Microsoft 365 の監査ログ調査は、業務において必要性を感じつつも、実際に利用しようと思ったときに「どこで見ればいいの?」「何が見られるの?」「なぜ見られないの?」といった疑問に直面することがあります。
Microsoft 365 の監査ログは、2026年現在「Microsoft Purview ポータル」で取得できます。以前の「セキュリティ/コンプライアンスセンター」から移行し、PowerShell コマンドも一部廃止されるなど変化がありました。
本記事では、2026年現在の監査ログの種類と取得場所について整理します。
※案内している設定内容および変更方法は、作成日時点でのものであり、マイクロソフトの方針により変更される場合があります。
- Microsoft 365 監査ログとは?
- ログの種類と取得場所
- Purview ポータルと Entra 管理センターのログの比較表
- 保持期間の違い
- 実際に監査ログを取得できるか確認する
- まとめ
- こんな場合はご相談ください!
Microsoft 365 監査ログとは?
Microsoft 365 監査ログ(Unified Audit Log)は、テナント内で行われたユーザーや管理者の操作を記録する機能です。「誰が」「いつ」「何をしたか」を時系列で追跡できるため、以下のようなシチュエーションで利用されます。
- セキュリティインシデントの調査
- コンプライアンス要件への対応
- トラブルシューティング
- ユーザーの行動分析
Microsoft 365 の監査ログは、例として以下の製品の操作ログを一元的に収集しています。
- Exchange Online
- SharePoint Online
- OneDrive for Business
- Microsoft Teams
- Microsoft Entra ID
参考: 監査ログ アクティビティ | Microsoft Learn
ログの種類と取得場所
「監査ログ」と一口に言っても、Microsoft 365 には複数のログが存在し、調査したい内容によって見るべき場所が異なります。
Purview 管理センターと PowerShell で取得できるログの対応関係
SharePoint、OneDrive、Teams、Exchange などの Microsoft 365 全体の操作は Microsoft Purview、サインインログや Entra ID のディレクトリ監査は Microsoft Entra 管理センター が主な確認先です。
以下の図は、Microsoft 365 の監査ログを起点にそれぞれの管理ポータルで取得できる監査ログとその対応する PowerShell コマンドを整理したものです。
ログの種類と取得方法の例
Microsoft 365 の各サービスで取得できるログの種類と、主な取得方法の例を以下に示します。
| ログの種類 | 主な対象 | 取得場所 (GUI) | 取得場所 (PowerShell) |
|---|---|---|---|
| 統合監査ログ | SharePoint / OneDrive / Teams / Exchange など横断的な操作 | Microsoft Purview | Search-UnifiedAuditLog |
| メールボックス監査ログ | メールの閲覧・削除・転送など | Microsoft Purview | Search-UnifiedAuditLog |
| Entra ID サインインログ | ユーザーのログイン・認証イベント | Microsoft Entra 管理センター | Microsoft Graph API |
| Entra ID 監査ログ | ディレクトリ(グループ作成、ユーザー作成) の変更操作 |
Microsoft Entra 管理センター | Microsoft Graph API |
※ 以前は Search-MailboxAuditLog コマンドレットも利用可能でしたが、現在は非推奨となっています。メールボックス監査ログも Search-UnifiedAuditLog で取得してください。
参考: Important Announcement: Deprecation of AdminAuditLog and MailboxAuditLog Cmdlets
※Entra ID 監査ログについては、両方の場所で取得可能ですが、保持期間や詳細度が異なります。(後述)
実務上の使い分け
調査の目的に応じて、以下を参考にしてください。
- SharePoint / OneDrive / Teams / Exchange の操作を調べたい
- Purview または
Search-UnifiedAuditLog
- Purview または
- ユーザーのサインイン状況を調べたい
- Entra 管理センター または Microsoft Graph API
Purview ポータルと Entra 管理センターのログの比較表
Purview ポータルで確認できるログと Entra 管理センターで確認できるログは取得方法が異なりますが、保持期間や用途も異なります。以下に両者の違いをまとめた比較表を示します。
