URL が最初に生成されたときではなくユーザーが共同作業 URL を使用したときにログに記録されます。This event is logged when a user uses a collab URL (not when collab URL is first generated).
フォームの共同編集者が削除されるRemoved form coauthor RemoveFormCoauthorRemoveFormCoauthor フォーム所有者が共同作業リンクを削除する。Form owner deletes a collaboration link.
回答ページが表示されるViewed response page ViewRuntimeFormViewRuntimeForm ユーザーが回答ページを開いて表示する。User has opened a response page to view. このイベントは、ユーザーが回答を送信するかどうかに関わらずログに記録されます。This event is logged regardless of whether the user submits a response or not.
回答が作成されるCreated response CreateResponseCreateResponse 新しい回答の受信と似ています。Similar to receiving a new response. ユーザーがフォームへの回答を送信しました。A user has submitted a response to a form.

プロパティ ResponseId:string とプロパティ ResponderId:string は、どの結果が表示されたかを示します。Property ResponseId:string and Property ResponderId:string indicates which result is being viewed.

匿名回答者の場合、ResponderId プロパティは null となります。For an anonymous responder, the ResponderId property will be null.
回答が更新されるUpdated response UpdateResponseUpdateResponse フォーム所有者がクイズのコメントまたはスコアを更新した。Form owner has updated a comment or score on a quiz.

プロパティ ResponseId:string とプロパティ ResponderId:string は、どの結果が表示されたかを示します。Property ResponseId:string and Property ResponderId:string indicates which result is being viewed.

匿名回答者の場合、ResponderId プロパティは null となります。For an anonymous responder, the ResponderId property will be null.
すべての回答が削除されるDeleted all responses DeleteAllResponsesDeleteAllResponses フォーム所有者がすべての回答データを削除する。Form owner deletes all response data.
回答が削除されるDeleted Response DeleteResponseDeleteResponse フォーム所有者が回答を 1 件削除する。Form owner deletes one response.

プロパティ ResponseId:string は、削除される回答を示します。Property ResponseId:string indicates the response being deleted.
複数の回答が表示されるViewed responses ViewResponsesViewResponses フォーム所有者が回答の集計リストを表示する。Form owner views the aggregated list of responses.

プロパティ ViewType:string は、フォーム所有者は「詳細」を表示しているのか、「集計」を表示しているのかを示します。Property ViewType:string indicates whether form owner is viewing Detail or Aggregate
1 件の回答が表示されるViewed response ViewResponseViewResponse フォーム所有者が特定の 1 件の回答を表示する。Form owner views a particular response.

プロパティ ResponseId:string とプロパティ ResponderId:string は、どの結果が表示されたかを示します。Property ResponseId:string and Property ResponderId:string indicates which result is being viewed.

匿名回答者の場合、ResponderId プロパティは null となります。For an anonymous responder, the ResponderId property will be null.
概要リンクが作成されるCreated summary link GetSummaryLinkGetSummaryLink 結果を共有するための概要結果リンクをフォーム所有者が作成する。Form owner creates summary results link to share results.
概要リンクが削除されるDeleted summary link DeleteSummaryLinkDeleteSummaryLink フォーム所有者が概要結果リンクを削除する。Form owner deletes summary results link.
フォームのフィッシング状態が更新されるUpdated form phishing status UpdatePhishingStatusUpdatePhishingStatus このイベントは、内部セキュリティ状態の詳細値が変更されたとき、この変更により最終的なセキュリティの状態 (たとえば、現在フォームは「終了済み」または「開始済み」) が変更されたかどうかに関わらずログに記録されます。This event is logged whenever the internal security status detailed value has changed, regardless of whether this changed the final Security State (for example, form is now Closed or Opened). つまり、最終的なセキュリティ状態が変更されない場合でも、重複するイベントが表示されることがあります。This means you may see duplicate events without a final Security State change.
Forms Pro の招待が送信されるSent Forms Pro invitation ProInvitationProInvitation ユーザーがクリックして Pro の試用版をアクティブにする。User clicks to activate a Pro trial.
フォームの設定が更新されるUpdated form setting UpdateFormSettingUpdateFormSetting フォーム所有者がフォームの設定を更新する。Form owner updates a form setting.

