Microsoft 365の監査ログは、セキュリティやコンプライアンスの観点から重要な情報源です。しかし、「監査ログを検索しようとしたら結果がゼロだった」「そもそも検索オプションがグレーアウトしている」といった状況に遭遇したことはありませんか。その原因は、ライセンス不足や保持期間の短さ、あるいは管理設定の不備にあることが多いです。本記事では、監査ログが検索できない原因を切り分ける手順と、保持期間やライセンスを確認する具体的な方法を解説します。
【要点】この記事で確認すること
- 最初に見る場所: Microsoft 365 Defenderポータルの監査ログ検索画面と、ユーザーのライセンス情報ページ。
- 切り分けの軸: ライセンス不足(必要なSKUが割り当てられていない)、保持期間の経過(ログが自動削除された)、組織設定で監査が有効になっていない、の3点。
- 注意点: 監査ログの保持期間はライセンスによって異なります。会社PCのローカル設定を変更しても解決しないため、必ず管理センターで確認しましょう。
ADVERTISEMENT
目次
監査ログが検索できない主な原因
監査ログが検索できない原因は、おおむね次の3つに分類できます。
- ライセンス不足: 監査ログの検索には特定のライセンス(例:Microsoft 365 E5、E5コンプライアンスアドオンなど)が必要です。標準のE3やBusiness Premiumでは基本的なログの記録は行われますが、詳細な検索や長期保持が制限される場合があります。
- 保持期間の超過: ログは一定期間を過ぎると自動的に削除されます。たとえば、Exchange Onlineの監査ログの既定の保持期間は90日ですが、E5ライセンスでは1年間保持できます。検索しようとしている期間が既に削除されている可能性があります。
- 組織設定の無効化: テナント全体で監査が有効になっていない場合、ログ自体が記録されません。これはグローバル管理者が設定するため、一般ユーザーでは確認できません。
ライセンスの種類と監査機能の関係
Microsoft 365の監査機能は、ライセンスによって利用範囲が大きく異なります。以下の表で主要なライセンスと監査ログの保持期間を比較します。
| ライセンス | 監査ログ記録 | 保持期間(既定) | 検索機能 |
|---|---|---|---|
| Exchange Online Plan 1/2 | メールボックス監査のみ | 90日 | 制限あり |
| Microsoft 365 Business Basic/Standard/Premium | 一部の監査イベント | 90日(一部180日) | 基本的な検索のみ |
| Microsoft 365 E3 | ほとんどのイベント | 90日 | 標準検索可能 |
| Microsoft 365 E5 | すべてのイベント | 1年(拡張可能) | 高度な検索可能 |
| E5 コンプライアンスアドオン | E3に追加 | 1年 | 高度な検索可能 |
自分のライセンスを確認する手順
自分に割り当てられているライセンスを確認するには、Microsoft 365管理センターまたは自分のアカウントページから行います。以下の手順を参考にしてください。
- Webブラウザで https://admin.microsoft.com にアクセスし、グローバル管理者またはユーザー管理管理者のアカウントでサインインします。
- 左メニューから「ユーザー」→「アクティブなユーザー」をクリックします。
- 自分のユーザー名をクリックしてプロファイルを開き、「ライセンスとアプリ」タブを選択します。
- 割り当てられているライセンスの一覧が表示されます。たとえば「Microsoft 365 E5」や「Exchange Online Plan 2」などの名称を確認してください。
- もし自分にE5やコンプライアンスアドオンが割り当てられていない場合、監査ログの保持期間が短い、または検索機能が制限されている可能性があります。管理者に問い合わせる際の参考にしてください。
ライセンスが不足している場合の対処
必要なライセンスがないと判明した場合、一般ユーザーでは購入できません。必ず組織のIT管理者に連絡し、ライセンスの追加やアップグレードを依頼してください。特に、長期の監査ログ保持(1年以上)が必要な場合はE5ライセンスが必須です。
監査ログの保持期間を確認する方法
現在の保持期間は、組織の設定によって決まります。ユーザー側で直接確認することはできませんが、以下の手順で管理画面から確認できます。
- Microsoft 365 Defender ポータル (https://security.microsoft.com) にサインインします。
- 左メニューの「監査」をクリックします。「監査ログの検索」画面が開きます。
- 画面上部に「保持期間: 90日」のように表示されている場合があります(表示されない場合はライセンスによって異なります)。