| 観点 | Purview / Search-UnifiedAuditLog |
Entra 管理センター / Microsoft Graph API |
|---|---|---|
| 対象ログ | SharePoint、OneDrive、Teams、Exchange、Entra ID の管理操作など | サインインログ、Entra ID の管理操作 |
| 保持期間 | E3: 180日 / E5: 1年〜最大10年 | Free: 7日 / P1・P2: 30日 |
| 反映速度 | 数十分〜最大24時間 | ほぼリアルタイム |
| 詳細度 | M365全体を横断した操作ログの調査向け | サインイン詳細、条件付きアクセス、リスク評価の確認に向く |
| 取得方法 | Purview ポータル / PowerShell (Search-UnifiedAuditLog) |
Entra 管理センター / Microsoft Graph API (/auditLogs/signIns, /auditLogs/directoryAudits) |
使い分けイメージ
目的に応じて、以下のように使い分けるとよいでしょう。
- Purview /
Search-UnifiedAuditLog- Microsoft 365 全体を横断して調べたいとき
- 数ヶ月前など、長期間さかのぼって確認したいとき
- 定期的にエクスポートして保管したいとき
- Entra 管理センター / Microsoft Graph API
- 直近のサインインを詳細に確認したいとき
- 条件付きアクセスの結果やリスク情報を見たいとき
- ほぼリアルタイムで認証イベントを追いたいとき
重複する領域の使い分け
同じ Entra 関連の操作でもサインインログなどは使い分けることがあります。
- Purview ポータル / PowerShell: RecordType
AzureActiveDirectoryStsLogonで取得可能。サインインの基本情報は取得できるが、条件付きアクセスの適用結果などは確認できない。保持期間は最大180日(E3の場合) - Entra 管理センター / Microsoft Graph API: エンドポイント
/auditLogs/signInsで取得可能。詳細情報あり(条件付きアクセス等)だが、保持期間は最大30日
条件付きアクセスの適用結果を確認したい場合は、Entra 管理センター / Microsoft Graph API を確認するといった選択になります。
保持期間の違い
上述の通り、取得方法によってログの保持期間は異なります。また、利用ライセンスによっても異なります。
Purview(統合監査ログ)の保持期間は以下となります。
| ライセンス | 保持期間 |
|---|---|
| E3 (Audit Standard) | 180日間 (既定) |
| E5 / E5 Compliance (Audit Premium) | 1年 (既定) / 最大10年 |
Entra ID の保持期間は以下となります。
| ライセンス | 保持期間 |
|---|---|
| Entra ID Free | 7日間 |
| Entra ID P1 / P2 | 30日間 |
実際に監査ログを取得できるか確認する
ここまでで「どこで何が取れるか」を整理しました。
次は、実際に監査ログを取得できる状態かどうかを確認してみます。本セクションでは、SharePoint のアクセスログを例に、Purview ポータルと PowerShell の両方で取得を試します。
Step 1: 必要な権限を確認する
監査ログを検索するには、Purview ポータルで適切な役割グループに所属している必要があります。
監査ログの検索には、以下のいずれかの役割グループが必要です。
| 役割グループ | 説明 |
|---|---|
| Audit Manager | 監査ログの検索・管理が可能 |
| Audit Reader | 監査ログの検索・閲覧が可能(読み取り専用) |
その他、以下の役割グループにも監査ログの権限が含まれています
- Organization Management
- Compliance Administrator
- Security Administrator
役割グループの確認は、以下の手順で行います。
- Microsoft Purview ポータル にアクセス
- 設定 > 役割と範囲 > 役割グループ
- 自分が所属している役割グループを確認
参考: Microsoft Purview で監査ログを検索する | Microsoft Learn
Step 2: 監査ログを確認する
権限の確認ができたら、実際に監査ログを取得できるか確認してみましょう。GUI(Purview ポータル)か PowerShell のいずれかで試してください。
手段1: Purview ポータルで確認する(GUI)
Purview ポータルから GUI で監査ログを検索する手順は以下の通りです。
- Microsoft Purview ポータル にアクセス
- 左メニューから 監査 を選択
- 検索条件を設定
- 日付範囲: 過去7日間など