プロパティ FormSettingName:string は、設定名と新しい値を示します。Property FormSettingName:string indicates the setting's name and new value.
ユーザー設定が更新されるUpdated user setting UpdateUserSettingUpdateUserSetting フォーム所有者がユーザー設定を更新する。Form owner updates a user setting.

プロパティ UserSettingName:string は、設定名と新しい値を示します。Property UserSettingName:string indicates the setting's name and new value
フォームが一覧表示されるListed forms ListFormsListForms フォーム所有者がフォームの一覧を表示している。Form owner is viewing a list of forms.

プロパティ ViewType:string は、フォーム所有者が表示に使用しているビュー ([すべてのフォーム]、[自分と共有]、または [グループ フォーム]) を示します。Property ViewType:string indicates which view the form owner is looking at: All Forms, Shared with Me, or Group Forms
回答が送信されるSubmitted response SubmitResponseSubmitResponse ユーザーがフォームへの回答を送信する。A user submits a response to a form.

プロパティ IsInternalForm:boolean は、回答者がフォーム所有者と同じ組織内にいるかどうかを示します。Property IsInternalForm:boolean indicates if the responder is within the same organization as the form owner.

共同作成者および匿名のレスポンダーによって実行される Forms アクティビティForms activities performed by coauthors and anonymous responders

Forms は、フォームの設計時および回答の分析時の協同作業をサポートします。Forms supports collaboration when forms are being designed and when analyzing responses. フォームの協力者は、共同作成者 として知られています。A form collaborator is known as a coauthor. 共同作成者は、フォームの削除または移動を除き、フォームの所有者が実行できるすべての操作を実行できます。Coauthors can do everything a form owner can do, except delete or move a form. また、Forms を使用すると、匿名で回答できるフォームを作成できます。Forms also allows you to create a form that can be responded to anonymously. これは、フォームに回答するためにレスポンダーが組織にサインインする必要がないことを意味します。This means the responder doesn't have to be signed into your organization to respond to a form.

次の表は、共同作成者と匿名のレスポンダーによって実行されたアクティビティの監査アクティビティおよび監査レコードの情報を示しています。The following table describes the auditing activities and information in the audit record for activities performed by coauthors and anonymous responders.

アクティビティの種類Activity type 内部または外部ユーザーInternal or external user ログに記録されたユーザー IDUser ID that's logged ログインしている組織Organization logged in to Forms ユーザーの種類Forms user type
共同編集のアクティビティCoauthoring activities 内部Internal UPNUPN フォームの所有者の組織Form owner's org 共同編集者Coauthor
共同編集のアクティビティCoauthoring activities 外部External UPNUPN
共同作成者の組織Coauthor's org
共同編集者Coauthor
共同編集のアクティビティCoauthoring activities 外部External urn:forms:coauthor#a0b1c2d3@forms.office.com
(ID の 2 番目の部分はハッシュであり、ユーザーによって異なります)(The second part of the ID is a hash, which will differ for different users)
フォームの所有者の組織Form owner's org
共同編集者Coauthor
回答アクティビティResponse activities 外部External UPNUPN
レスポンダーの組織Responder's org
レスポンダーResponder
回答アクティビティResponse activities 外部External urn:forms:external#a0b1c2d3@forms.office.com
(ユーザー ID の 2 番目の部分はハッシュであり、ユーザーによって異なります)(The second part of the User ID is a hash, which will differ for different users)
フォームの所有者の組織Form owner's org レスポンダーResponder
回答アクティビティResponse activities 匿名Anonymous urn:forms:anonymous#a0b1c2d3@forms.office.com
(ユーザー ID の 2 番目の部分はハッシュであり、ユーザーによって異なります)(The second part of the User ID is a hash, which will differ for different users)
フォームの所有者の組織Form owner's org レスポンダーResponder

機密ラベル アクティビティSensitivity label activities

次の表に、SharePoint Online および Teams サイトのラベル付けアクティビティから生じるイベントを一覧表示します。The following table lists events that result from labeling activities for SharePoint Online and Teams sites.

