OneDrive Businessの動きが監査ログでどう見えるのか見てみた。

前回は以下

OneDrive for Businessで今度はファイルを共有した話｜rone｜note

今回はタイトル通り監査ログを見てみた。

監査ログ取得を開始

「MS365コンプライアンス」-「監査」-「ユーザと管理者のアクティビティを開始する」をクリック

適当にいじってみる。

フォルダ、ファイル作成、名前変更、削除の監査ログ

フォルダ共有（リンクを知っているすべてのユーザ）

条件で設定

監査ログとしては以下、これは「匿名リンク」と呼ばれることがわかった。

同一テナントのユーザでアクセスした場合

ユーザ名にどのユーザがアクセスしたのかがわかる。

MS365にログインしていない状態でアクセス

初回アクセス時には「anonymous」と表示されるが、その後ファイルを開いても誰がやっているのかわからない。

別のMS365にログインしているユーザでアクセス

ユーザ名が「（招待メールアドレス）#ext#@(テナントドメイン名)」の表記で表示されていた。

ダウンロードの時はどういうものが出るのか。

同一ドメインユーザでダウンロード

MS365にログインしていない状態でダウンロード

別テナントにログインした状態でダウンロード

「リンクを知っているテナント内のユーザー」リンク

共有条件は以下

監査ログ上は以下
「会社の共有可能なリンク」という表記であることを確認

テナント内のユーザでアクセス　編集、ダウンロード

MS365にログインしていない状態でアクセス

別テナントの365にログインしているユーザでアクセス

「特定ユーザー」リンク

設定は以下

監査ログとしては以下
「セキュリティで保護されたリンク」であることを確認

テナント内のユーザでアクセス　編集、ダウンロード

ログインしていないユーザ

アクセス時に以下が出る。監査ログ上は何もでない。

20：43　他テナント
正しくログインすると

以下のメールが届く

ユーザ名も表示され誰が操作しているのかがわかった。

まとめ

OneDriveは以下のアクティビティで把握する

●共有フォルダの作成
　匿名リンクの作成
　会社共有可能なリンク
　セキュリティで保護されたリンク

●アクセスの確認
　匿名リンクの使用
　会社共有可能なリンクの使用
　セキュリティで保護されたリンクの使用

●ダウンロード
　ファイルのダウンロード

その他 OneDrive関連の記事は以下

OneDrive｜rone｜note