Office 365の監査を有効にする方法

今更かもしれませんが、初期セットアップからやっていたので備忘録かねて記事にしてみます

Office 365セキュリティセンターから監査を有効に設定

1. 管理センタ→【セキュリティ】をクリックします
2. 検索と調査→【監査ログの検索】をクリックします
3. 【監査を有効にする】をクリックする

しかしここでエラーが！
こんなエラーが表示されてしまいました。

詳細を表示する

 要求: /api/adminauditlogconfig/EnableUnifiedAuditLogIngestion
状態コード: 500
例外メッセージ: {"Message":"実行しようとしたコマンドは現在この組織に許可されていません。このコマンドを実行するには、まずコマンド Enable-OrganizationCustomization を実行する必要があります。","DiagnosticContext":"{Version:16.00.2927.001,Environment:EUSPROD,DeploymentId:d228a37df,InstanceId:WebRole_IN_3,SID:73c929a59-bd-a31e554f9676}","Time":"2019-03-14T12:55:23.0436169Z","ExceptionType":"Microsoft.Exchange.Configuration.Tasks.InvalidOperationInDehydratedContextException","ExceptionData":{"Source":"AdminAuditLogConfig"}}
診断情報: **{Version:16.00.2927.001,Environment:EUSPROD,DeploymentId:d22887df,InstanceId:WebRole_IN_0,SID:73c8,CID:8dbd3}
時刻: 2019-03-14T12:55:23.001Z

Enable-OrganizationCustomizationコマンドを実行する必要があるみたいですね。

Exchange Onlineに接続する

PowerShellを利用してカスタマイズ許可コマンドを実行する必要があるようです
そのため、PowerShellを利用して、Exchange Onlineに接続します

1. Power Shellを管理者権限で起動します
2. 下記コマンドを実行します

   Set-ExecutionPolicy RemoteSigned

3. 下記コマンドを実行し、Exchange Onlineへ接続します

   $UserCredential = Get-Credential
   $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
   Import-PSSession $Session -DisableNameChecking

4. 簡単なコマンドを実行して、正常に接続されているかを確認します

   Get-Mailbox
   
   Name                      Alias           Database                       ProhibitSendQuota    ExternalDirectoryObjectId
   ----                      -----           --------                       -----------------    -------------------------
   DiscoverySearchMailbox... DiscoverySea... JPNPR01DG075-db103             50 GB (53,687,091...
   hoge                hoge          JPNPR01DG118-db122             49.5 GB (53,150,2... cbc9c..

5. 先ほどのエラーメッセージのコマンドを実行します
   同じコマンドをもう一度実行すると下記のようになるので、有効になったようです。

   PS C:\WINDOWS\system32> Enable-OrganizationCustomization
   PS C:\WINDOWS\system32> Enable-OrganizationCustomization
   この操作は必要ありません。組織は、既にカスタマイズが有効になっています。
       + CategoryInfo          : NotSpecified: (:) [Enable-OrganizationCustomization], InvalidOperationException
       + FullyQualifiedErrorId : [Server=OSAPR01MB1873,RequestId=9ee70cd9-558a-4fc2-8910-bd4fd868ae7d,TimeStamp=2019/03/1
      4 12:53:47] [FailureCategory=Cmdlet-InvalidOperationException] 887F7E7D,Microsoft.Exchange.Management.Deployment.E
     nableOrganizationCustomizationTask
       + PSComputerName        : outlook.office365.com

6. コマンド実行後1時間程度待ちます
7. 以下のコマンドを実行します。

 Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

特にエラーなくコマンドプロンプトが戻ってくれば完了です

これで監査ログが有効になりました
標準でだいぶ協力な監査機能があるので、Office 365契約後すぐに有効化しておくことをお勧めします。