フレンドリ名Friendly name 操作​​Operation 説明Description
サイトに適用された機密ラベルApplied sensitivity label to site SensitivityLabelAppliedSensitivityLabelApplied 機密ラベルが SharePoint または Teams サイトに適用されました。A sensitivity label was applied to a SharePoint or Teams site.
サイトから削除された機密ラベルRemoved sensitivity label from site SensitivityLabelRemovedSensitivityLabelRemoved SharePoint または Teams サイトから機密ラベルが削除されました。A sensitivity label was removed from a SharePoint or Teams site.
ファイルに適用された機密ラベルApplied sensitivity label to file FileSensitivityLabelAppliedFileSensitivityLabelApplied Office on the web または自動ラベル付けポリシーを使用して、機密ラベルがドキュメントに適用されました。A sensitivity label was applied to a document by using Office on the web or an auto-labeling policy.
ファイルに適用された機密ラベルの変更Changed sensitivity label applied to file FileSensitivityLabelChangedFileSensitivityLabelChanged Office on the web または自動ラベル付けポリシーを使用して、異なる機密ラベルがドキュメントに適用されました。A different sensitivity label was applied to a document by using Office on the web or an auto-labeling policy.
ファイルから削除された機密ラベルRemoved sensitivity label from file FileSensitivityLabelRemovedFileSensitivityLabelRemoved Office on the web または自動ラベル付けポリシーを使用して、機密ラベルがドキュメントから削除されました。A sensitivity label was removed from a document by using Office on the web or an auto-labeling policy.

アイテム保持ポリシーと保持ラベルのアクティビティRetention policy and retention label activities

フレンドリ名Friendly name 操作​​Operation 説明Description
アイテム保持ポリシーの構成された設定Configured settings for a retention policy NewRetentionComplianceRuleNewRetentionComplianceRule 管理者が新しいアイテム保持ポリシーの保持設定を構成しました。Administrator configured the retention settings for a new retention policy. 保持設定には、アイテムを保持する期間、保持期間が終了した際のアイテムへの処理 (アイテムの削除、保持、またはアイテムの保持と削除など)が含まれます。Retention settings include how long items are retained, and what happens to items when the retention period expires (such as deleting items, retaining items, or retaining and then deleting them). このアクティビティは、New-RetentionComplianceRule コマンドレットの実行にも対応します。This activity also corresponds to running the New-RetentionComplianceRule cmdlet.
作成された保持ラベルCreated retention label NewComplianceTagNewComplianceTag 管理者が新しい保持ラベルを作成しました。Administrator created a new retention label.
アイテム保持ポリシーが作成されましたCreated retention policy NewRetentionCompliancePolicyNewRetentionCompliancePolicy 管理者が新しいアイテム保持ポリシーを作成しました。Administrator created a new retention policy.
アイテム保持ポリシーから削除された設定Deleted settings from a retention policy RemoveRetentionComplianceRuleRemoveRetentionComplianceRule
管理者がアイテム保持ポリシーの構成設定を削除しました。Administrator deleted the configuration settings of a retention policy. ほとんどの場合、このアクティビティは、管理者がアイテム保持ポリシーを削除した場合、または Remove-RetentionComplianceRule コマンドレット を実行した場合に記録されます。Most likely, this activity is logged when an administrator deletes a retention policy or runs the Remove-RetentionComplianceRule cmdlet.
削除された保持ラベルDeleted retention label RemovecomplianceTagRemoveComplianceTag 管理者が保持ラベルを削除しました。Administrator deleted a retention label.
削除されたアイテム保持ポリシーDeleted retention policy RemoveRetentionCompliancePolicyRemoveRetentionCompliancePolicy
管理者がアイテム保持ポリシーを削除しました。Administrator deleted a retention policy.
保持ラベルの規制レコード オプションを有効にするEnabled regulatory record option for retention labels
SetRestrictiveRetentionUISetRestrictiveRetentionUI 管理者が Set-RegulatoryComplianceUI コマンドレットを実行したため、管理者は保持ラベルの UI 構成オプションを選択して、コンテンツを規制レコードとしてマークできます。Administrator ran the Set-RegulatoryComplianceUI cmdlet so that an administrator can then select the UI configuration option for a retention label to mark content as a regulatory record.
アイテム保持ポリシーの更新された設定Updated settings for a retention policy SetRetentionComplianceRuleSetRetentionComplianceRule 管理者が既存のアイテム保持ポリシーの保持設定を変更しました。Administrator changed the retention settings for an existing retention policy. 保持設定には、アイテムを保持する期間、保持期間が終了した際のアイテムへの処理 (アイテムの削除、保持、またはアイテムの保持と削除など)が含まれます。Retention settings include how long items are retained, and what happens to items when the retention period expires (such as deleting items, retaining items, or retaining and then deleting them). このアクティビティは、Set-RetentionComplianceRule コマンドレットの実行にも対応しています。This activity also corresponds to running the Set-RetentionComplianceRule cmdlet.
更新された保持ラベルUpdated retention label SetComplianceTagSetComplianceTag 管理者が既存の保持ラベルを更新しました。Administrator updated an existing retention label.
更新アイテム保持ポリシーUpdated retention policy SetRetentionCompliancePolicySetRetentionCompliancePolicy 管理者が既存のアイテム保持ポリシーを更新しました。Administrator updated an existing a retention policy. このイベントをトリガーする更新には、アイテム保持ポリシーが適用されるコンテンツの場所の追加または除外が含まれます。Updates that trigger this event include adding or excluding content locations that the retention policy is applied to.