- 実際に検索を実行し、取得できるデータの最古の日付を確認します。たとえば、今日が2025年4月1日で、最古のログが2024年12月31日であれば、約90日間の保持であると推測できます。
- もし最古の日付が1年以上前であれば、テナントにE5ライセンスが割り当てられているか、またはカスタム保持ポリシーが設定されている可能性があります。
保持期間はライセンスに依存するだけでなく、管理者がコンプライアンスポータルで保持ポリシーを変更することも可能です。そのため、実際の保持期間は既定値と異なる場合があります。
検索できない場合の失敗パターンと対策
監査ログが検索できないとき、よくある失敗パターンとその対策をまとめました。
- 「アクセスが拒否されました」と表示される: 監査ログを検索するには「監査ログの表示」権限が必要です。Exchange管理センターやセキュリティ/コンプライアンスセンターで適切な役割が割り当てられているか確認してください。一般ユーザーでは検索できません。
- 検索結果が0件になる: フィルター条件が厳しすぎる、または検索期間が保持期間を超えている可能性があります。日付範囲を広げたり、アクティビティを「すべて」に設定して再検索してみてください。
- 灰色表示でクリックできない: ライセンス不足か、テナント全体で監査が無効になっている可能性があります。管理者に問い合わせて、組織設定で監査が有効になっているか確認してもらいましょう。
- 古いログが見つからない: 保持期間が過ぎているログは復元できません。どうしても必要な場合は、サポート案件を開いてログの復元が可能か問い合わせる方法もありますが、確実ではありません。普段から定期的にログをエクスポートしておくことをおすすめします。
管理者へ確認すべき情報
自分で解決できない場合は、管理者に以下の情報を伝えるとスムーズです。
- テナント全体の監査設定: 「組織全体で監査ログが有効になっているか」を確認してもらいましょう。設定はMicrosoft 365 Defenderの「監査」→「監査設定」で確認できます。
- 割り当てられているライセンス: 自分やチームメンバーにどのライセンスが割り当てられているか、特にE5やコンプライアンスアドオンの有無を確認してください。
- 保持ポリシーの設定: コンプライアンスポータルでカスタムの保持ポリシーが適用されているかどうか。既定の90日よりも長く保持する設定になっている場合、その期間を確認しましょう。
- 権限: 監査ログを検索するために必要な役割(「監査ログの表示」や「セキュリティ閲覧者」など)がユーザーに割り当てられているか確認してください。
よくある質問(FAQ)
Q1: 監査ログは無料で利用できますか?
基本的な監査ログの記録は、Exchange Onlineを含む多くのライセンスで自動的に行われます。ただし、高度な検索機能や長期保持(90日超)にはE5ライセンスまたはアドオンが必要です。無料枠としては90日間の基本的なログ保存が標準と言えます。
Q2: 保持期間を延ばすにはどうすればいいですか?
保持期間を延ばすには、ライセンスのアップグレード(例:E3→E5)またはコンプライアンスアドオンの購入が必要です。管理者がコンプライアンスポータルで保持ポリシーを設定することで、最大10年まで保持することも可能です(ただし追加コストが発生する場合があります)。
Q3: 監査ログをエクスポートして保管しておけますか?
はい、監査ログ検索結果をCSVファイルとしてエクスポートできます。ただし、エクスポートできるレコード数には上限(50,000件など)があるため、大量のデータは分割してエクスポートしてください。また、エクスポートしたファイルの管理やセキュリティにも注意が必要です。
Q4: 自分が管理者でない場合、監査ログを見ることはできますか?
いいえ、監査ログの検索には管理者権限または適切な役割が必要です。一般ユーザーは自分のメールボックス監査ログをOutlookで確認することはできますが、組織全体の監査ログを検索することはできません。どうしても必要な場合は、管理者に依頼してログを抽出してもらいましょう。
まとめ
Microsoft 365の監査ログが検索できない場合、まずは自身のライセンスを確認し、次に検索期間が保持期間内かどうかをチェックすることが重要です。ライセンス不足が原因であれば、管理者への相談が必要です。また、保持期間はライセンスと設定によって変わるため、組織のポリシーを把握しておくとトラブルシューティングがスムーズになります。日常的に監査ログを活用するなら、E5ライセンスや長期保持ポリシーの導入を検討するとよいでしょう。どうしても解決しない場合は、Microsoftサポートに問い合わせることも選択肢の一つです。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Teams】会議の「参加者リスト」を出席後にダウンロードする!誰が参加したか確認する手順