導入ガイド

LogLook+の利用にあたり、サービス申し込み後に以下の事前設定が必要となります。
すべての設定が完了しましたら、弊社にてお客様環境用のサービス展開を実施します。

※ガイド中の画⾯はガイド作成時点のものであり、変更される場合があります。
画面の変更に伴い、操作に不明点が生じましたら弊社までご連絡ください。

• Microsoft 365の設定 *
  • Microsoft 365監査ログ有効化
  • 利用状況ログの匿名無効化
• Microsoft Entra（旧：Azure AD）の構成 *
  • 事前準備
  • アプリの登録
• メールボックス監査設定
  ※任意の設定となります。
  
• メールログの構成
  ※メールログ収集オプションをご契約の場合に必要な設定となります。
  
• Dynamics 365監査設定有効化
  ※Dynamics 365の監査ログをご利用の場合に必要な設定となります。

*：必須の設定になります。

LogLook+では、Microsoft Entra ID（旧：Azure AD）の機能を用いてアクセスするユーザー・グループを制御することができます。
設定方法については、「アクセスユーザーの管理」をご参照ください。

Microsoft 365の設定

お客様テナントでMicrosoft 365の設定変更を行います。

Microsoft 365 監査ログ有効化

Microsoft 365 監査ログを収集するために、監査機能が有効化されている必要があります。

Powershellで以下のコマンドを実行して、現在の設定をご確認ください。

※コマンドを実行する前に、Exchange Online PowerShellに接続する必要があります。
手順については、Microsoftの公式情報をご参照ください。
Exchange Online PowerShell に接続する | Microsoft Learn

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

UnifiedAuditLogIngestionEnabledプロパティの値が「False」の場合、監査機能が無効に設定されています。
「Microsoft 365 監査ログ有効化の実施」を参照し、監査機能を有効にしてください。

その他詳細については、Microsoftの公式情報をご参照ください。
監査のオンとオフを切り替える - Microsoft Purview (compliance) | Microsoft Learn

・ Microsoft 365 監査ログ有効化の実施

Microsoft 365 監査ログを収集してLogLook+で利用するために、運用前に監査機能を有効化する必要があります。
以下の手順に沿って、監査機能を有効にしてください。

1. Microsoft 365管理者アカウントで、Microsoft Purviewに接続します。
   https://compliance.microsoft.com/
2. 左メニューから「監査」をクリックします。
   
   
   
   
3. 遷移後の監査画面で、「ユーザーと管理者のアクティビティの記録を開始する」ボタンをクリックします。
   ※画面上に該当のボタンが表示されない場合、既に有効化が完了しています。本設定はスキップし、「利用状況ログの匿名無効化」を実施してください。
   
   
   
   
4. 操作の実行ダイアログで、「有効にする」をクリックします。
   ※「セキュリティを更新しますか？」というダイアログが表示された場合、「はい」を選択してください。

設定反映後、組織のユーザーと管理者のアクティビティがMicrosoft 365の監査ログに記録され、LogLook+で利用できるようになります。

利用状況ログの匿名無効化

ユーザー名など個人を特定する情報が既定で匿名化されているため、運用前に匿名の無効化設定が必要になります。
※匿名化された環境でLogLook+を利用した場合、Teams Inventoryレポートが利用できません。
匿名での運用をご検討の場合はご連絡ください。

1. Microsoft 365管理者アカウントで、Microsoft 365管理センターに接続します。
   https://admin.microsoft.com/
2. 管理センターの左メニューから、「設定」-「組織設定」をクリックします。
3. 「サービス」タブの設定項目から、「レポート」をクリックします。
   
   
   
   
4. レポートの設定画面で「非表示のユーザー、グループ、およびサイト名をすべてのレポートに表示する」のチェックを外し、「保存」ボタンをクリックします。
   
   
   
   

Microsoft Entra（旧：Azure AD）の構成

LogLook+がお客様テナントのログ取得に接続するためのアクセス許可を行います。

事前準備

・ Azure CLIのインストール

Microsoft Entra ID（旧：Azure AD）への操作を実施するにあたり、Azure CLIのセットアップが必要になります。
Microsoftの公式情報「インストールまたは更新」を参照し、インストールを実行してください。
Windows 用 Azure CLI をインストールする | Microsoft Learn

※Azure CLIがインストール済みの場合：

1. ローカルコンピュータで、管理者権限でWindows PowerShellを起動します。
2. 次のコマンドを実行して、「azure-cli」のバージョン が 2.37.0 以上であることを確認してください。

   az --version
   

   
   
   ※「azure-cli」 が 2.37.0 以下のバージョンの場合、上記URLからAzure CLIの更新を実施してください。
   
   

