【Teams】監査ログでユーザーのログイン履歴を抽出するEACエクスポート手順

Microsoft Teamsを利用する上で、ユーザーのログイン履歴を把握することは、セキュリティ管理やコンプライアンス遵守のために不可欠です。しかし、Teamsの監査ログから直接ログイン履歴を抽出する操作は、初心者には難しく感じるかもしれません。どこから始めれば良いか、どのような手順で進めれば良いか、迷う方もいるでしょう。この記事では、Microsoft 365のコンプライアンスポータル(旧称: セキュリティ・コンプライアンスセンター)にある監査ログ機能を使って、ユーザーのTeamsログイン履歴を正確に抽出する手順を、初心者にも分かりやすく解説します。

管理者は、誰がいつTeamsにログインしたかの記録を把握することで、不正アクセスや異常なアクティビティを早期に検知できます。本記事を読めば、監査ログエクスポートの具体的な手順を理解し、必要な情報を効率的に取得できるようになります。

監査ログでユーザーログイン履歴を追跡できる仕組み

Microsoft Teamsの監査ログは、ユーザーや管理者がMicrosoft 365環境で行った様々なアクティビティを記録する機能です。このログには、ファイル共有、チャットメッセージの送受信、会議への参加など、多岐にわたる操作が含まれます。特に、ユーザーのサインインやサインアウトといった認証に関するイベントも詳細に記録されており、これを活用することで、誰がいつTeamsにアクセスしたかの履歴を追跡できます。

監査ログは、Microsoft 365コンプライアンスポータル(旧称:セキュリティ・コンプライアンスセンター)からアクセスできます。このポータルでは、組織全体のセキュリティ状況を監視し、コンプライアンス要件を満たすための様々なツールが提供されています。監査ログ機能は、これらのツールの中でも特に重要な役割を果たします。記録されるデータは、Azure Active Directory(Azure AD)の認証ログと連携しており、Teamsだけでなく、Exchange OnlineやSharePointなど、他のMicrosoft 365サービスにおけるアクティビティとも関連付けて確認することが可能です。

Teamsログイン履歴を監査ログでエクスポートする手順

Microsoft 365コンプライアンスポータルを使用して、Teamsのユーザーログイン履歴を監査ログからエクスポートする手順を説明します。この操作には、グローバル管理者またはセキュリティリーダーなどの監査ログへのアクセス権限が必要です。

1. Microsoft 365コンプライアンスポータルにアクセスする
   Webブラウザを開き、以下のURLにアクセスしてください。
   
   https://compliance.microsoft.com/
   組織のMicrosoft 365アカウント(通常は管理者アカウント)でサインインします。
2. 監査ログ検索機能を開く
   左側のナビゲーションペインで、「監査」を選択します。次に、「監査ログ検索」をクリックして、監査ログ検索ページを開きます。
3. 検索条件を設定する
   監査ログ検索ページが表示されたら、以下の条件を設定します。
   
   日付/時刻の範囲: 調査したい期間を選択します。例えば、「過去7日間」や「カスタム範囲」で具体的な開始日と終了日を指定できます。
   
   アクティビティの検索: 「アクティビティの検索」フィールドをクリックし、ドロップダウンリストから「ユーザーサインイン」を選択します。Teamsに関連するアクティビティのみを抽出したい場合は、「Microsoft Teams」と入力して絞り込むこともできますが、サインイン履歴には「ユーザーサインイン」が最も重要です。
   
   ユーザー: 特定のユーザーのログイン履歴を調べたい場合は、そのユーザーの名前またはメールアドレスを入力します。組織全体のログを検索する場合は、このフィールドは空のままにします。
4. 検索を実行する
   すべての検索条件を設定したら、「検索」ボタンをクリックします。検索には数分かかる場合があります。
5. 検索結果を確認する
   検索が完了すると、指定した期間と条件に合致するアクティビティのリストが表示されます。各行には、アクティビティの種類、実行者、実行日時、対象オブジェクトなどの情報が含まれています。サインインアクティビティを探してください。
6. 結果をエクスポートする
   検索結果をさらに詳細に分析するために、CSVファイルとしてエクスポートします。検索結果が表示されている画面の上部にある「エクスポート」ボタンをクリックします。「アクティビティをファイルにエクスポート」を選択し、「ダウンロード」をクリックします。
7. CSVファイルを分析する
   ダウンロードしたCSVファイルをMicrosoft Excelなどの表計算ソフトで開きます。ファイルには、サインイン日時、サインインしたユーザー、IPアドレス、使用したデバイス、サインインの成否などの詳細情報が含まれています。このデータから、ユーザーのTeamsログイン履歴を把握できます。

新しいTeams(v2)と従来Teamsでの監査ログ機能の違い

新しいTeams(v2)と従来Teamsの間で、監査ログの基本的な機能やエクスポート手順に大きな変更はありません。Microsoft 365コンプライアンスポータルは、Teamsのバージョンに関わらず、組織全体のアクティビティを統一的に管理・監査するために提供されています。そのため、ユーザーがTeamsのどのバージョンを利用しているかに関わらず、上記の手順でログイン履歴を追跡できます。