Exchange 管理者監査ログExchange admin audit log

(Office 365 において既定で有効になっている) Exchange 管理者監査ログは、管理者 (または管理者権限が割り当てられているユーザー) が Exchange Online の組織で変更を行ったときに、監査ログにイベントを記録します。Exchange administrator audit logging (which is enabled by default in Office 365) logs an event in the audit log when an administrator (or a user who has been assigned administrative permissions) makes a change in your Exchange Online organization. Exchange 管理センターを使用するか、Exchange Online PowerShell でコマンドレットを実行して加えられた変更は、Exchange 管理者監査ログに記録されます。Changes made by using the Exchange admin center or by running a cmdlet in Exchange Online PowerShell are logged in the Exchange admin audit log. 監査ログには、動詞の Get-Search-、または Test- で始まるコマンドレットは記録されません。Cmdlets that begin with the verbs Get-, Search-, or Test- are not logged in the audit log. Exchange の管理者監査ログの詳細については、「管理者監査ログ」を参照してください。For more detailed information about admin audit logging in Exchange, see Administrator audit logging.

重要

Exchange 管理者監査ログ (または監査ログ) に記録されない一部の Exchange Online コマンドレット。Some Exchange Online cmdlets that aren't logged in the Exchange admin audit log (or in the audit log). これらのコマンドレットの多くは、Exchange Online サービスの保守に関連しており、Microsoft データセンサーの担当者またはサービス アカウントによって実行されます。Many of these cmdlets are related to maintaining the Exchange Online service and are run by Microsoft datacenter personnel or service accounts. "雑音の多い" 監査イベントが多数発生するため、これらのコマンドレットはログに記録されません。These cmdlets aren't logged because they would result in a large number of "noisy" auditing events. 監査されていない Exchange Online コマンドレットがある場合は、セキュリティ/コンプライアンスの UserVoice フォーラムに提案を送信して、監査を有効にするよう依頼してください。If there's an Exchange Online cmdlet that isn't being audited, please submit a suggestion to the Security & Compliance User Voice forum and request that it is enabled for auditing. Microsoft サポートには、デザイン変更依頼 (DCR) を送信することもできます。You can also submit a design change request (DCR) to Microsoft Support.

監査ログを検索するときに Exchange 管理者のアクティビティを検索するためのヒントをいくつか紹介します。Here are some tips for searching for Exchange admin activities when searching the audit log:

  • Exchange 管理者監査ログのエントリを返すには、[アクティビティ] の一覧で [すべてのアクティビティの結果を表示] を選択する必要があります。特定の日付範囲内で特定の Exchange 管理者によって実行されるコマンドレットの検索結果を絞り込むには、日付範囲ボックスと [ユーザー] の一覧を使用します。To return entries from the Exchange admin audit log, you have to select Show results for all activities in the Activities list. Use the date range boxes and the Users list to narrow the search results for cmdlets run by a specific Exchange administrator within a specific date range.

