ご質問

設定を変えていないのに、受信トレイにあったメールが削除済みアイテムに移動していました。原因を調べることはできますか。

回答

デスクトップ版OutlookやOutlookの設定を変更されていない場合、誤操作によるPCのDeletボタンを押下することで必要なメールが削除済みアイテムへ移動することなどが考えられますが、管理者ユーザーの権限をお持ちの場合は、Microsoft365 コンプライアンスセンターの監査ページで、対象ユーザーがメールを削除したログがないか（アクティビティの一覧）を確認することが可能です。

（監査ログは、一般ユーザーでは閲覧ができません。ご確認されたい場合は、管理者ユーザーにご依頼ください。）

コンプライアンスセンターで監査ログを確認する手順 

下記に「メールボックスアクティビティ」の検索手順をご案内いたします。

※監査ログが有効（デフォルトは有効）の場合、過去90日間の監査ログが保存されております。

１．Microsoft 365 コンプライアンスセンター（https://compliance.microsoft.com）に管理者ユーザーでログイン。

２．左側のウィンドウの[監査] をクリック。 

３．[監査] ページの[検索] タブ内にそれぞれ検索したい条件を指定します。 

　本FAQでは、2021/9/1～2021/11/25までの間の、特定ユーザーのメールの削除ログ（[削除済みアイテム]へメッセージを移動）を検索します。

　・［日付と時刻の範囲］で検索期間：2021/9/1～2021/11/25まで（90日以内の間）を指定しました。

　・［アクティビティ］欄に調べたい操作項目を指定します。下向き矢印をクリックすると項目一覧から選択ができます。

　　今回は、項目一覧から、「Exchang メールボックスアクティビティ」内の[削除済みアイテムフォルダーへのメッセージの移動]にチェックをします。

　・[ユーザー]欄に調べたいユーザーのメールアドレスを指定します。

　・[ファイル、フォルダ、またはサイト]欄は、空欄で構いません。

４．項目を選んだら[検索]ボタンをクリックします。

５．該当の履歴がある場合は、「日付」「CreationTime」「IPアドレス」「ユーザー」「アクティビティ」「アイテム」「詳細」が一覧が表示されます。

６．レコード名をクリックすると詳細（項番４の項目と下記29項目）が確認できます。

「CreationTime」「Id」「Operation」「OrganizationId」「RecordType」「ResultStatus」「UserKey」「UserType」「Version」「Workload」「ClientIP」「UserId」「AppId」「ClientIPAddress」「ClientInfoString」「ExternalAccess」「InternalLogonType」「LogonType」「LogonUserSid」「MailboxGuid」「MailboxOwnerSid」「MailboxOwnerUPN」「OrganizationName」「OrganizationServer」「SessionId」「AffectedItems」「CrossMailboxOperation」「DestFolder」「Folder」

その他、コンプライアンスセンター画面の監査ログの検索については、下記Microsoft社の関連リンクをご参照ください。

■監査ログの検索

■コンプライアンス センターで監査ログを検索する‐Exchange メールボックス アクティビティ

もし、ご確認をいただき、ご不明点がございましたら下記、弊社技術窓口までお問い合わせください。

■NTTコミュニケーションズ 技術的なお問い合わせ