この記事では、Microsoft Purview 監査ログを使用して共有メールボックスアクティビティを調査し、PowerShell をExchange Onlineする方法について説明します。 削除、送信アクティビティ、フォルダーの参照、メールボックスルールと転送の変更、その他の委任アクションを見つけるための実用的な検索パターンと修復手順について説明します。
次のメソッドを使用して調査します。
- 共有メールボックスからのEmail削除
- 共有メールボックスからメールを送信したユーザー
- アクセス アクティビティを委任する
- フォルダー間の移動Email
- 転送とルールの構成
- 共有メールボックスにメールが見つからない
開始する前に
共有メールボックスのアクティビティを調査するには、次のものが必要です。
- Microsoft Purview で割り当てられた 監査ログ ロール
- Connect-ExchangeOnline を使用して PowerShell Exchange Onlineに接続するには
共有メールボックスのアクティビティを調査する方法
これらの方法を使用して、共有メールボックスのアクティビティを調査します。 調査するアクティビティの種類に基づいてメソッドを選択します。
共有メールボックス内の削除されたメールを検索する
共有メールボックスからのメール削除の監査レコードを検索するには、次のコマンドを実行します。
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 500
このコマンドは、次を検索します。
- SoftDelete: アイテムが [削除済みアイテム] フォルダーに移動されました。
- HardDelete: メールボックスから完全に削除されたアイテム。
- MoveToDeletedItems: ユーザー アクションによって削除済みアイテムに移動されたアイテム。
共有メールボックスから送信されたメールを検索する
代理人のアクセス許可を使用して共有メールボックスからメールを送信したユーザーを特定するには、次のコマンドを実行します。
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations SendAs -ResultSize 500
フォルダー間の電子メールの移動を検索する
共有メールボックスで移動操作を検索するには、次のコマンドを実行します。
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations Move,MoveToDeletedItems -ResultSize 300
デリゲート フォルダー アクセスの監視 (FolderBind)
代理人が共有メールボックス内の特定のフォルダーを参照するタイミングを追跡するには、次の手順を使用します。
FolderBind の構成を確認します。
Get-Mailbox <shared-mailbox@domain.com> | Select AuditDelegate | Where-Object {$_.AuditDelegate -contains "FolderBind"}
FolderBind 監査を有効にする:
Set-Mailbox <shared-mailbox@domain.com> -AuditDelegate @{Add="FolderBind"}
フォルダー閲覧アクティビティを検索します。
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations FolderBind -ResultSize 500
重要
FolderBind は、デリゲートと管理者フォルダーのアクセスのみを追跡します。 共有メールボックスの所有者がフォルダーを閲覧してもログは記録されません。 コンプライアンスとセキュリティの監視のためにプロアクティブに有効にします。
一般的なユース ケース:
- エグゼクティブ共有メールボックス内の機密フォルダーへのアクセスを監視する
- 規制要件のコンプライアンス監査証跡
- 未承認のフォルダー閲覧のセキュリティ調査
- ガバナンスのためのデリゲートの動作分析
デリゲート アクセス アクティビティを調査する
共有メールボックスへの委任アクセス許可を持つユーザーを識別するには、次のコマンドを実行します。
Get-MailboxPermission <shared-mailbox@domain.com> | Where-Object {$_.AccessRights -eq "FullAccess"}
特定のデリゲートによって実行されるアクティビティを検索するには、次のコマンドを実行します。
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <delegate@domain.com> -ResultSize 500
重要
-UserIdsを使用して、特定のデリゲート ユーザーによって実行されるアクティビティを検索します。 共有メールボックス アドレスで -UserIds を使用しないでください。このアクションでは、共有メールボックス で 実行された委任アクティビティは返されないためです。 任意のユーザー (代理人を含む) によって共有メールボックスで実行されるアクティビティの場合は、他のセクションに示すように -FreeText パラメーターを使用します。
電子メール アクセス アクティビティを監視する
共有メールボックスのメール アクセス アクティビティを検索するには、次のコマンドを実行します。
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations MailItemsAccessed -ResultSize 200
