社内のMicrosoft 365環境で、特定のユーザーアカウントの設定が突然変更されたり、権限が変わったことに気づいた場合、誰がいつ何を変更したのかを特定する必要があります。このような状況で役立つのが、Microsoft 365 Purview コンプライアンスポータルで提供される監査ログです。監査ログは、管理者やユーザーが行ったほぼすべての操作を記録しており、適切な検索条件を設定することで、原因となった操作を特定できます。本記事では、アカウント設定変更の監査ログを効率的に検索するための条件と手順を具体的に解説します。
【要点】この記事で確認すること
- 最初に見る場所: Microsoft 365 Purview コンプライアンスポータルの「監査ログ」検索画面。アクセスには監査ログの閲覧権限(View-Only Audit Logs または Audit Logs ロール)が必要です。
- 切り分けの軸: 変更が行われた「日時」「操作を行ったユーザー」「変更された項目(アクティビティ名)」の3つで絞り込みます。特にアクティビティ名は「ユーザーが変更された」などのカテゴリから選択します。
- 注意点: 監査ログは既定で90日間保持されますが、ライセンスによっては1年まで延長可能です。また、正確な検索には正しいアクティビティ名の選択が不可欠です。管理者以外がログを改ざんすることはできません。
ADVERTISEMENT
目次
1. 監査ログで追跡できるアカウント設定変更の種類
Microsoft 365の監査ログでは、ユーザーアカウントに関連するさまざまな操作が記録されます。代表的なものとして、パスワードのリセット、ライセンス割り当ての変更、グループメンバーシップの変更、ユーザープロパティ(表示名、部署、役職など)の更新、多要素認証(MFA)の設定変更などがあります。これらの操作は、管理者がAzure AD管理センターやExchange管理センター、PowerShellなどから行った場合も、ユーザー自身が自分のアカウント設定を変更した場合も記録されます。ただし、すべての操作が既定で記録されるわけではなく、一部の操作は監査ログの対象外である場合もあるため、事前に確認が必要です。
1-1. アクティビティのカテゴリと代表的な操作
監査ログ検索画面では、アクティビティをカテゴリで絞り込めます。アカウント設定変更に関連する主なカテゴリは「ユーザー管理アクティビティ」「パスワード変更」「グループ管理アクティビティ」などです。例えば、「ユーザーが変更された」というアクティビティは、ユーザープロパティの変更をキャプチャします。また、「パスワードのリセット」は管理者によるパスワードリセット操作を記録します。これらのアクティビティ名は英語で表示されることが多いため、日本語環境でも「ユーザーが変更された」ではなく「Changed user」と表示される場合があります。実際の画面に沿って操作する際は、アクティビティ名の日本語/英語表記を確認してください。
2. 監査ログ検索の基本手順(Purview コンプライアンスポータル)
ここでは、Microsoft 365 Purview コンプライアンスポータルを使用して監査ログを検索する手順を説明します。操作には、監査ログの閲覧権限(通常は管理者アカウント)が必要です。
- 手順1: ブラウザで https://compliance.microsoft.com にアクセスし、管理者アカウントでサインインします。
- 手順2: 左側のナビゲーションメニューから「監査」をクリックします。監査ログの検索画面が開きます。
- 手順3: 「検索」タブで、期間を指定します。例として「過去24時間」や「カスタム」で特定の日時範囲を入力します。
- 手順4: 「アクティビティ」ドロップダウンを開き、該当するカテゴリ(例:「ユーザー管理アクティビティ」)を選択し、さらに具体的なアクティビティ(例:「ユーザーが変更された」)を選択します。複数選択も可能です。
- 手順5: 「ユーザー」フィールドには、操作を行った可能性のあるユーザー(管理者)を指定します。不特定の場合は空白のままにできます。
- 手順6: 「ファイル、フォルダー、またはサイト」フィールドは今回は不要なので空白にします。
- 手順7: 「検索」ボタンをクリックします。結果が一覧表示されます。
- 手順8: 結果をクリックすると詳細が表示され、変更内容の詳細(変更前後の値など)を確認できます。必要に応じて「結果のエクスポート」をクリックしてCSV形式でダウンロードします。
検索結果には、操作日時、操作を行ったユーザー、操作の種類、影響を受けたユーザー、操作の詳細(JSON形式)が含まれます。目的の変更が見つからない場合は、アクティビティの選択範囲を広げたり、期間を延ばしたりして再検索します。
3. 状況別の検索条件比較表
アカウント設定変更のパターンごとに、推奨する検索条件をまとめました。以下の表を参考に、該当するケースに合わせて条件を設定してください。
| 変更内容 | 推奨アクティビティ名 | その他の条件 | 備考 |
|---|---|---|---|
| パスワードのリセット(管理者が実行) | パスワードのリセット | 実行ユーザー:該当管理者 | ユーザー自身によるパスワード変更は別のアクティビティ(ユーザーがパスワードを変更) |
| ユーザープロパティの更新(表示名、部署など) | ユーザーが変更された | 影響を受けたユーザー:変更対象者 | 詳細JSONで変更前後の値を確認 |
| ライセンス割り当ての変更 | 製品ライセンスの割り当て/削除 | 影響を受けたユーザー:対象ユーザー | 「製品ライセンスの割り当て」と「製品ライセンスの削除」は別アクティビティ |
| グループメンバーシップの変更 | グループにメンバーを追加/グループからメンバーを削除 | 影響を受けたグループ:グループ名 | グループ作成や削除も別アクティビティ |
