Exchange と Microsoft 365 でメールボックス監査ログを有効にする方法

Exchange(オンラインとオンプレミスの両方)のメールボックスに監査ログを設定することは、誰が何をしたかを追跡したい場合、必須と言えるでしょう。特に、チームでメールボックスを共有している場合や、メールの削除ミスを心配している場合はなおさらです。正直なところ、重要なメールを誰が削除または移動したのかを突き止めるには、探偵が必要だと感じる時もあります。幸いなことに、Exchange OnlineとオンプレミスのExchangeサーバーの両方に、これらのアクティビティをログに記録するツールが組み込まれていますが、問題は細部に潜んでいます。コマンドや設定に慣れていないと、おそらくいくつかの問題に直面するでしょう。そこで、受信トレイのアイテムを誰がゴミ箱に移動したのかを突き止める必要があるときに役立つ、実践的な手順をご紹介します。

Exchange でメールボックス監査ログを有効にして確認する方法

Microsoft 365 (Office 365) で監査ログを有効にする

まず、Microsoft 365をご利用の場合、監査ログは2018年後半以降、ほぼデフォルトで有効になっています。ただし、一部のテナント、特に設定をいじったことがある場合や、新しいセットアップの場合は、監査ログが有効になっていない可能性があるため、念のため再度確認することをお勧めします。確認しておくことで、後で「何もログに記録されていない」というフラストレーションを回避することができます。

  1. PowerShell 経由でExchange Online V3 モジュールに接続します。まだインストールしていない場合は、PowerShell ギャラリーから入手してください。その後、以下を実行します。
  2. Connect-ExchangeOnline -UserPrincipalName [email protected] -ShowProgress $true

これにより、Exchange Online PowerShell セッションが開始されます。接続したら、組織レベルで監査ログが有効になっているかどうかを確認します。

Get-OrganizationConfig | Format-List AuditDisabled

AuditDisabled がと表示されている場合False、テナントの監査ログはオンになっています。そうでない場合は有効化できますが、ほとんどの場合、既に有効になっています。

どのメールボックスで監査が有効になっているかを確認するには、次のコマンドを実行します。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Select UserPrincipalName, AuditEnabled

多くの設定では「はい」と表示されますが、より詳細なログを確認する前に確認することをお勧めします。特定のメールボックスの監査を無効または有効にしたい場合は、次のコマンドを使用します。

Set-Mailbox [email protected] -AuditEnabled $true

またはオフにするには:

Set-Mailbox [email protected] -AuditEnabled $false

監査レベルは、所有者、管理者、または委任されたアクションごとにカスタマイズできるため、すべてかゼロかという設定はできません。例えば、メールボックスに対して記録するアクションを設定するには、次のようにします。

Set-Mailbox [email protected] -AuditOwner HardDelete, SoftDelete, MoveToDeletedItems

こうすることで、特定のアクティビティのみが監査エントリをトリガーし、ログに溺れることがなくなります。

現在の監査設定を確認するには、次のコマンドを実行します。

Get-Mailbox [email protected] | Select-Object -ExpandProperty AuditOwner

ログは各メールボックス内のAuditsフォルダに保存されますが、OutlookやOWAではこれらのフォルダは表示されません。統計情報を取得したり、ログをエクスポートしたりするには、PowerShellコマンドを使用してください。

メールボックス内の監査ログのサイズを次のように確認することもできます。

Get-MailboxFolderStatistics -Identity [email protected] | where {$_. FolderType -eq 'Audits'} | ft Identity, ItemsInFolder, FolderSize –auto

Exchange Server (オンプレミス) でメールボックス監査ログを有効にする

オンプレミスの古いExchange(2010 SP1以降など)をまだ使用している場合は、デフォルトで無効になっているため、手動で有効にする必要があります。まず、PowerShell経由でExchange Serverに接続します。

$Session = New-PSSession -ConfigurationName Microsoft. Exchange -ConnectionUri http://your-exchange-server/PowerShell/ -Authentication Kerberos -Credential (Get-Credential) Import-PSSession $Session

接続したら、特定のメールボックスのログ記録を有効にします。メールボックスを1つだけ簡単に設定するには、以下の手順に従います。

Set-Mailbox [email protected] -AuditEnabled $true

または、組織内のすべてのメールボックスに対して有効にするには、次の手順を実行します。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

ちょっとしたヒント:すべてのメールボックスのすべてのアクティビティを有効にするだけではいけません。状況が急変し、膨大なログがディスク容量を圧迫する可能性があります。削除やアイテムの移動など、特定のアクションを監視する方が効果的です。

Set-Mailbox [email protected] -AuditOwner SoftDelete, HardDelete, MoveToDeletedItems

こうすることで、ログに溺れることなく、本当に必要な情報を得ることができます。

監査レコードの保存期間を制限するには、次の操作を行います。

Set-Mailbox [email protected] -AuditLogAgeLimit 30

ログを管理しやすい状態に保つと、特に大規模な環境では、ストレージの問題を防ぐのに役立ちます。

共有メールボックス内のメッセージを誰が削除または移動したかを確認する

誰かが共有メールボックスやチームメールボックスから重要なデータを削除してしまった時、この機能が役立ちます。コマンドはSearch-MailboxAuditLog便利ですが、使い方や最適なフィルターが必ずしも明確ではありません。

2 月 1 日以降にアイテムを削除または移動したユーザーを検索するサンプル コマンド:

Search-MailboxAuditLog -Identity [email protected] -StartDate 2/1/2022 -ShowDetails | ft MailboxOwnerUPN, LogonType, LogonUserDisplayName, Operation, OperationResult, FolderPathName

はい、アクティビティのレベルによっては時間がかかるかもしれませんが、最終的には原因がわかります。より具体的な検索を行うには、またはHardDeleteなどの操作の種類でフィルタリングしてくださいMoveToDeletedItems

Search-MailboxAuditLog -Identity [email protected] -StartDate 2/2/2022 -EndDate 2/8/2022 –LogonTypes Delegate, Admin | Where-Object {$_. Operation -like "*Delete*"} | ft

コンソールを拘束せずに定期的にバックグラウンド検索を実行する必要がある場合は、New-MailboxAuditLogSearchコマンドを使用してバックグラウンドで検索を開始し、レポートを送信できます。

Microsoft 365 コンプライアンスセンターから監査ログを表示することもできます。CLI に慣れていない方でも、視覚的にわかりやすく、操作しやすいです。

いずれにしても、監査には多少の準備が必要ですが、誰が何をしたかを追跡する必要がある場合は、それだけの価値があります。削除されたメールや移動されたフォルダが、より大きなセキュリティやコンプライアンスの問題を理解する鍵となることもあります。

まとめ

  • テナント/メールボックスの監査ログが有効になっているかどうかを確認します
  • 必要に応じて個々のメールボックスの監査ログを有効にする
  • 監査レベルをカスタマイズして膨大なログを回避し、重要な点に集中します
  • Search-MailboxAuditLogまたはコンプライアンス センターなどのコマンドを使用して調査する

まとめ

監査ログを機能させるのは、PowerShellコマンド、設定、フィルタリングなど、最初は面倒に思えるかもしれません。しかし、重要なメールを誰が削除したかを確認したいときには、実に便利です。適切に設定すれば、メールボックス、特に共有メールボックス内で何が起こっているかを確実に把握できるセーフティネットになります。なぜ機能するのかは分かりませんが、ある設定では魔法のように機能します。これで、誰かが長時間の推測作業から解放されることを願っています!