Exchange Online メールボックス監査イベントに関するその他の問題

Exchange Online メールボックス監査イベントに関するその他の問題

Office 365 E3 ライセンスをお持ちの場合は、メールボックス監査イベントのフローを確認します。

Office 365 監査ログに一部の Exchange Online メールボックスのメールボックス監査レコードが含まれていないことが判明したときに、コンプライアンス演習で発生したいくつかの問題を報告するために、読者から連絡がありました。その結果、影響を受けるすべてのメールボックスは、Office 365 E3 ライセンスを持つ Azure AD アカウントに属していました。監査ログで予期されるメールボックス監査イベントがいくつか利用できないことは、コンプライアンス担当者やテナント管理者にとっては、このような状況ではありません。

お客様の組織がマイクロソフトのサポートに問い合わせたところ、Exchange Online にバグがあり、Office 365 E3 ライセンスを持つメールボックスの AuditEnabled 設定が正確に報告されないことが通知されました。管理者が メールボックスの取得 又は Get-ExoMailbox コマンドレット、Exchange Online は$Trueを報告し、メールボックスの監査が有効になっていることを意味します。

Get-ExoMailbox -Identity Brian.Weakliam -Properties AuditEnabled | Format-Table DisplayName, AuditEnabled

DisplayName                 AuditEnabled
-----------                 ------------
Brian Weakliam (Operations)         True

ただし、メールボックス監査イベントは Exchange Online に残り、Office 365 監査ログには決して記録されません。Office 365 E5 ライセンスが割り当てられたメールボックスでは、すべてが完璧に機能します。

マイクロソフトが言うこと

マイクロソフトのドキュメント 曰く:

既定では、メールボックス監査ログのログオンはすべての組織で有効になっていますが、E5 ライセンスを持つユーザーのみがメールボックス監査ログ イベントを Microsoft Purview コンプライアンス ポータルでの監査ログ検索 (図1)を介して、 Office 365 管理アクティビティ API デフォルトで.

Microsoft Purview コンプライアンス ポータルでのメールボックス監査イベントの検索
図 1: Microsoft Purview コンプライアンス ポータルでのメールボックス監査イベントの検索

ページはまた言う:

いつでも 既定でのメールボックス監査 が組織で有効になっている場合、一部のユーザーのメールボックス監査イベントがコンプライアンスセンターを使用した監査ログ検索で見つからないことがあります。 Search-UnifiedAuditLog コマンドレット、または Office 365 管理アクティビティ API。この理由は、メールボックス監査イベントは、次の場合に E5 ライセンスを持つユーザーに対してのみ返されるためです。 [use] 統合監査ログを検索するための前述の方法の 1 つ。

どうやら、マイクロソフトは、Office 365 E3ライセンスを持つメールボックスからの監査データがOffice 365監査ログに到達しない場合、それをバグとは考えていません。正当化は、

  • 監査イベントは、Exchange Online (各メールボックスの[回復可能なアイテム]部分の[監査]フォルダー) で使用でき、そこにあります。
  • 組織が監査イベントを Office 365 監査ログに取り込む場合は、 メールボックスの設定 コマンドレットを更新する 監査有効 を$Trueに設定します。つまり、Exchange Online によって報告される$True値は、メールボックス イベントが使用可能であることを報告するため、正確です。ランニング メールボックスの設定 設定を $True (再度) 更新しても何も変更されませんが (設定はまだ$Trueです)、Exchange Online はヒントを受け取り、その後 Office 365 監査ログにメールボックス イベントを取り込みます。

明らかに、これはばかげた状況です。私は2020年3月にマイクロソフトがExchange Online全体でデフォルトでメールボックス監査を展開したときに同じ問題について書きました。ほぼ同じドキュメントがオンラインであり、人々はまだ問題に遭遇しているようです。そして、このExchange Online の機能は、それ以来あまり進歩していません。

新しいメールボックスの動作

それとも持っていますか?いくつかの新しい Azure AD アカウントを作成し、それらに Office 365 E3 ライセンスを割り当ててから、各メールボックスにサインインして、監査レコードを生成する必要があることがわかっていたいくつかのアクションを実行しました。摂取が起こるのを許すために30分待った後、私は走った Search-UnifiedAuditLog コマンドレットを使用して、Office 365 監査ログにイベントが存在するかどうかを確認します。彼らはそうでした!

[array]$records = Search-UnifiedAuditLog -StartDate 18-Aug-2022 -EndDate 19-Aug-2022 -Formatted -userids michael.king@office365itpros.com
$records | ft creationdate, operations
 
CreationDate        Operations
------------        ----------
18/08/2022 12:54:31 SoftDelete
18/08/2022 12:54:23 MoveToDeletedItems
18/08/2022 12:54:19 SoftDelete
18/08/2022 12:53:19 SoftDelete
18/08/2022 12:53:14 MoveToDeletedItems

この結果はまさにあなたが見たいと思っているものです。Exchange Online から Office 365 監査ログにイベントをフローさせるために、管理者の介入は必要ありませんでした。私は別のテナントのメールボックスで同じ結果を得ました。

この議論から私が得るしつこい気持ちは、監査データの取り込みに関しては、新しいメールボックスが正しく機能しているように見えますが、Office 365監査ログにデータを入力しない世界中のテナントで実行されているOffice 365 E3ライセンスを持つメールボックスが多数あるかもしれないということです。唯一の解決策は、マイクロソフトが示唆しているように、実行することです セトマイルボックス.また、念のため、Office 365 E3 ライセンスを持つすべてのメールボックスに対してコマンドレットを実行することもできます。

以前の投稿に含まれているスクリプトは、Office 365 E3ライセンスを持つメールボックスを検索し、監査設定を更新する仕事をします。このスクリプトは、Get-AzureADUser コマンドレットを使用して、関連するアカウントを検索します。Microsoft Graph PowerShell SDK に切り替えた場合、更新されたコードは次のとおりです。

[array]$Mbx = Get-MgUser -filter "assignedLicenses/any(s:s/skuId eq $Office365E3)" -All

未来に良い?

簡単なテストで確認した結果が正確であり、すべての新しいメールボックスが Office 365 監査ログの監査イベントを生成することを願っています。自分のテナントでテストして、私と同じ内容が表示されることを確認し、そうでない場合は、問題を Microsoft に報告してください。カスタマーサポートの要求を通じて圧力をかけることによってのみ、この厄介な問題の長引く痕跡は消え去ります。

Office 365 アプリケーション内に表示される変更について驚かないようにするには、 Office 365 for IT プロフェッショナル 電子ブック。毎月の更新により、加入者に最新情報が提供されます。

未分類

Posted by admin