活動のログを有効化して使用する

データの保護、プライバシーの維持、および、一般的なデータ保護規則などの規則の遵守は、確かに、ビジネスにとって最高プライオリティの一部です。 可能なセキュリティ違反について分析できるように、行われるデータ処理アクションの全体を監査することが重要です。 活動のログからの情報は、Office、Power Apps、Microsoft Power Automate、および Dynamics 365 のモデル駆動型アプリ (Dynamics 365 Sales や Dynamics 365 Customer Service など) の使用を宣言し、データ保護影響の評価 (DPIA) を実行する際に使用されます。

このトピックでは、広範なデータ処理活動を監査し、Office 365 セキュリティ / コンプライアンス センター を使用して活動レポートのデータを確認するために、Dynamics 365 のモデル駆動型アプリを設定する方法について説明します。

要件

  • アクティビティ ロギングを行うには、 Office 365 Enterprise E3 または E5 のサブスクリプションが必要となります。
  • 運用環境で使用できますが、サンドボックス環境では使用できません。

監査されるイベント

ログは SDK レイヤーで行われます。つまり、1 つのアクションで、ログに記録される複数のイベントをトリガできることを意味します。 次は、監査できる管理イベントとユーザーイベントのサンプルです。

イベント 説明
カスタマイズを公開しています 管理者は、前のカスタマイズによって行われた変更を上書きする新しいカスタマイズを公開します。 アクションは、分析するために監査が必要です。
属性削除 管理者は誤って属性を削除します。 このアクションにより、データも削除されます。
チーム、ユーザー管理 追加されたユーザー、削除されたユーザー、ユーザー/チームが持ったアクセス権は、影響の分析に重要です。
インスタンスの構成 ソリューションをインスタンスに追加します。
バックアップと復元 テナントでのバックアップと復元のアクション。
アプリケーションの管理 新しいインスタンスの追加、既存のインスタンスの削除、試用版の有料への変換など。
イベント 説明
作成、読み込み、更新、削除 (CRUD) 問題の影響の理解、およびデータ保護影響の評価 (DPIA) への準拠のために重要なすべての CRUD 活動のログ。
複数のレコード表示 Dynamics のユーザーは、グリッド ビュー、高度な検索など、大量に情報を表示します。重大な顧客コンテンツ情報は、これらのビューの一部です。
Excel に​​エクスポート Excel にデータをエクスポートすることは、安全な環境の外側にデータを移動し、脅威に対して脆弱です。
サラウンドまたはカスタム アプリによる SDK 呼び出し SDK に呼び出してアクションを実行するコア プラットフォームまたはサラウンド アプリを介して実行されたアクションは、ログに記録される必要があります。
すべてのサポート CRUD 活動 顧客環境でのマイクロソフト サポート エンジニア活動。
管理活動 顧客テナントでの管理活動。
バックエンド コマンド 顧客テナントおよび顧客環境でのマイクロソフト サポート エンジニア活動。
表示されたレポート レポートが表示される場合にログ記録。 重要な顧客情報の内容はレポートに表示されることがあります。
レポート ビューアのエクスポート 異なる形式にレポートをエクスポートすることは、安全な環境の外側にデータを移動し、脅威に対して脆弱です。
レポート ビューア レンダー イメージ レポートが表示されるときに示されるマルチメディア資産のログ記録。 それらには、重要な顧客情報を含むことがあります。

Microsoft Social Engagement ログ機能

次の Microsoft Social Engagement (MSE) エンティティおよびアクションがログに記録されます。

MSE エンティティ MSE ページ/パネル/コントロールがログに記録されます
検索トピック カテゴリ 作成、名前の変更、削除
検索トピック 作成、更新、削除
カスタム ソース 作成、更新、削除
ブロック済みキーワード 追加、削除
ブロック済みメイン 追加、削除
ストリーム 作成、更新、削除
転記 (取得済み) 内部と外部アクション
投稿 (公開済み) 送信​​
作成者 追加 (GDPR)、削除 (GDPR)、削除
アクティビティ マップ 作成、更新、削除
通知 作成、更新、削除
基本設定 更新プログラム
ソーシャル プロファイル 作成、更新、再認証、削除
User ロール、電子メールの編集
Azure Event Hubs 作成、更新、削除
Dynamics 365 のモデル駆動型アプリ 作成、更新、更新、削除
許可されているドメイン 追加、削除
自動化ルール 作成、更新、削除
AR 通知 有効、無効
タグ 追加、更新、削除
ラベル 追加、更新、削除
検索言語 追加、削除
適応センチメント 有効、無効、リセット
その他のグローバル設定 Update