  • Exchange 管理者監査ログのイベントを表示するには、検索結果をフィルター処理し、[アクティビティ] フィルター ボックスに「-」(ダッシュ) を入力します。To display events from the Exchange admin audit log, filter the search results and type a - (dash) in the Activity filter box. これにより、Exchange 管理者イベントの [アクティビティ] 列にコマンドレット名が表示されます。This displays cmdlet names, which are displayed in the Activity column for Exchange admin events. 次に、コマンドレット名をアルファベット順に並べ替えることができます。Then you can sort the cmdlet names in alphabetical order.

    [アクティビティ] ボックスにダッシュを入力して Exchange 管理イベントをフィルター処理する

  • 実行されたコマンドレット、使用されたパラメーターおよびパラメーター値、影響を受けたオブジェクトに関する情報を取得するには、[すべての結果をダウンロードする] オプションを選択することで検索結果をエクスポートできます。To get information about what cmdlet was run, which parameters and parameter values were used, and what objects were affected, you can export the search results by selecting the Download all results option. 詳細については、「監査ログ レコードをエクスポート、構成、表示する」を参照してください。For more information, see Export, configure, and view audit log records.

  • Exchange Online PowerShell の Search-UnifiedAuditLog -RecordType ExchangeAdmin コマンドを使用して、Exchange 管理者監査ログの監査レコードのみを返すこともできます。You can also use the Search-UnifiedAuditLog -RecordType ExchangeAdmin command in Exchange Online PowerShell to return only audit records from the Exchange admin audit log. Exchange コマンドレットの実行後、対応する監査ログ エントリが検索結果に返されるまで、最大で 30 分かかる場合があります。It may take up to 30 minutes after an Exchange cmdlet is run for the corresponding audit log entry to be returned in the search results. 詳細については、「Search-UnifiedAuditLog」を参照してください。For more information, see Search-UnifiedAuditLog. Search-UnifiedAuditLog コマンドレットによって返された検索結果を CSV ファイルにエクスポートする方法の詳細については、「監査ログ レコードをエクスポート、構成、表示する」の「監査ログをエクスポート、表示するためのヒント」のセクションを参照してください。For information about exporting the search results returned by the Search-UnifiedAuditLog cmdlet to a CSV file, see the "Tips for exporting and viewing the audit log" section in Export, configure, and view audit log records.

  • Exchange 管理センターを使用して、または Exchange Online PowerShell で Search-AdminAuditLog を実行して、Exchange 管理者監査ログのイベントを表示することもできます。You can also view events in the Exchange admin audit log by using the Exchange admin center or running the Search-AdminAuditLog in Exchange Online PowerShell. これは、Exchange Online 管理者が実行したアクティビティを特定するのに適した方法です。This is a good way to specifically search for activity performed by Exchange Online administrators. 手順については、以下を参照してください。For instructions, see:

    Exchange 管理者監査ログと監査ログの両方に同じ Exchange 管理者アクティビティが記録される点に注意してください。Keep in mind that the same Exchange admin activities are logged in both the Exchange admin audit log and audit log.

よく寄せられる質問Frequently asked questions

現在監査対象となっている Microsoft 365 サービスは何ですか?What are different Microsoft 365 services that are currently audited?

Exchange Online、SharePoint Online、OneDrive for Business、Azure Active Directory、Microsoft Teams、Dynamics 365、Advanced Threat Protection、Power BI など、特に使用頻度の高いサービスが監査されます。The most used services like Exchange Online, SharePoint Online, OneDrive for Business, Azure Active Directory, Microsoft Teams, Dynamics 365, Advanced Threat Protection, and Power BI are audited. 監査対象のサービスのリストについては、この記事の冒頭を参照してください。See the beginning of this article for a list of services that are audited.

**Office 365 の監査サービスでは、どんなアクティビティが監視されますか? **What activities are audited by auditing service in Office 365?

監査されるアクティビティの一覧と説明については、この記事の「監査されるアクティビティ」のセクションを参照してください。See the Audited activities section in this article for a list and description of the activities that are audited.

**イベント発生後、監査レコードが使用できるようになるまでどのくらいの時間がかかりますか? **How long does it take for an auditing record to be available after an event has occurred?