- アクティビティ: 「ファイルのアクセス」など SharePoint 関連を選択
- ユーザー: 必要に応じて絞り込み
- 「検索」をクリック
検索結果が表示されれば、監査ログが有効で、権限も問題ないことが確認できます。
手段2: PowerShell で確認する(CLI)
PowerShell での取得は、大量データの取得や自動化に向いています。
まず、Exchange Online PowerShell モジュールをインストールし、接続します(初回のみインストールが必要です)。
# Exchange Online Management モジュールのインストール(初回のみ) Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser # 接続 Connect-ExchangeOnline # ポップアップで認証情報を入力して接続します。
接続後、以下のコマンドで過去7日間の SharePoint ファイルアクセスログを取得できます。
# 過去7日間の SharePoint ファイルアクセスログを取得 $startDate = (Get-Date).AddDays(-7) $endDate = Get-Date $results = Search-UnifiedAuditLog ` -StartDate $startDate ` -EndDate $endDate ` -RecordType SharePointFileOperation ` -Operations FileAccessed ` -ResultSize 100 ` -UserIds "<取得を確認したいユーザーのUserPrincipalName>" # 結果を確認 $results | Select-Object CreationDate, UserIds, Operations, AuditData | Format-Table $results | Export-Csv -Path "SharePointFileAccessLogs.csv" -NoTypeInformation -Encoding UTF8
主要なパラメータは以下の通りです。
| パラメータ | 説明 | 上記取得例の値 |
|---|---|---|
-StartDate |
検索開始日 | (Get-Date).AddDays(-7) |
-EndDate |
検索終了日 | Get-Date |
-RecordType |
ログの種類 | SharePointFileOperation |
-Operations |
操作の種類 | FileAccessed, FileDownloaded, FileDeleted |
-UserIds |
対象ユーザー | <取得を確認したいユーザーのUserPrincipalName> |
-ResultSize |
取得件数(最大5000) | 1000 |
まとめ
本記事では、Microsoft 365 の監査ログについて以下を整理しました。
- ログの種類と取得場所 - Purview / Entra の使い分け
- GUI と PowerShell の対応関係
- 保持期間 - E3: 180日 / E5: 1年〜
- 実際に取得できるかの確認方法 - 権限、GUI、PowerShell
この記事を参考に、まずは 監査ログを取得する土台 を整えてみてください。
こんな場合はご相談ください!
監査ログ調査は、設定方法を知っていれば完結するものではなく、調査目的・テナント構成・ライセンス・権限設計によって最適なアプローチが変わります。以下のようなお悩みがあれば、JBS Live Support へご相談ください。
- 「PowerShell で大量のログを取得したいが、コマンドがうまく取得できない」
- Search-UnifiedAuditLog のパラメータ設計や、ページング処理の実装をサポートします。
- 「退職者の操作履歴を運用として調べる仕組みを作成したいが、何から始めればいいか分からない」
- 調査に必要なログの種類、検索条件、権限の整理をお手伝いします。
<#LSB20260327001>を添えてLive Supportへお問い合わせくださいますようお願いいたします。 ※Live Support for Office 365をご契約いただいているお客様のみお問い合わせいただくことが可能ですのでご了承ください
PR:マイクロソフト製品専門のエンジニアがお客さまの要望に合わせて柔軟かつ幅広く支援するタイムチャージ制サポートサービスのご紹介
JBSサービス"Live Support"は、豊富な構築実績に基づき、各マイクロソフト製品専門のエンジニアがお客さまの要望に合わせて柔軟かつ幅広く支援するタイムチャージ制のサポートサービスです。
情報システム部のお客様向けに、Microsoft 365 の運用で直面する課題に対し、問い合わせ対応の形で技術的なご支援をしております。ただお問い合わせに一問一答形式で回答するだけでなく、Teams会議を通じての技術相談や活用に関するアドバイスなど、柔軟にご利用いただけます。
Live Supportについてご興味がございましたら、下記ページよりお問い合わせください。
