purview 監査ログ(Audit log)とは、standardとpremiumの違いとは
はじめに
Purview監査ログとは、Microsoft 365サービス(メール、ファイル共有、Teamsなど)におけるユーザーや管理者の操作を、「誰が、いつ、どこで、何をしたか」を自動で記録し続けるデジタルな操作履歴です。
注意点
Entra IDの監査ログとは別物です。
監査(standard)と監査(premium)の違い
| 機能 | 監査 (標準) [Audit (Standard)] | 監査 (Premium) [Audit (Premium)] |
|---|---|---|
| 監査ログ検索 | 〇 (可能) | 〇 (可能) |
| 監査ログの最大保持期間 | 最大 180日間 | 最大 1年間 (または追加ライセンスで最大 10年間 まで延長可能) |
| 監査ログ保持ポリシー | ✕ (設定不可) | 〇 (設定可能) |
| 重要なイベント の監査ログ | ✕ (対象外) | 〇 (優先順位の高い 重要なイベントのログを記録) |
| ログのエントリ増加 | ✕ (対象外) | 〇 (ユーザー、メールボックス、SharePoint Online での操作のログを増強) |
| ライセンス要件 (例) | Microsoft 365 E3 など | Microsoft 365 E5 など |
違いに関し,公式ドキュメントはこちら
特に重要な点
非常にわかりにくいが、ユーザーのexchange/teams/spoのアクションのログなどを取れるのはpremiumだけのようである。
監査 (Premium) インテリジェントな分析情報。 インテリジェントな分析情報の監査レコードを使用すると、organizationは、メール アイテムがいつアクセスされたか、メール アイテムがいつ返信および転送されたか、ユーザーがExchange Onlineや SharePoint Online で検索したタイミングと内容などのイベントを可視化することで、フォレンジックとコンプライアンスの調査を行うのに役立ちます
監査 (Premium) は、ユーザーがメール アイテムにアクセスしたり、メール アイテムに返信したり転送したり、Exchange Onlineや SharePoint Online で検索したりするなど、重要なイベントへのアクセスを提供することで、組織がフォレンジックとコンプライアンスの調査を行うのに役立ちます。
監査(standard)で取得できるログについてはこちら
監査(premium)で取得できるログについては上記に加えて、こちら
必要なライセンス
例えば教育機関向けのライセンスであれば、
A3には監査(standard)、A5であれば監査(premium)が含まれている。
エンタープライズ向けであれば、
E3には監査(standard)、E5であれば監査(premium)が含まれている。
business系であれば、
business basic,business standard,business premiumには監査(standard)が含まられている。
結論
exchange、teamsなどにおけるユーザーの細かい操作ログを取るには、premiumが必要。組織の要件に合わせて選択する必要がある。
Discussion