基本スキーマ

スキーマは、Office 365 セキュリティ / コンプライアンス センターに送信されるフィールドを定義します。 一部のフィールドは、監査データを Office 365へと送信するすべてのアプリケーションに共通です。また、その他のフィールドは、Dynamics 365 のモデル駆動型アプリに固有のものです。 基本スキーマには、共通フィールドが含まれます。

フィールド名 種類 必須 説明
日付 Edm.Date いいえ ログが生成された日時 (UTC)
IP アドレス Edm.String いいえ ユーザーまたは社内のゲートウェイの IP アドレス
ID Edm.Guid いいえ ログに記録されるすべての行に対する一意の GUID
結果の状態 Edm.String いいえ ログに記録される行の状態。 ほとんどの場合に成功
組織 ID Edm.Guid はい ログが生成された組織の一意識別子。 この ID は、Dynamics 開発者リソースの下にあります。
ClientIP Edm.String いいえ ユーザーまたは社内のゲートウェイの IP アドレス
CorrelationId Edm.Guid いいえ 関連する行の関連付けに使用される一意の値 (例: 大きい行が分割される場合)
CreationTime Edm.Date いいえ ログが生成された日時 (UTC)
操作 Edm.Date なし SDK で呼び出されるメッセージの名前
UserKey Edm.String なし AAD のユーザーの一意の識別子です。 AKA ユーザー PUID
UserType Self.UserType なし Office 365 監査タイプ(Admin、Regular、System)
User Edm.String なし ユーザーの UPN

Dynamics 365 のモデル駆動型アプリのスキーマ

Dynamics 365 のモデル駆動型アプリのスキーマには、Dynamics 365 のモデル駆動型アプリおよびパートナー チームに特有のフィールドが含まれています。

フィールド名 必須 説明
ユーザー ID Edm.String なし 組織内のユーザー GUID の一意の識別子
Crm 組織独自の名前 Edm.String なし 組織の一意の名前
インスタンス Url Edm.String なし インスタンスへの URL
アイテム Url Edm.String いいえ ログを生成するレコードへの URL
項目の種類 Edm.String いいえ エンティティの名前です。
メッセージ Edm.String なし SDK で呼び出されるメッセージの名前
ユーザー エージェント Edm.String なし 組織内のユーザー GUID の一意の識別子
EntityId Edm.Guid なし エンティティを表す一意識別子
EntityName Edm.String なし 組織のエンティティ名
フィールド Edm.String なし 作成または更新された値を反映するキー値ペアの JSON
ID Edm.String なし Dynamics 365 のモデル駆動型アプリのエンティティ名
Query Edm.String なし FetchXML を実行中に使用されるフィルター クエリ パラメーター
QueryResults Edm.String いいえ SDK メッセージ呼び出しの取得および複数取得によって返された 1 つ以上の一意のレコード
ServiceContextId Edm.Guid いいえ サービス コンテキストに関連付けられた一意の ID
ServiceContextIdType Edm.String いいえ コンテキストの使用を定義するアプリケーションで定義されたトークン
ServiceName Edm.String いいえ ログを生成するサービスの名前
SystemUserId Edm.Guid なし 組織内のユーザー GUID の一意の識別子
UserAgent Edm.Guid なし 要求の実行に使用するブラウザー
ユーザー ID Edm.Guid いいえ この活動に関連付けられている Dynamics システム ユーザーの一意の id
UserUpn Edm.String いいえ この活動に関連付けられているユーザーのユーザー プリンシパル名

