Microsoft Teams でイベントの監査ログを検索する

重要

Microsoft Teams 管理センターは、Skype for Business 管理センターを徐々に置き換えており、Microsoft 365 管理センターから Teams の設定を移行しています。 設定が移行されると、通知が表示され、Teams 管理センター内のその設定の場所に移動します。 詳細については、「Teams 管理センターへの移行中に Teams を管理する」をご覧ください。

監査ログは Microsoft 365 の複数のサービスにわたって特定のアクティビティを調査するのに役立ちます。 Microsoft Teams の場合は、次のいくつかのアクティビティが監査対象になります。

  • チームの作成
  • チームの削除
  • 追加されたチャネル
  • チャネルの削除
  • チャンネル設定の変更

監査されるアクティビティの完全Teamsについては、「アクティビティのTeamsとシフト」をTeamsしてください

注意

プライベート チャネルからの監査イベントも、チームや標準チャネルの場合と同様に記録されます。

Teams で監査をオンにする

監査データを確認する前に、最初に監査を有効にする必要Microsoft 365 コンプライアンス センター。 詳細については、「監査を 有効またはオフにする」を参照してください

重要

利用できる監査データは、監査を有効にした時点以降のデータのみです。

監査ログから Teams データを取得する

  1. アクティビティの監査ログを取得するにはTeamsに移動し、[監査 https://compliance.microsoft.com ] を 選択します

  2. [検索 ] ページ で、監査するアクティビティ、日付、およびユーザーをフィルター処理します。

  3. さらに詳しく分析するために、結果を Excel にエクスポートします。

詳しい手順については、「コンプライアンス センターで監査 ログを検索する」を参照してください

重要

監査データは、監査がオンになっている場合に、監査ログでのみ見ることができます。

監査ログで監査レコードが保持され検索可能な期間は、使用している Microsoft 365 または Office 365 サブスクリプション、特にユーザーに割り当てられているライセンスの種類によって異なります。 詳細については、「セキュリティ/コンプライアンス センターのサービスの説明」を参照してください。

監査ログを検索するためのヒント

ここでは、監査ログで Teams アクティビティを検索するためのヒントをご紹介します。

コンプライアンス センターの監査ログ検索ページのスクリーンショット

  • 検索する特定のアクティビティを選択するには、1 つ以上のアクティビティの横にあるチェック ボックスをオンにします。 アクティビティが選択されている場合は、そのアクティビティをクリックして、選択を取り消すことができます。 また、検索ボックスを使用して、入力したキーワードを含むアクティビティを表示することもできます。

    監査ログ検索ページのアクティビティドロップダウン リストのスクリーンショット

  • cmdlets を使用して実行したアクティビティのイベントを表示するには、[アクティビティ] リストの [すべてのアクティビティの結果を表示] を選択します。 これらのアクティビティの操作の名前がわかっている場合は、検索ボックスに入力してアクティビティを表示し、選択します。

  • 現在の検索条件をクリアするには、[すべてクリア] をクリックします。 日付の範囲が、過去 7 日間の既定値に戻ります。

  • 5,000 件の結果が見つかった場合、検索条件に一致するイベントが 5,000 件を超えていると見なすことができます。 検索条件を絞り込み、検索を再実行して返される結果を少なくしたり、[すべての結果をエクスポートする] を選択してすべての検索結果 > をエクスポートすることができます。 監査ログをエクスポートする詳しい手順については、「ファイルに検索結果をエクスポートする 」を参照してください

オーディオ ログ検索の使い方は、こちらの動画をチェックアウトしてください。 Teams のプログラム マネージャーである Ansuman Acharya が、Teams の監査ログ検索を行う方法を説明します。

Teams アクティビティ

ここでは、Microsoft 365 の監査ログで Teams のユーザーと管理者のアクティビティのために記録されるすべてのイベントの一覧を紹介します。 表には、[アクティビティ] 列に表示されるフレンドリ名と、監査レコードの詳細情報および検索結果をエクスポートするときに CSV ファイルに表示される対応する操作名が含まれています。

