OneDriveでファイルやフォルダを共有した際、誰がいつどのような権限で共有したのかを追跡したい場面があります。不正な共有や誤操作による情報漏洩を防ぐためには、監査ログを活用することが重要です。しかし、監査ログの検索方法や結果の解釈に戸惑う方も少なくありません。本記事では、Microsoft 365 Purviewコンプライアンスポータルを用いてOneDriveの共有操作を監査ログで確認する基本的な手順と、注意すべきポイントを解説します。
【要点】この記事で確認すること
- 最初に見る場所: Microsoft 365 Purviewコンプライアンスポータルの「監査」セクションで、監査ログ検索を実行します。
- 切り分けの軸: 端末側(ユーザーの操作履歴)とアカウント側(監査ログの記録)の両面から確認します。特に、共有リンクの種類(特定ユーザー、組織内、匿名)に注目します。
- 注意点: 監査ログの検索には「監査ログ」の閲覧権限が必要です。一般ユーザーは自身の操作ログしか見られないため、管理者に依頼するか、管理者権限のあるアカウントで操作してください。また、監査ログの記録は最短で数分、最大で24時間の遅延が発生する場合があります。
ADVERTISEMENT
目次
1. OneDrive共有操作の監査ログとは
Microsoft 365の監査ログは、テナント内で発生したさまざまな操作を記録する証跡です。OneDriveのファイル共有に関する操作も例外ではなく、共有リンクの作成・変更・削除、ファイルへのアクセス権限の付与や取り消しなどが記録されます。監査ログを参照することで、誰が、いつ、どのファイルを、どのように共有したのかを特定できます。これにより、意図しない外部公開や情報漏洩の早期発見・対応が可能になります。
監査ログに記録される主なイベント
共有操作に関連する監査ログのイベント名は「Sharing」や「Access」などで始まるものが中心です。代表的なイベントは以下のとおりです。
| イベント名 | 内容 |
|---|---|
| SharingInvitationCreated | 共有招待(特定ユーザー宛)を作成した |
| SharingInvitationAccepted | 共有招待が受け入れられた |
| SharingInvitationBlocked | 共有招待がブロックされた(ポリシー違反など) |
| SharingLinkCreated | 共有リンク(特定ユーザー、組織内、匿名)を作成した |
| SharingLinkDeleted | 共有リンクを削除した |
| FileAccessed | ファイルにアクセスした(共有経由のアクセスも含む) |
2. 監査ログを確認するための前提条件
監査ログを検索するには、適切な権限とライセンスが必要です。具体的には以下の条件を満たしている必要があります。
- 管理者権限: テナント全体の監査ログを閲覧できるのは、「監査ログ」の役割(監査管理者、コンプライアンス管理者など)を持っているユーザーです。一般ユーザーは自身の操作ログのみ確認可能で、他ユーザーの操作は見られません。
- ライセンス: 監査ログの記録自体はほとんどのライセンスで有効ですが、詳細な検索やレポートにはExchange Onlineプラン2など高度な監査をサポートするライセンスが必要になる場合があります。組織のライセンス状況を確認してください。
- 監査の有効化: 通常は既定で有効ですが、テナント設定で無効になっているケースもあります。確認方法は後述します。
3. 監査ログを検索する手順
ここでは、Microsoft 365 Purviewコンプライアンスポータルを使った監査ログの検索手順を説明します。操作は管理者権限を持つアカウントで行ってください。
- コンプライアンスポータルにサインイン: https://compliance.microsoft.com にアクセスし、管理者アカウントでサインインします。
- 監査メニューを開く: 左側のナビゲーションから「監査」を選択します。表示されない場合は「すべて表示」をクリックして探してください。
- 検索条件を設定: 「新しい検索」タブで、以下の項目を指定します。
- 日付範囲: 確認したい期間を設定します。最大90日間指定できます。
- アクティビティ: 「共有」や「ファイル」から該当するイベントを選択します。複数選択可能です。代表的なものは「共有リンクを作成した」「共有招待を作成した」「ファイルにアクセスした」などです。
- ユーザー: 特定のユーザーの操作だけを見たい場合は、ユーザー名を指定します。空欄にすると全ユーザーが対象になります。
- ファイル、フォルダ、サイト: 特定のファイルURLやサイトURLを指定して絞り込めます。OneDriveのURLは「https://<テナント名>-my.sharepoint.com/personal/…」のような形式です。
- 検索を実行: 設定が完了したら「検索」ボタンをクリックします。検索結果が表示されるまでしばらく待ちます(数十秒から数分)。
- 結果を確認: 結果一覧から目的の操作を探します。各行をクリックすると詳細が表示されます。共有操作の場合、Workload列に「OneDrive」、Operation列にイベント名が表示されます。詳細ペインでは、誰が(User)、いつ(Time)、何を(Item)、どのように(SharingType)共有したかが確認できます。
- 結果をエクスポート: 必要に応じて「エクスポート」ボタンでCSVファイルとしてダウンロードできます。大量データの場合はフィルタリングしてからエクスポートすると管理しやすくなります。
共有リンクの種類と監査ログでの確認
共有リンクには「特定のユーザー」「組織内のユーザー」「リンクを知っている全員(匿名)」の3種類があります。監査ログの詳細には「SharingLinkKind」というフィールドがあり、以下の値で区別できます。
| SharingLinkKindの値 | 共有リンクの種類 |