監査の有効化

  1. 設定 > 管理 > システム設定 > 監査タブを選択します。

  2. 監査設定で、次のチェック ボックスを有効にします。

    • 監査の開始
    • ユーザー アクセスの監査
    • 読み取り監査を開始する (注意: これは、監査の開始を有効にした場合のみ表示されます。)
  3. 次の領域で監査を有効にするで、監査する領域のチェックボックスを有効にして、OK を選択します。

    システム設定の監査

  4. 設定 > カスタマイズ > システムのカスタマイズに移動します。

  5. コンポーネントで、エンティティを展開し、取引先企業など、監査するエンティティを選択します。

  6. 下方向へスクロールし、データ サービス監査を有効にします。

  7. 監査で、次のチェック ボックスを有効にします。

    • 単一レコード監査。レコードがオープンされたときにログに記録します。
    • 複数レコード監査。開かれているページに表示されているすべてのレコードを記録します。

    監査を取得

  8. 保存を選択します。

  9. カスタマイズを公開するには、公開を選択します。

  10. 監査する他のエンティティに対して手順 5 ~ 9 を繰り返します。

  11. Office 365で監査ログを有効にします。 Office 365 監査ログの検索をオンまたはオフにするを参照してください。

Office 365 セキュリティ/コンプライアンス センターのレポートを使用して監査データを確認する

Office 365 セキュリティ/コンプライアンス センターで監査データを確認することができます。 Office 365 でユーザー活動および管理活動の監査ログを検索するを参照してください。

事前に構成されたレポートを使用するには、https://protection.office.com > 検索および調査 > 監査ログ検索に移動し、Dynamics 365 活動タブを選択します。

監査ログのレポート

監査ログの検索結果

以下は、事前に構成されたレポートです。

アクセスされた標準エンティティ アクセスされたユーザー定義エンティティ アクセスされた管理エンティティ
実行された一括アクション (削除、インポートなど) アクセスされた他のエンティティの種類 アクセスされた Dynamics 365 管理センター
アクセスされた社内管理ツール サインインまたはサインアウト アクティブ化されたプロセスまたはプラグイン

レポートの作成

独自のレポートを作成して監査データを確認できます。 See Office 365 でユーザー活動および管理活動の監査ログを検索するを参照してください。

ログに記録されるもの

活動のログで記録されるもののリストについては、「Microsoft.Crm.Sdk.Messages 名前空間」を参照してください。

以下を除くすべての SDK メッセージをログに出力します。

  • WhoAmI
  • RetrieveFilteredForms
  • TriggerServiceEndpointCheck
  • QueryExpressionToFetchXml
  • FetchXmlToQueryExpression
  • FireNotificationEvent
  • RetrieveMetadataChanges
  • RetrieveEntityChanges
  • RetrieveProvisionedLanguagePackVersion
  • RetrieveInstalledLanguagePackVersion
  • RetrieveProvisionedLanguages
  • RetrieveAvailableLanguages
  • RetrieveDeprovisionedLanguages
  • RetrieveInstalledLanguagePacks
  • GetAllTimeZonesWithDisplayName
  • GetTimeZoneCodeByLocalizedName
  • IsReportingDataConnectorInstalled
  • LocalTimeFromUtcTime
  • IsBackOfficeInstalled
  • FormatAddress
  • IsSupportUserRole
  • IsComponentCustomizable
  • ConfigureReportingDataConnector
  • CheckClientCompatibility
  • RetrieveAttribute

読み込みと複数読み込みを分類する方法

接頭辞を使用して分類します。

要求が次で開始する場合: 次のように特徴付けます:
RetrieveMultiple ReadMultiple
ExportToExcel ReadMultiple
RollUp ReadMultiple
RetrieveEntitiesForAggregateQuery ReadMultiple
RetrieveRecordWall ReadMultiple
RetrievePersonalWall ReadMultiple
ExecuteFetch ReadMultiple
取得 読み込み
検索​​ 読み込み
Yammer の入手 読み込み
エクスポート 読み込み