フレンドリ名 操作​​ 説明
チームへのボットの追加 BotAddedToTeam ユーザーがチームにボットを追加しました。
チャネルの追加 ChannelAdded ユーザーがチームにチャネルを追加しました。
コネクタの追加 ConnectorAdded ユーザーがチャネルにコネクタを追加しました。
会議 2 に関するTeamsを追加しました MeetingDetail Teams開始時刻、終了時刻、会議に参加する URL など、会議に関する情報が追加されました。
会議の参加者に関する情報を追加 しました 2 MeetingParticipantDetail Teamsのユーザー ID、参加者が会議に参加した時刻、参加者が会議を離時刻など、会議の参加者に関する情報を追加しました。
メンバーの追加 MemberAdded チームの所有者が、チーム、チャネル、またはグループ チャットにメンバーを追加しました。
タブの追加 TabAdded ユーザーがチャネルにタブを追加しました。
チャンネル設定の変更 ChannelSettingChanged 次のアクティビティがチーム メンバーにより実行されると、ChannelSettingChanged 操作が記録されます。 これらの各アクティビティについては、変更された設定 (かっこ内) の説明が、監査ログの検索結果の [項目] 列に表示されます。
  • チーム チャネルの名前が変更されます (チャネル名)
  • チーム チャネルの説明が変更されます (チャネルの説明)
組織の設定の変更 TeamsTenantSettingChanged TeamsTenantSettingChanged は、全体管理者が Microsoft 365 管理センターを使用して次のアクティビティを実行したときに記録されます。 これらの活動は、組織全体の Teams 設定に影響を与えます。 詳細については、「組織の Teams 設定を管理する」を参照してください。
これらの各アクティビティについては、変更された設定 (かっこ内) の説明が、監査ログの検索結果の [項目] 列に表示されます。
  • 組織に対して Teams が有効または無効になります (Microsoft Teams)。
  • 組織に対して Microsoft Teams と Skype for Business の相互運用が有効または無効になります (Skype for Business の相互運用性)。
  • Microsoft Teams クライアント内の組織図ビューが有効または無効になります (組織図)。
  • チーム メンバーによるプライベート会議のスケジュール機能を有効または無効にします (プライベート会議のスケジュール)。
  • チーム メンバーによるチャネル会議のスケジュール機能を有効または無効にします (チャネル会議のスケジュール)。
  • チーム会議でのビデオ通話を有効または無効にします (Skype 会議のビデオ)。
  • 組織に対して Microsoft Teams 会合での画面共有が有効または無効になります (Skype 会議向け画面共有)。
  • Teams の会話にアニメーション画像 (Giphy と呼ばれる) を追加する機能が有効または無効になります (アニメーション画像)。
  • 組織のコンテンツの規制設定を変更します (コンテンツの規制)。 コンテンツの評価により、会話に表示されるアニメーション画像の種類が制限されます。
  • チーム メンバーがカスタマイズ可能な画像 (カスタム ミームと呼ばれる) をインターネットからチームの会話に追加する機能が、有効または無効になります (インターネットからのカスタマイズ可能な画像)。
  • チーム メンバーが編集可能な画像 (ステッカーと呼ばれる) をチームの会話に追加する機能が、有効または無効になります (インターネットからのカスタマイズ可能な画像)。
  • チーム メンバーが Microsoft Teams のチャットおよびチャネルでボットを使用する機能が、有効または無効になります (組織全体にわたるボット)。
  • Microsoft Teams に特定のボットを有効にします。 組織でボットを有効にすると利用可能になる、Teams のヘルプ ボットである T-Bot はこれに含まれません (個々のボット)。
  • チーム メンバーが拡張機能またはタブを追加する機能を有効または無効にします (拡張機能またはタブ)。
  • Microsoft Teams に対して専用ボットのサイドローディングが有効または無効になります (ボットのサイドローディング)。
  • ユーザーがメール メッセージを Microsoft Teams に送信する機能が、有効または無効になります (チャネルのメール)。
メンバーの役割の変更 MemberRoleChanged チーム所有者がチームのメンバーの役割を変更します。 次の値は、ユーザーに割り当てられる役割の種類を示します。

