今回は、管理者がPower Platformで確認できる監査ログについてまとめます。

こちらの記事は投稿時点の情報です。
最新情報は公式ドキュメントMicrosoft Learnでご確認お願いいたします。

主に、Power Platform管理センターで確認できる監査ログとMicrosoft purview（Microsoft管理センター）で確認できる監査ログがあります。

監査ログの種類の違い

Power Platform管理センターの監査ログはDataverseのデータのCRUD変更履歴です。
「ユーザーがいつ、どのようなアクションを実行したか？」、「特定のレコードを削除したのはだれか？」、「ユーザーのロールを変更したのはだれか？」「変更する前の値は？」などの情報を知ることに役立ちます。

Microsoft Purviewで確認できる監査ログは
Power AppsやPower Automate、Power Pages(プレビュー)、Copilot Studio、コネクタ、DLPポリシーなどのサービスごとのアクティビティログです。
例えば、「アプリを誰がいつ作成したか」「ユーザーがアプリを共有したのはいつか」などを知ることができます。

どちらも、Power Platform 環境ごとに機能をオンにすることができます。
共通の手順なのでこちらはまとめて解説します。

監査ログ設定方法

まず、環境ごとに監査をオンにするか、オフにするかを設定します。（規定ではオフです。）

環境の種類に注意！
サンドボックス環境では使用できません。

Power Platform管理センターにアクセスするには、Power Platform管理者、グローバル管理者、Dynamics 365管理者の権限が必要です。

環境のセキュリティロール「システム管理者」「システムカスタマイザー」「環境作成者」「環境管理者」が割り当たっているその権限を持っている環境に対しては操作が可能です。

細かいところまでいうと、「システムカスタマイザー」「環境作成者」「環境管理者」はその権限が割り当たっているかつ、自分が作成した環境です。

監査ログをオンにすると、既定では期限なく保持されます。

Power Platform管理センターにアクセスします。
https://admin.powerplatform.microsoft.com/

[環境]> 設定したい環境を選択します。

[設定]をクリックします。

[展開監査とログ]を開き、[監査設定]をクリックします。

設定項目は３つです。

設定	説明
監査の開始	監査を開始または停止
アクセスのログ	システムにアクセスしたときに記録されるログ
ログの読み取り	Microsoft Purview コンプライアンスポータルに送信されるログ

「Power Platform管理センターの監査ログ」だけを見たい場合は上２つを選択してください。
「Microsoft Purviewの監査ログ」を追加したい場合はすべて選択してください。

次に、環境で監査ログを保持する保持期間を設定できます。これらのログを保持する配下で、ログを保持する期間を選択します。

最後に忘れず、[保存]を選択します。

監査保持期間が永久に設定されている場合、ログが削除されることはありません。
監査保持期間が他の値に設定されている場合、監査レコードが保持ポリシーで定義された時間を超えた時点から、ログは継続的に削除されます

保持期間を変更しても、既存のレコードの保持期間は変更されません。
新しい保持期間は、保持期間が変更された後に作成されたすべての新しいレコードに適用されます。

これで環境の監査機能をオンにすることができました。Microsoft PurviewはこれだけでOKですが、Power Platform管理センターのログはさらに設定が必要です。

まずはPower Platform管理センターのログの個別の設定方法、確認方法を見ていきます。

飛ばしてMicrosoft Purviewの監査ログの確認方法を見たい方はこちらから

Power Platform管理センターで確認できる監査ログ

Power Platform管理センターで確認できる監査ログはDataverseのログ容量に保存されます。
環境内のDataverseの以下のテーブルにログが保存されます。

AuditBase
PlugInTraceLogBase

逆に、Microsoft Purviewの監査データはMicrosoft側のデータベースに保存されます。

基本的にPower Platform管理センターで確認できる監査は既定ではオフです。
設定をオンにしないとログを取れません。

テーブルごと、もしくは、列ごとに監査をオンにする必要があります。💪

テーブル単位・列単位での監査を有効化

システム管理者またはカスタマイザーロールを持っているユーザーは、テーブルと特定列の既定の監査設定を変更できます。
（これは管理者がやっても、以上の権限を持っているユーザーでも操作可能）

以下のテーブル単位・列単位は平行してやる必要は必ずしもなく、

テーブルごとに設定したい時には ①テーブル単位
もっと、細かい列単位で設定したい場合は ②列単位

で設定することが可能です。
それぞれの手順を説明します。

テーブルの監査を有効化

テーブル単位で設定するときの手順です。

Power Appsスタジオを開きます。
https://make.powerapps.com/
左のメニューで[テーブル]を選択します。
監査ログを設定したいテーブルを選択します。

「テーブルプロパティ」セクションで、[プロパティ] (歯車アイコン)をクリックします。
右のウィンドウで[高度なオプション]をクリックします。

下のほうにスクロールすると、[このテーブル用]セクションで[データに対する変更を監査する]にチェック✅を入れます。（オフにしたいときは逆にこのチェックを外します。）
[保存]をクリックし、ウィンドウを[×]や[キャンセル]で閉じます。

既定では、テーブルの監査を開始または停止すると、そのテーブルのすべての列の監査も開始または停止されます。

次は列ごとに個別で設定したいときの手順です。

列の監査を有効化

[スキーマ] セクションで、[列]を選択します。

監査を有効にする列を選択して、[高度なオプション]を展開します。

[監査を有効にする]チェックボックスを選択します。

ちなみに、管理センターで該当の設定項目であろう、環境の[設定]＞[エンティティとフィールド監査の設定]は、現在クリックすると[テーブル]が表示されたPower Appsスタジオが表示されます。(そのため、直接開いてもOK)

監査ログを確認する・表示する

レコードの監査履歴を表示するには、ユーザーは監査履歴の表示の権限を持っている必要があります。

Power Appsスタジオを開きます。
https://make.powerapps.com/

左のメニューで[アプリ]を選択します。
監査ログを設定したいモデル駆動型アプリを再生モードで開きます。

モデル駆動型アプリでレコードを選択します。

[関連]タブを選択し、[監査履歴]を選択します。

フィルターの設定対象の列を選択し、変更履歴を表示する列で結果をフィルター処理します。

以下のような変更履歴が表示されます。

Microsoft Purview（Microsoft管理センター）で確認できる監査ログ

こちらの監査ログもアクセスできるユーザーは権限が必要で、
テナントのグローバル管理者によって実行可能です。

グローバル管理者、Power Platform 管理者、Dynamics 365 管理者、システム管理者ロールのメンバー (Dataverse のある Power Platform 環境の場合)、環境の作成者または所有者 (Dataverse のない Power Platform 環境の場合)、およびこれらのロールのいずれかを持っているユーザーのログが残されます。

Microsoft Purview コンプライアンスポータルで監査ログ検索をオンにすると、組織内のユーザーおよび活動が監査ログに記録され、既定では90 日間保持されます。