ほとんどの監査データは 30 分以内に利用可能になりますが、イベントが発生してから対応する監査ログ エントリが検索結果に表示されるまでに最大 24 時間かかる場合があります。Most auditing data is available within 30 minutes but it may take up to 24 hours after an event occurs for the corresponding audit log entry to be displayed in the search results. この記事の「監査ログを検索するための要件」セクションの表に、さまざまなサービスのイベントが利用可能になるまでの時間を示します。See the table in the Requirements to search the audit log section of this article that shows the time it takes for events in the different services to be available.

**監査レコードの保持期間はどのくらいですか? **How long are the audit records retained for?

前述のように、Office 365 E5 または Microsoft E5 ライセンスが割り当てられたユーザー (または Microsoft 365 E5 アドオンライセンスを持っているユーザー) が実行したアクティビティの監査レコードは、1 年間保持されます。As previously explained, audit records for activities performed by users assigned an Office 365 E5 or Microsoft E5 license (or users with a Microsoft 365 E5 add-on license) are retained for one year. 統合監査ログをサポートする他のすべてのサブスクリプションの場合、監査レコードは 90 日間保持されます。For all other subscriptions that support unified audit logging, audit records are retained for 90 days.

**プログラムを使用して監査データにアクセスできますか? **Can I access the auditing data programmatically?

はい。プログラムで監査ログを取得するには、Office 365 マネージメント アクティビティ API を使用します。使用を開始するには、「Office 365 Management API の使用を開始する」を参照してください。Yes. The Office 365 Management Activity API is used to fetch the audit logs programmatically. To get started, see Get started with Office 365 Management APIs.

セキュリティ/コンプライアンス センターまたは Office 365 マネージメント アクティビティ API の使用以外に、監査ログを取得する方法はありますか?Are there other ways to get auditing logs other than using the security and compliance center or the Office 365 Management Activity API?

いいえ。No. 監査サービスからデータを取得する方法は、この 2 つの方法のみです。These are the only two ways to get data from the auditing service.

**監査ログを取得したい各サービスで監査を個別に有効にする必要がありますか? **Do I need to individually enable auditing in each service that I want to capture audit logs for?

ほとんどのサービスでは、最初に組織の監査を有効にした後で、既定で監査が有効になります (この記事の「監査ログを検索するための要件」セクションを参照してください)。In most services, auditing is enabled by default after you initially turn on auditing for your organization (as described in the Requirements to search the audit log section in this article).

監査サービスは、レコードの重複除去をサポートしますか?Does the auditing service support de-duplication of records?

いいえ。No. 監査サービス パイプラインはほとんどリアルタイムであるため、重複除去をサポートできません。The auditing service pipeline is near real time, and therefore can't support de-duplication.

監査データは地域を超えて流出しますか?Does auditing data flow across geographies?

いいえ。No. 現在、NA (北米)、EMEA (ヨーロッパ、中東、アフリカ)、および APAC (アジア太平洋) 地域に、監査パイプラインを展開しています。We currently have auditing pipeline deployments in the NA (North America), EMEA (Europe, Middle East, and Africa) and APAC (Asia Pacific) regions. ただし、負荷分散や、ライブサイトの問題発生時にのみ、こういった地域にデータを転送する場合があります。However, we may flow the data across these regions for load-balancing and only during live-site issues. これらのアクティビティを実行すると、転送中のデータが暗号化されます。When we do perform these activities, the data in transit is encrypted.

**監査データは暗号化されますか? **Is auditing data encrypted?

監査データは、統合監査パイプラインが展開されるのと同じ地域の Exchange メールボックス(保存データ)に保存されます。Auditing data is stored in Exchange mailboxes (data at rest) in the same region where the unified auditing pipeline is deployed. 保管中のメールボック スデータは、Exchange によって暗号化されません。Mailbox data at rest is not encrypted by Exchange. ただし、Microsoft データセンターの Exchange サーバーは BitLocker を介して暗号化されるため、サービス レベルの暗号化はすべてのメールボックス データを暗号化します。However, service-level encryption encrypts all mailbox data because Exchange servers in Microsoft datacenters are encrypted via BitLocker. 詳細の情報に、「Skype for Business、OneDrive for Business、SharePoint Online、および Exchange Online 用の Office 365 の暗号化」を参照してください。For more information, see Office 365 Encryption for Skype for Business, OneDrive for Business, SharePoint Online, and Exchange Online.

送信中のメールデータは常に暗号化されます。Mail data in transit is always encrypted.