1 - メンバー ロールを意味します。
2 - 所有者ロールを示します。
3 - ゲスト ロールを意味します。

メンバー プロパティには、組織の名前とメンバーのメール アドレスも含まれます。
チーム設定の変更 TeamSettingChanged 次のアクティビティがチームの所有者により実行されると、TeamSettingChanged 操作が記録されます。 これらの各アクティビティについては、変更された設定 (かっこ内) の説明が、監査ログの検索結果の [項目] 列に表示されます。
  • チームのアクセスの種類を変更します。 チームは非公開または公開として設定できます (チームのアクセスの種類)。 チームが非公開 (既定の設定) の場合、ユーザーはチームには招待状でのみアクセスでき暗ます。 チームが公開されている場合、誰でもチームにアクセスできます。
  • チームの情報の分類を変更します (チーム分類)。 たとえば、チームのデータは業務への影響が大きい、業務への影響が中程度、業務への影響が小さい、といったように分類できます。
  • チームの名前を変更します (チーム名)。
  • チームの説明を変更します (チームの説明)。
  • チームの設定が変更されました。 これらの設定にアクセスするには、チーム所有者はチームを右クリックし、[チームの管理][設定] タブの順に選択します。これらのアクティビティについては、変更された設定の名前が、監査ログの検索結果の [項目] 列に表示されます。
チャット1、2 を作成しました ChatCreated チャットTeams作成されました。
チームの作成 TeamCreated ユーザーがチームを作成しました。
メッセージを削除しました MessageDeleted チャットまたはチャネル内のメッセージが削除されました。
すべての組織のアプリが削除されました DeletedAllOrganizationApps カタログからすべての組織アプリを削除しました。
削除されたアプリ AppDeletedFromCatalog カタログからアプリが削除されました。
チャネルの削除 ChannelDeleted ユーザーがチームからチャネルを削除しました。
チームの削除 TeamDeleted チーム所有者がチームを削除しました。
メッセージの URL リンクを含むメッセージを編集Teams MessageEditedHasLink ユーザーがメッセージを編集し、そのメッセージに URL リンクを追加Teams。
エクスポートされたメッセージ1、2 MessagesExported チャットまたはチャネル メッセージがエクスポートされた。
フェッチされたチャット1、2 ChatRetrieved チャットMicrosoft Teams取得されました。
メッセージ1、2 のすべてのホステッド コンテンツ をフェッチしました MessageHostedContentsListed 画像やコード スニペットなど、メッセージ内のすべてのホストされたコンテンツが取得されました。
インストールされたアプリ AppInstalled アプリがインストールされました。
カードに対して実行されたアクション PerformedCardAction ユーザーがチャット内のアダプティブ カードでアクションを起こしました。 アダプティブ カードは通常ボットで使用し、チャットで情報を豊富に表示して、相互作用することを可能にします。