| 多要素認証(MFA)設定の変更 | ユーザーのMFA登録状態の変更 | 影響を受けたユーザー:対象ユーザー | MFA関連はアクティビティ名が複数あるため注意 |
表に示したアクティビティ名は日本語環境での表示例です。実際の画面では英語表記の場合もあります。アクティビティの選択時には、ドロップダウンリストのカテゴリを展開して目的のアクティビティを探してください。
4. 失敗パターンと注意点
監査ログ検索でよくある失敗とその対策を紹介します。これらを把握しておくことで、検索の効率が向上します。
4-1. アクティビティの選択ミス
「ユーザーが変更された」というアクティビティは、ユーザープロパティの更新をキャプチャしますが、パスワードリセットやライセンス変更は含みません。逆に「パスワードのリセット」はパスワード操作のみを記録します。変更内容に合ったアクティビティを正確に選択しないと、目的のログが表示されません。もしどのアクティビティが該当するかわからない場合は、まず「すべてのアクティビティ」で検索し、結果をフィルタする方法もあります。
4-2. 期間設定の誤り
問題が発生した日時が不明確な場合、期間を広げすぎると結果が多くなりすぎて目的のログを見つけにくくなります。逆に狭すぎると該当ログが含まれない可能性があります。まずは発覚した日時から1週間程度遡って検索し、不要な結果が多い場合はアクティビティやユーザーで絞り込みます。また、監査ログの保持期間を超えた過去のログは検索できません。既定は90日間ですが、ライセンスによっては1年まで可能です。保持期間を確認するには、Purviewポータルの「監査」→「監査の保持期間」で確認できます。
4-3. 変更を行ったユーザーの特定不足
操作を行った可能性がある管理者が複数いる場合、「ユーザー」フィールドを空白にして検索し、結果から操作者を特定する方が確実です。特定のユーザーだけを指定すると、別の管理者が行った変更を見逃すリスクがあります。また、サービスアカウントや自動化スクリプトが変更を行った場合も考慮し、結果に現れるユーザー名を確認してください。
5. 管理者に確認すべき情報と再発防止策
監査ログを検索する前に、組織の管理者に以下の情報を確認しておくとスムーズです。
- 監査ログの保持期間: 組織のライセンスによって保持期間が異なります。E3では90日、E5では365日です。必要な期間のログが残っているか確認します。
- 監査ログへのアクセス権限: 自分が監査ログを閲覧できる権限を持っているか確認します。権限がない場合は、上位管理者に依頼して一時的に権限を付与してもらうか、代わりに検索を依頼します。
- 過去に監査ログのエクスポート設定が行われているか: サードパーティのSIEMツールにログを転送している場合、そちらで検索した方が効率的なこともあります。
- 変更が許可された運用フロー: 該当の設定変更が通常の業務フローの中で行われたのか、例外対応だったのかを確認すると、原因の特定に役立ちます。
再発防止策としては、設定変更の操作を担当者限定にする、変更管理プロセスを導入する、監査ログの定期的なレビューを実施する、変更があった場合にアラートを送るように設定するなどが考えられます。特に重要なアカウント(管理者、特権ユーザー)に対しては、変更のたびに通知が行くように構成するとよいでしょう。
6. よくある質問(FAQ)
Q1. 監査ログに目的の操作が見つかりません。なぜですか?
考えられる原因として、以下のものがあります。
・操作が監査ログの対象外だった(例:ユーザー自身がパスワードを変更した場合の一部の操作など)。
・保持期間を超えてログが削除された。
・アクティビティの選択が誤っている。
・操作を行ったユーザー名が異なる(例:サービスアカウントや共有アカウント)。
検索条件を再確認し、特にアクティビティを「すべてのアクティビティ」に広げて再検索してみてください。
Q2. 監査ログの結果を他の管理者と共有するには?
検索結果の画面で「結果のエクスポート」ボタンをクリックすると、CSVファイルをダウンロードできます。このCSVを共有するか、Purviewポータルで検索条件を保存して共有する方法もあります。ただし、監査ログの生データは機密情報を含むため、適切なアクセス制御を守って共有してください。
Q3. 監査ログを自動的に監視する方法はありますか?
Microsoft 365では、監査ログに基づいてアラートポリシーを作成できます。特定のアクティビティ(例:管理者によるパスワードリセット)が発生したときにメール通知を受け取るように設定可能です。設定はPurviewポータルの「アラート」→「アラートポリシー」から行えます。また、Microsoft SentinelやサードパーティのSIEMにログを送信して高度な監視をする方法もあります。
Q4. 一般ユーザーが自分の監査ログを確認できますか?
一般ユーザーはMicrosoft 365の監査ログにアクセスできません。監査ログの閲覧は、グローバル管理者や監査ログ管理者ロールを持つユーザーに限定されます。自分が変更した操作を確認したい場合は、管理者に依頼する必要があります。
7. まとめ
Microsoft 365の監査ログを利用することで、アカウント設定変更の操作者と変更内容を特定できます。重要なのは、適切なアクティビティ名を選択し、期間とユーザーを的確に絞り込むことです。もし検索で目的のログが見つからない場合は、アクティビティの範囲を広げたり、保持期間や権限設定を確認したりしてください。監査ログはトラブルシューティングだけでなく、セキュリティ監査やコンプライアンスにも活用できる強力なツールです。本記事で紹介した条件と手順を参考に、効率的に原因を特定し、適切な対策を実施してください。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Teams】会議の「参加者リスト」を出席後にダウンロードする!誰が参加したか確認する手順