ただし、新しいTeamsでは、より詳細なアクティビティが監査ログに記録される可能性があります。例えば、新しいUI要素の操作や、新しい機能の利用状況などが、将来的に追加されることが考えられます。現時点では、サインイン関連の基本的な監査イベントは、従来通り「ユーザーサインイン」として記録され、コンプライアンスポータルからアクセス可能です。組織のIT管理者やセキュリティ担当者は、Microsoftの公式ドキュメントで最新の監査ログイベントに関する情報を確認することが推奨されます。

監査ログエクスポート時の注意点とよくある失敗例

監査ログのエクスポートは、適切に行わないと期待通りの結果が得られないことがあります。ここでは、よくある注意点と失敗例、そしてその対処法を解説します。

エクスポートしたCSVファイルにサインイン履歴が表示されない

原因:

最も一般的な原因は、検索条件の設定ミスです。

• アクティビティの選択漏れ: 「ユーザーサインイン」アクティビティを選択せずに検索している。
• 期間設定の誤り: 調査したい期間と異なる期間を指定している。
• 対象ユーザーの指定ミス: 特定ユーザーを検索しているが、入力が間違っている。
• 監査ログの保持期間超過: 組織の監査ログ保持ポリシーにより、過去のログが削除されている。

対処法:

1. 検索条件の再確認: 「アクティビティの検索」で「ユーザーサインイン」が正しく選択されているか、日付/時刻の範囲が適切か、対象ユーザー名が間違っていないかを確認します。
2. 全アクティビティでの検索: まずは「アクティビティの検索」を空欄のまま、広範囲な期間で検索し、サインインイベントが記録されているか確認します。もし記録があれば、アクティビティの絞り込みが原因である可能性が高いです。
3. 監査ログ保持ポリシーの確認: 組織のMicrosoft 365管理者またはIT部門に、監査ログの保持期間について問い合わせてください。保持期間を過ぎたログは、エクスポートしても表示されません。

エクスポートに時間がかかりすぎる、または完了しない

原因:

検索対象のデータ量が膨大である場合に発生しやすい問題です。

• 長期間の検索: 非常に長い期間(数ヶ月〜数年)を指定して検索している。
• 全ユーザー対象の検索: 組織全体の全ユーザーのアクティビティを検索している。
• システム負荷: Microsoft側のシステム負荷が高い時間帯に実行している。

対処法:

1. 検索期間を短縮する: 調査したい期間をできるだけ短く区切って、複数回に分けて検索・エクスポートします。例えば、1週間ごと、1ヶ月ごとなど。
2. 対象ユーザーを限定する: 特定のユーザーグループや個々のユーザーに絞って検索します。
3. 時間帯をずらす: 比較的システム負荷が低いと考えられる時間帯(例: 夜間や早朝)に検索を実行してみます。
4. 「アクティビティをファイルにエクスポート」ではなく「検索結果をダウンロード」を使用する: 検索結果画面の上部にある「エクスポート」ボタンから「アクティビティをファイルにエクスポート」を選択すると、バックグラウンドでエクスポートが開始され、完了後に通知されます。これにより、ポータルを閉じてもエクスポートを続行できます。

エクスポートされたCSVファイルが文字化けする

原因:

CSVファイルのエンコーディング(文字コード)が、使用している表計算ソフトで正しく認識されていない場合に発生します。

対処法:

1. Excelでインポートする: ExcelでCSVファイルを開く際に、「データ」タブから「テキスト/CSV」を選択し、インポートウィザードでエンコーディングを「UTF-8」または「Unicode (UTF-8)」に指定して開きます。
2. 別のエディタで開く: テキストエディタ(例: VSCode, Sublime Text)で開き、文字化けしないか確認します。もしテキストエディタで正しく表示される場合は、Excelでのインポート設定が原因の可能性が高いです。

Mac版・モバイル版・Web版での違い

Microsoft 365コンプライアンスポータルは、Webブラウザベースのサービスです。そのため、どのOS(Windows, Mac)からアクセスしても、操作性は基本的に同じです。Webブラウザさえあれば、どの環境からでも監査ログの検索とエクスポートを実行できます。

モバイル版のTeamsアプリやOutlookアプリから直接監査ログを検索・エクスポートする機能は提供されていません。監査ログの管理・監視は、PC環境からWebブラウザ経由で行うのが標準的な運用となります。管理者権限を持つユーザーは、PCからコンプライアンスポータルにアクセスして、これらの操作を行う必要があります。

まとめ

この記事では、Microsoft Teamsのユーザーログイン履歴を監査ログで抽出する手順を、Microsoft 365コンプライアンスポータルを使いながら解説しました。監査ログ検索機能とエクスポート機能を活用することで、誰がいつTeamsにログインしたかという重要な情報を正確に把握できるようになります。検索条件の指定、エクスポート、そしてCSVファイルの分析までの一連の流れを理解することで、セキュリティ管理やコンプライアンス対応の質を高めることができます。今後は、定期的にログイン履歴をチェックする運用を確立したり、異常なサインインパターンを検知するためのアラートルール設定を検討したりすることも有効です。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。