注: チャット内のアダプティブ カードでのインライン入力アクションだけが監査ログで利用可能になります。 たとえば、チャネルでの会話の中で、ユーザーがポーリング ボットによって生成されたアダプティブ カード上でポーリング応答を送信した場合。 ダイアログを開く「結果を表示」などのユーザー アクションや、ダイアログ内のユーザー アクションは、監査ログには表示されません。
新しいメッセージ1、2 を投稿しました MessageSent 新しいメッセージがチャットまたはチャネルに投稿されました。
公開済みのアプリ AppPublishedToCatalog アプリがカタログに追加されました。
メッセージ1、2 を読む MessageRead チャットまたはチャネルのメッセージが取得されました。
メッセージ 1、2 のホストされているコンテンツ を読み取ります。 MessageHostedContentRead 画像やコード スニペットなど、メッセージ内でホストされているコンテンツが取得されました。
チームからのボットの削除 BotRemovedFromTeam ユーザーがチームからボットを削除しました。
コネクタの削除 ConnectorRemoved ユーザーがチャネルからコネクタを削除しました。
メンバーの削除 MemberRemoved チームの所有者が、チーム、チャネル、またはグループ チャットからメンバーを削除しました。
タブの削除 TabRemoved ユーザーがチャネルからタブを削除しました。
取得したメッセージ1、2 MessagesListed チャットまたはチャネルからのメッセージが取得されました。
URL リンクを含むメッセージを送信しました Teams MessageCreatedHasLink ユーザーは、URL リンクを含むメッセージを Teams。
メッセージ作成 1、2 の変更通知 を送信しました MessageCreatedNotification サブスクライブしているリスナー アプリケーションに新しいメッセージを通知する変更通知が送信されました。
メッセージ削除の変更通知を送信しました 1,2 MessageDeletedNotification 削除されたメッセージをサブスクライブしているリスナー アプリケーションに通知する変更通知が送信されました。
メッセージ更新プログラム 1、2 の変更通知 を送信しました MessageUpdatedNotification サブスクライブしているリスナー アプリケーションに更新されたメッセージを通知する変更通知が送信されました。
メッセージ変更通知のサブスクライブ1、2 SubscribedToMessages メッセージの変更通知を受け取るリスナー アプリケーションによってサブスクリプションが作成されました。
削除されたアプリ AppUninstalled アプリがアンインストールされました。
更新されたアプリ AppUpdatedInCatalog アプリがカタログで更新されました。
チャット1、2 を更新しました ChatUpdated チャットTeams更新されました。
メッセージ1、2 を更新しました MessageUpdated チャットまたはチャネルのメッセージが更新されました。
コネクタの更新 ConnectorUpdated ユーザーがチャネルのコネクタを変更しました。
タブの更新 TabUpdated ユーザーがチャネルのタブを変更しました。
アップグレードされたアプリ AppUpgraded アプリがカタログで最新版にアップグレードされました。
Teams へのユーザーのサインイン TeamsSessionStarted ユーザーが Microsoft Teams クライアントにサインインしました。 このイベントは、トークン更新アクティビティをキャプチャしません。

注意

1このイベントの監査レコードは、Microsoft Graph API を呼び出して操作が実行された場合にのみ記録されます。 クライアントで操作が実行Teams、監査レコードはログに記録されません。

2 このイベントは、高度な監査でのみ使用できます。 つまり、これらのイベントが監査ログに記録される前に、ユーザーに適切なライセンスが割り当てられている必要があります。 高度な監査でのみ使用できるアクティビティの詳細については、「Advanced Audit in Microsoft 365 」を参照してください。 高度な監査のライセンス要件については、「監査ソリューション 」を参照Microsoft 365。

Teams アクティビティにサインイン

(プレビュー段階)

組織で Teams の Shifts アプリを使用している場合は、Shifts アプリに関連するアクティビティの監査ログを検索できます。 ここでは、Microsoft 365 の監査ログで Teams の Shifts アクティビティのために記録されるすべてのイベントの一覧を紹介します。