・ スクリプトのダウンロード

Microsoft Entra ID（旧：Azure Active Directory）にアプリケーションを登録するためのスクリプト（ps1ファイル）をダウンロードします。

Tip

2・3の手順が表示されない場合は、操作をスキップしてください。

1. 以下のURLより、ps1ファイルをダウンロードして展開します。
   https://hybridauditservice.blob.core.windows.net/sharefile/preparation/LogLook_AADKeyRegistration.ps1
2. ダウンロードしたps1ファイルを右クリックして、プロパティを選択します。
3. プロパティ「全般」で、セキュリティ一覧から「許可する」のチェック欄にチェックして適用します。
   
   
   
   

・ アプリケーション登録先の確認

1. アプリケーション登録用スクリプトを実行するMicrosoft 365組織アカウント（全体管理者権限）で、Azureポータルに接続します。
   https://portal.azure.com/
2. 「Azureサービス」のメニューから「Microsoft Entra ID」をクリックします。
   
   
   
   
3. 概要画面の基本情報に表示される情報の中から、「テナントID」の値をコピーします。
   ※スクリプトを実行するアカウントが複数のテナントと紐づいている場合、LogLook+を導入するテナントのIDをコピーしてください。
   
   
   
   

アプリの登録

Microsoft Entra ID（旧：Azure Active Directory）に、アプリケーション登録（LogLook+、LogLook+レポートサービス）を行います。

Tip

本スクリプトは、以下2点の注意事項があります。

• プロキシを通る環境下では正常に動作しない場合があります。
  予めプロキシを通らない環境で実施いただくか、プロキシ設定をご確認ください。
  詳細については、Microsoftの公式情報をご参照ください。
  Azure CLI を使用するためのヒント |マイクロソフト学習 (microsoft.com)
• Azure CLIの設定に一時的に値を追加しており、アプリ作成後に設定値を削除しています。
  ※Azure CLIのバージョン2.61.0以降で、認証方法が変更されたため対応
  スクリプト実行後、設定値が削除されていることを確認するには、以下のコマンドを実行することで確認できます。

  az config get
  

  設定値が正常に削除された場合	設定値が残った場合

  詳細については、Microsoftの公式情報をご参照ください。
  コマンド ラインで Azure CLI を使用してサインインする | Microsoft Learn

1. ローカルコンピュータで、管理者権限でWindows PowerShellを起動します。
2. スクリプトの実行権限を一時的に変更するため、次のコマンドを実行します。

   Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSigned –Force
   

3. スクリプトの実行権限変更後、次のコマンドを実行します。

   <ダウンロードしたファイルの保存場所>¥LogLook_AADKeyRegistration.ps1
   例：C:\temp¥LogLook_AADKeyRegistration.ps1
   

4. ディレクトリ（テナント）IDの入力メッセージが表示されます。
   「アプリケーション登録先の確認」の手順3でコピーしたテナントIDを入力します。
   
   
   
   
5. ブラウザで表示された サインイン画面にMicrosoft 365組織アカウント（全体管理者権限）を入力し、「サインイン」をクリックします。
   
   
   
   ※以下の警告メッセージが表示される場合がありますが、動作に影響はありません。
   
   
   
   
6. ブラウザで以下のメッセージが表示されると、サインイン完了です。ブラウザを閉じてください。
   
   
   
   
7. サインイン完了後、PowerShellの登録確認で「Yes」を選択します。
   
   
   
   
8. 「LogLookアプリケーションが登録されました」と表示されたら、LogLook+アプリケーションの登録は完了です。
   続いてレポートサービスのアプリケーション登録に進みます。
   
   ※処理中に以下の警告メッセージが表示される場合がありますが、動作に影響はありません。
   
   
   
   
9. 「指定されたIDを入力してください」というメッセージが表示されたら、事前に弊社サポートチームから通知された「ID」を入力します。
   
   
   
   
10. 登録確認に対して、「Yes」を選択します。
    
    
    
    ※処理中に以下の警告メッセージが表示される場合がありますが、動作に影響はありません。
    
    
    
    
11. 「LogLook_ReportServiceアプリケーションが登録されました」というメッセージのあと、「処理が完了しました」というメッセージが表示されると、LogLook+レポートサービスのアプリケーションの登録は完了です。
    
    ※処理中に以下のメッセージが表示される場合がありますが、動作に影響はありません。
    
    
    
    ※「処理が完了しました」と表示されても、処理過程でエラーメッセージが表示されると、正しくアプリケーションが登録されていない可能性があります。
    その場合、エラーメッセージを控えて弊社サポートチームまでご連絡ください。
    
    

メールボックス監査設定

メールボックスの監査設定はMicrosoftにより既定で有効に設定されていますが、監査項目のすべてが有効ではありません。
必要に応じて、監査項目の設定を行ってください。
現在の設定内容については、以下のコマンドを実行することで取得できます。