生成されたログの例

以下は、活動のログで作成されたログの例です。

例 1 - ユーザーが取引先企業レコードを読み込むときに生成されるログ

スキーマ名
ID 50e01c88-2e43-4005-8be8-9ceb172e2e90
UserKey 10033XXXA49AXXXX
ClientIP 131.107.XXX.XX
操作 取得
Date 3/2/2018 11:25:56 PM
EntityId 0a0d8709-711e-e811-a952-000d3a732d76
EntityName 取引先企業
Query 該当なし
QueryResults 該当なし
ItemURL https://orgname.onmicrosoft.com/main.aspx?etn=account&pagetype=entityrecord&id=0a0d8709-711e-e811-a952-000d3a732d76

例 2 - ユーザーが取引先企業レコードをグリッドに表示するときに生成されるログ ( Microsoft Excel へのエクスポート ログもこれと同様です)

スキーマ名
ID ef83f463-b92f-455e-97a6-2060a47efe33
UserKey 10033XXXA49AXXXX
ClientIP 131.107.XXX.XX
操作 RetrieveMultiple
日付 3/2/2018 11:25:56 PM
EntityId 該当なし
EntityName 取引先企業
Query <filter type="and"><condition column="ownerid" operator="eq-userid" /><condition column="statecode" operator="eq" value="0" /></filter>
QueryResults 0a0d8709-711e-e811-a952-000d3a732d76, dc136b61-6c1e-e811-a952-000d3a732d76
ItemURL 該当なし

例 3 - ユーザーが潜在顧客を営業案件に変換するときにログに記録されるメッセージの一覧

ID EntityID EntityName 操作
53c98033-cca4-4420-97e4-4c1b4f81e062 23ad069e-4d22-e811-a953-000d3a732d76 取引先担当者 作成
5aca837c-a1f5-4801-b770-5c66183a58aa 25ad069e-4d22-e811-a953-000d3a732d76 営業案件 作成
c9585748-fdbf-4ff7-970c-bb37f6aa2c36 25ad069e-4d22-e811-a953-000d3a732d76 営業案件 Update
a0469f30-078b-419d-be61-b04c9a34121f 1cad069e-4d22-e811-a953-000d3a732d76 潜在顧客 Update
0975bceb-07c7-4dc2-b621-5a7b245c36a4 1cad069e-4d22-e811-a953-000d3a732d76 潜在顧客 Update

さらに考慮すべきこと

Office 365 セキュリティ/コンプライアンス センターの監査ログ検索をオンにすると、ユーザーや管理者のアクティビティは監査ログに記録され、90日間保持されます。 ただし、組織によっては、監査ログデータを記録して保持したくない場合があります。 または、監査データにアクセスするために、サード パーティのセキュリティ情報およびイベント管理 (SIEM) アプリケーションを使用している場合があります。 このような場合、グローバル管理者は Office 365 の監査ログ検索をオフにすることができます。

既知の問題

  • Office には、各監査レコードの 3 KB の制限があります。 したがって、場合によっては Dynamics 365 のモデル駆動型アプリの単一レコードは Office で複数のレコードに分割する必要があります。 CorrelationId フィールドを使用して、特定のソース レコードの分割された一連のレコードを取得できます。 分割を要求する可能性がある操作には、RetrieveMultiple および ExportToExcel が含まれます。
  • 一部の操作は、すべての関連データを取得するために追加の処理を必要とします。 たとえば、RetrieveMultiple および ExportToExcel は、取得またはエクスポートされるレコードの一覧を抽出するために処理されます。 ただし、今までのところ関連するすべての操作が処理されるわけではありません。 たとえば、ExportToWord は、現在、エクスポートされたものに関する追加の詳細のない単一操作としてログに記録されます。
  • 将来のリリースでは、ログのレビューに基づいて役に立たないと決定される操作に対するログが無効にされます。 たとえば、操作の中には、ユーザー活動ではなく、自動システム活動から結果として生じるものがあります。

関連項目

セキュリティおよび法令遵守の監査データとユーザーの活動
Office 365でユーザーアクティビティおよび管理者アクティビティの監査ログを検索する Office 365 API管理の概要