フレンドリ名 操作​​ 説明
追加済みのスケジューリング グループ ScheduleGroupAdded ユーザーが新しいスケジューリング グループをスケジュールに追加することに成功しました。
編集済みのスケジューリング グループ ScheduleGroupEdited ユーザーがスケジューリング グループの編集に成功しました。
削除済みのスケジューリング グループ ScheduleGroupDeleted ユーザーがスケジューリング グループをスケジュールから削除することに成功しました。
スケジュールの撤回 ScheduleWithdrawn ユーザーが公開されたスケジュールの撤回に成功しました。
追加済みのシフト ShiftAdded ユーザーがシフトの追加に成功しました。
編集済みのシフト ShiftEdited ユーザーがシフトの編集に成功しました。
削除済みのシフト ShiftDeleted ユーザーがシフトの削除に成功しました。
追加済みの休暇 TimeOffAdded ユーザーがスケジュールに休暇を追加することに成功しました。
編集済みの休暇 TimeOffEdited ユーザーが休暇の編集に成功しました。
削除済みの休暇 TimeOffDeleted ユーザーが休暇の削除に成功しました。
追加済みの空きシフト OpenShiftAdded ユーザーが空きシフトをスケジューリング グループに追加することに成功しました。
編集済みの空きシフト OpenShiftEdited ユーザーがスケジューリング グループの空きシフトを編集することに成功しました。
削除済みの空きシフト OpenShiftDeleted ユーザーがスケジューリング グループから空きシフトを削除することに成功しました。
共有済みのスケジュール ScheduleShared ユーザーが期間中のチーム スケジュールを共有することに成功しました。
業務時間記録を使用して出勤済み ClockedIn ユーザーが業務時間記録を使用して出勤することに成功しました。
業務時間記録を使用して退勤済み ClockedOut ユーザーが業務時間記録を使用して退勤することに成功しました。
業務時間記録を使用して開始済みの休憩 BreakStarted ユーザーがアクティブな業務時間記録セッション中の休憩の開始に成功しました。
業務時間記録を使用して終了した休憩 BreakEnded ユーザーがアクティブな業務時間記録セッション中の休憩の終了に成功しました。
追加済みの業務時間記録エントリ TimeClockEntryAdded ユーザーがタイムシートに手動で業務時間記録エントリを追加することに成功しました。
編集済みの業務時間記録エントリ TimeClockEntryEdited ユーザーがタイムシートの業務時間記録エントリを編集することに成功しました。
削除済みの業務時間記録エントリ TimeClockEntryDeleted ユーザーがタイムシートの業務時間記録エントリを削除することに成功しました。
追加済みのシフト要求 RequestAdded ユーザーがシフト要求を追加しました。
シフト要求に応答済み RequestRespondedTo ユーザーがシフト要求に応答しました。
キャンセルされたシフト要求 RequestCancelled ユーザーがシフト要求をキャンセルしました。
変更されたスケジュール設定 ScheduleSettingChanged ユーザーがシフト設定で設定を変更しました。
追加済みの従業員の統合 WorkforceIntegrationAdded シフト アプリは、サードパーティのシステムと統合されています。
承諾済みのシフト外メッセージ OffShiftDialogAccepted ユーザーは、シフト時間後に Teams にアクセスするためのシフト外メッセージを承認します。

Office 365 マネージメント アクティビティ API

Office 365 マネージメント アクティビティ API を使用して、Teams のイベント情報を取得することができます。 マネージメント アクティビティ API の詳細については、「Teams スキーマ」を参照してください。

Teams の監査ログでの属性

Azure Active Directory (Azure AD)、Microsoft 365 管理センター、または Microsoft 365 グループ グラフ API を通じて行われた Teams へのメンバー変更 (ユーザーの追加や削除など) は、Teams の監査メッセージと一般チャネルに、実際のアクションの開始者ではなく、チームの既存の所有者に対する属性を付けて表示されます。 これらのシナリオでは、Azure AD またはMicrosoft 365 グループの監査ログにお問い合わせの上、関連情報を参照してください。

Defender for Cloud Apps を使用してアクティビティ ポリシーを設定する

Microsoft Defender for Cloud Apps統合を使用すると、アプリ プロバイダーの API を使用して、さまざまな自動化されたプロセスを適用するアクティビティ ポリシーを設定できます。 これらのポリシーにより、さまざまなユーザーが行う特定のアクティビティを監視したり、予想外に高率で発生する特定のタイプのアクティビティをフォローしたりすることができます。