|---|---|
| 1 | リンクを知っている全員(匿名) |
| 2 | 組織内のユーザー |
| 3 | 特定のユーザー |
この値から、外部公開の有無を判断できます。匿名リンク(値1)は最もリスクが高いため、監視が必要です。
4. 監査ログの結果を読み解くポイント
検索結果の各レコードには多くの情報が含まれています。特に注目すべき項目を以下にまとめます。
- CreationTime: 操作が行われた日時(UTC)です。タイムゾーンはUTC表記ですが、エクスポート後の変換が可能です。
- UserId: 操作を実行したユーザーのメールアドレスです。
- Operation: 実行された操作の種類(例:SharingLinkCreated、SharingInvitationCreated)。
- ObjectId: 操作対象となったファイルまたはフォルダのフルパス(URL)です。
- Details: 操作の詳細情報。JSON形式で表示され、共有リンクの種類、権限(表示/編集)、有効期限、パスワード設定有無などが含まれます。
DetailsのJSONを確認する方法
監査ログの詳細ペインで「詳細」タブを開くと、Details列のJSONが表示されます。主要なフィールドとして「SharingLinkKind」(リンクの種類)、「SharingPermission」(共有権限:ViewまたはEdit)、「Expiration」(有効期限)、「IsPasswordProtected」(パスワード保護の有無)があります。これらの値を確認することで、共有設定を正確に把握できます。
5. 失敗パターンと注意点
監査ログ検索を行う際によく遭遇する失敗パターンや注意点を紹介します。
- 監査ログが記録されていない: 共有操作が行われたにもかかわらずログが出ない場合、テナントで監査が無効になっている可能性があります。管理者が監査ログ検索ページで「記録を開始する」をクリックする必要があります。有効化後、通常24時間以内に記録が開始されます。
- 権限不足: 一般ユーザーが他ユーザーのログを検索しようとすると結果が表示されません。必ず「監査ログ」の役割が割り当てられたアカウントで実行してください。役割の確認は、コンプライアンスポータル > アクセス許可 > 役割グループで行えます。
- 日付範囲の誤り: 監査ログは最大90日間保存されます。それ以前のログは確認できません。長期保存が必要な場合は、監査ログのエクスポートやアーカイブを検討してください。
- フィルターが広すぎる/狭すぎる: アクティビティを「すべて」にすると結果が多すぎて目的のログを見つけにくくなります。一方で、絞り込みすぎるとヒットしないことがあります。最初はアクティビティを「共有リンクを作成した」などに絞り、徐々に条件を緩めて試すと効率的です。
- 共有リンクの有効期限の誤認: 監査ログのDetailsにExpirationフィールドがない場合は、有効期限が設定されていない(無期限)ことを意味します。注意してください。
6. よくある質問と管理者への伝え方
現場から寄せられる質問と、管理者に確認すべきポイントをまとめます。
よくある質問(FAQ)
- Q: 監査ログの検索は自分でもできますか? A: 一般ユーザーは自身の操作ログのみ確認可能です。他ユーザーのログやテナント全体のログを確認するには、管理者に依頼してください。
- Q: 監査ログを日常的にチェックする方法は? A: 定期的に手動検索するか、Microsoft 365のアラートポリシーを設定して、特定の共有操作が発生した際にメール通知を受け取る方法があります。
- Q: 監査ログの出力が大きすぎて管理できません。 A: 検索条件を絞り込み、結果をCSVエクスポートしてExcelでフィルタリングするか、Power Automateを使って定期的に特定条件のログを収集する運用が考えられます。
- Q: 監査ログの遅延はどれくらいですか? A: 通常、操作から数分~最大24時間で記録されます。リアルタイム性は低いため、緊急時はユーザーへのヒアリングなど別手段と併用してください。
管理者に確認すべき情報
問題が発生した際、管理者に依頼する前に以下の情報を整理しておくとスムーズです。
- 問題の概要: どのファイルが、いつ、誰によって共有された可能性があるか。具体的な日時、ユーザー名、ファイル名を用意してください。
- 監査ログの検索範囲: テナント全体なのか、特定ユーザーなのか。必要な権限レベル(監査ログ閲覧権限)があるかどうかを確認してください。
- 監査の有効状態: テナントで監査が有効になっているかどうか。管理センターで確認する方法を伝えるとよいです。
- 保存期間: 監査ログは90日間のみ保存されます。90日以上前の情報が必要な場合は、ログのエクスポートやサードパーティツールの導入を検討する必要があります。
まとめ
OneDriveの共有操作を監査ログで確認するためには、Purviewコンプライアンスポータルでの検索が基本となります。適切な権限と検索条件を設定し、結果の詳細を読み解くことで、誰がいつどのようにファイルを共有したのかを特定できます。匿名リンクの作成や特定期間の共有急増など、リスクの高い操作を重点的に監視することが重要です。また、監査ログはリアルタイムではなく、最大24時間の遅延が発生する点を理解した上で運用してください。日頃から監査ログを確認する習慣を身につけ、セキュリティインシデントの早期発見に役立ててください。
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Excel】文字が入っているセルの「個数」を数える!COUNTA関数の簡単な使い方
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Excel】矢印キーで「セルが動かず画面がスクロールする」!ScrollLockの解除方法(ノートPC対応)