注:
このコマンドでは、MailItemsAccessed操作をキャプチャするためにMicrosoft 365 E5ライセンスが必要です。
電子メール転送の構成を検索する
共有メールボックスでメール転送を構成したユーザーを見つけるには、次のコマンドを実行します。
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations Set-Mailbox -ResultSize 200
メールボックス ルールの変更を検索する
受信トレイ ルールの作成または変更アクティビティを検索するには、次のコマンドを実行します。
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations New-InboxRule,Set-InboxRule -ResultSize 100
ヒント
メールボックス ルールの包括的な調査については、「 メールボックス ルールを変更したユーザーを特定 する」を参照してください。メール配信に影響を与える可能性があるメールボックス ルールを作成、変更、または削除したユーザーを特定する方法の詳細なガイダンスを参照してください。
検索で結果が返されない場合の処理
監査ログ検索で共有メールボックス アクティビティ レコードが見つからない場合は、次の手順を試して監査構成を確認してください。
- 監査がorganization レベルで有効になっているかどうかを確認します。
Get-OrganizationConfig | Select AuditDisabled
- 特定の共有メールボックスに対して監査が有効になっているかどうかを確認します。
Get-Mailbox <shared-mailbox@domain.com> | Select AuditEnabled
- 監査が無効になっている場合は有効にします。
Set-OrganizationConfig -AuditDisabled $false
Set-Mailbox <shared-mailbox@domain.com> -AuditEnabled $true
高度な手順
次の手順では、監査結果をエクスポートし、一般的な共有メールボックスの修正プログラムを適用する方法を示します。
共有メールボックスへの送信済みアイテムのコピーを有効にするには (送信済みメールが共有メールボックスの [送信済みアイテム] に表示されるように)、次のコマンドを実行します。
Set-Mailbox <shared-mailbox@domain.com> -MessageCopyForSentAsEnabled $true
共有メールボックスからメール転送を削除するには、次のコマンドを実行します。
Set-Mailbox <shared-mailbox@domain.com> -ForwardingSmtpAddress $null
クイック リファレンス
共有メールボックスの一般的な監査操作
| 操作 | 説明 | 調査の焦点 |
|---|---|---|
| 作成する | 作成または送信されたメール | Email作成アクティビティ |
| FolderBind | フォルダーのアクセス/参照を委任する | 特定のフォルダーにアクセスしたユーザーを監視する |
| HardDelete | 完全に削除された項目 | 共有メールボックスからの完全な削除 |
| MailItemsAccessed | アクセスされたメールボックスアイテム | Emailアクセス追跡 (E5 必須) |
| Move | フォルダー間で移動されたアイテム | フォルダー organizationの変更 |
| New-InboxRule | 作成された受信トレイ ルール | ルール作成の調査 |
| SendAs | 代理人のアクセス許可を使用して送信された電子メール | 共有メールボックスから送信されたユーザーを特定する |
| Set-Mailbox | メールボックスの設定が変更されました | 転送と構成の変更 |
| SoftDelete | 削除済みアイテム フォルダーに移動されたアイテム | 共有メールボックスからのユーザーの削除 |
キー検索パラメーター
| パラメーター | 説明 | 例 |
|---|---|---|
| -Freetext | 特定のメールボックスで実行されるアクティビティ | <shared-mailbox@domain.com> |
| -操作 | 操作の種類でフィルター処理する | SoftDelete、HardDelete、SendAs |
| -ResultSize | 結果の制限 (最大 5000) | 500 (標準)、1000 (包括的) |
| -StartDate/-EndDate | 調査期間を定義する | 01/06/2020, 01/20/2020 |
| -UserIds | 特定のユーザーによって実行されるアクティビティ | <delegate@domain.com> |
重要
コマンドを実行する前に、 <shared-mailbox@domain.com> と <delegate@domain.com> を実際のメール アドレスに置き換えます。
次の手順
- メールボックス監査の管理: 必要なアクティビティをキャプチャするために監査する共有メールボックスアクションを調整します。
- メール メッセージを削除したユーザーまたはメールが見つからない理由を特定する: 共有メールボックス アクティビティで検出された特定のメールの削除を調査します。
- 監査ログ レコードのエクスポート、構成、および表示: 証拠の保存のために共有メールボックスの調査結果をエクスポートします。