アクティビティ検出ポリシーを設定すると、アラートの生成を開始します。 アラートは、ポリシーを作成した後に発生したアクティビティに対してのみ生成されます。 Cloud Apps の Defender でアクティビティ ポリシーを使用してアクティビティを監視する方法のシナリオTeamsします。

外部ユーザーのシナリオ

ビジネスの観点から注意したいシナリオの一つに、Teams 環境に外部ユーザーを追加することがあります。 外部ユーザーが有効になっている場合は、そのプレゼンスを監視することをお勧めします。 Defender for Cloud Apps を使用して、潜在的な 脅威を特定できます。

外部ユーザーの追加を監視するポリシー。

外部ユーザーの追加を監視するこのポリシーのスクリーンショットでは、ポリシーに名前を付け、ビジネスの必要に応じて重大度を設定し、(この場合は) 単一のアクティビティとして設定した上で、内部ユーザー以外の追加のみを具体的に監視するパラメーターを設定し、このアクティビティを Teams に限定することができます。

本ポリシーの結果は、次の活動ログで確認することができます。

外部ユーザー ポリシーによってトリガーされるイベント。

ここでは、設定したポリシーとの一致を確認し、必要に応じて調整を行ったり、結果をエクスポートして他の場所で使用することができます。

大量削除のシナリオ

前述したように、削除シナリオを監視することができます。 Teams サイトの大量削除を監視するポリシーを作成することができます。 この例では、30 分間隔でチームの大量削除を検知するアラートベースのポリシーを設定しています。

一括チーム削除検出のポリシーの設定を示すポリシー。

スクリーンショットが示すように、このポリシーには、重大度、単一または繰り返されたアクション、Teams とサイトの削除に限定するパラメーターなど、さまざまなパラメーターを設定して Teams の削除を監視することができます。 これは、テンプレートとは別に行うこともできますし、組織の必要に応じて、このポリシーのベースとなるテンプレートを作成させることもできます。

ビジネスに有効なポリシーを設定した後は、イベントがトリガーされるとアクティビティ ログの結果を確認することができます。

一括削除によってトリガーされるスクリーンショット イベント。

設定したポリシーをフィルター処理して、そのポリシーの結果を表示することができます。 アクティビティ ログで得られる結果が満足のいくものではない場合 (多くの結果が表示されたり、全く表示されなかったりする場合)、クエリを微調整して、必要なことに関連付けることができます。

アラートとガバナンスのシナリオ

アクティビティ ポリシーがトリガーされた場合にアラートを設定し、管理者や他のユーザーにメール送信することができます。 ユーザーの保留や、ユーザーに再度サインインさせるなどの自動化されたガバナンス アクションを自動で設定することができます。 この例では、アクティビティ ポリシーがトリガーされ、ユーザーが 30 分間で 2 つ以上のチームを削除したと判断した場合に、ユーザー アカウントを一時停止する方法を示しています。

アクティビティ ポリシーのアラートとガバナンス アクションのスクリーンショット。

Cloud Apps の Defender を使用して異常検出ポリシーを設定する

Defender for Cloud Apps の異常検出ポリシーでは、すぐに使用できるユーザーとエンティティの行動分析 (UEBA) と機械学習 (ML) が提供され、クラウド環境全体で高度な脅威検出をすぐに実行できます。 新しい異常検出ポリシーは自動的に有効化されているため、ユーザーやネットワークに接続されているマシンやデバイス全体の多数の動作異常をターゲットにして即時検出を行い、すぐに結果を出すことができます。 さらに、新しいポリシーでは、調査プロセスを高速化し、進行中の脅威を含めるのに役立つ、Defender for Cloud Apps 検出エンジンからのより多くのデータが公開されます。

Teams イベントを異常検出ポリシーに統合する作業を行っています。 現時点では、他の Office 製品の異常検出ポリシーを設定し、そのポリシーに合致するユーザーに対する実施項目を実行することができます。