1. Exchange Online PowerShellに接続します。
   ※Exchangeへの接続手順につきましては、Microsoftの公式情報をご参照ください。
   Exchange Online PowerShell に接続する | Microsoft Learn
2. PowerShellで以下のコマンドを実行します。
   • メールボックス単位で設定状況を確認する

     Get-Mailbox -Identity User01@domain.jp | Select DisplayName,AuditEnabled,AuditDelegate,AuditOwner,AuditLogAgeLimit
     

   • すべてのメールボックスの設定状況を確認する

     Get-Mailbox -ResultSize unlimited | Select DisplayName,AuditEnabled,AuditDelegate,AuditOwner,AuditLogAgeLimit | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "C:\Temp\AuditEnabledList.csv"
     

3. 実行結果は、CドライブのTempフォルダにCSVファイルで出力されます。実行結果を確認します。

   項目	概要
   AuditEnabled	メールボックス監査ログの設定が表示されます。 ※有効＝True、無効＝False
   AuditDelegate	メールボックスの所有者以外がアクセスした操作における記録が表示されます。
   AuditOwner	メールボックス所有者がアクセスした操作における記録が表示されます。
   AuditLogAgeLimit	メールボックス監査ログの保持期間が表示されます。

   ※メールボックスの監査情報を個別で実施する手順につきましては、Microsoftの公式情報をご参照ください。
   メールボックスの監査を管理する - Microsoft Purview (compliance) | Microsoft Learn
   [ユーザーメールボックスと共有メールボックスのメールボックスアクション]

   ※MailboxLoginを有効化すると、膨大な量のログが記録されることがあります。
   レポートサービスをご契約の場合、MailboxLoginの設定は無効で運用することを推奨します。
   

   弊社推奨の監査設定コマンドを、以下に記載します。

   Get-Mailbox -ResultSize Unlimited | Set-Mailbox -AuditEnabled $true -AuditDelegate @{add="FolderBind,Move,MoveToDeletedItems,SendOnBehalf"} -AuditOwner @{add="Create,HardDelete,SoftDelete,Update,Move,MoveToDeletedItems"}
   

   ※本コマンド実行時は、Exchange Online PowerShellへの接続が必要です。
   
   

メールログの構成

LogLook+オプションのメールログを収集する場合に必要な設定です。
メールログ収集オプションをご契約の場合、手順に沿って設定を行ってください。

1. 全体管理者権限が付与されたアカウントで、Azureポータルに接続します。
   https://portal.azure.com/
2. 「Azureサービス」のメニューから「Microsoft Entra ID」をクリックします。
3. 左メニューから「概要」-「ロールと管理者」をクリックします。
   
   
   
   
4. ロールと管理者画面で、ロール一覧から「セキュリティ閲覧者」をクリックします。
   
   
   
   
5. 「割り当て」メニューから、「＋割り当ての追加」をクリックします。
   
   
   
   
6. アイテム一覧から「LogLook」アプリケーションを選択し、「追加」ボタンをクリックします。
   
   ※ご利用の環境によっては、「＋割り当ての追加」クリック後に「メンバーシップ」タブが表示されることがあります。
   「メンバーが選択されていない」をクリックし、手順6を実行してください。
   
   
   
   
7. 割り当てられたアイテム一覧に、「LogLook」が表示されます。
   
   ※ご利用の環境によっては、一覧のヘッダーにタブが表示されることがあります。
   その場合、「アクティブな割り当て」タブに「LogLook」が表示されていることをご確認ください。
   
   
   
   

Dynamics 365監査設定有効化

Dynamics 365の監査ログを取得する場合、必須の設定となります。
該当の監査ログを利用する場合は、手順に沿って設定を行ってください。

1. 管理者権限が付与されたアカウントで、Power Platform管理センターにログインします。
   https://admin.powerplatform.microsoft.com/
2. 左メニューから「環境」をクリックします。
   
   
   
   
3. 環境一覧から、LogLook+を利用する環境をクリックします。
   

Note

種類が「Microsoft Teams」となっている環境については、Microsoft 365側で監査が無効となっています。
Dataverse for Teams と Dataverse の違いはなんですか？

1. 遷移先画面のヘッダーから、「設定」をクリックします。
   
   
   
   
2. 設定画面遷移後、「監査とログ」メニューから「監査設定」をクリックします。
   
   
   
   
3. 監査設定画面で、「ログの読み取り」チェックボックスをオンにして有効にします。
   
   ※「監査の開始」が無効の場合、「ログの読み取り」の設定を変更することができません。「監査の開始」を併せて有効に設定してください。
   ※ドロップダウンリストから、ログの保持期間を選択してください。
   
   
   
   
4. 「保存」ボタンをクリックし、設定を保存します。