端末監査ログ

この機能は G Suite Business、G Suite Enterprise、Drive Enterprise エディションでご利用いただけます。エディションの比較

組織で使用されているパソコンや、モバイル デバイスに関するアクティビティのレポートを確認できます。これにより、ユーザーのアカウントがデバイスに追加されたかどうかや、デバイスのパスワードがパスワード ポリシーに準拠しているかどうかなどがわかります。Google 管理コンソールの端末監査ログには、端末のさまざまなアクティビティが表示されます。アクティビティの発生時に通知を受け取れるよう、アラートを設定することもできます。

始める前に

  • モバイル デバイスのすべての監査イベントを表示するには、モバイル デバイスの詳細管理を利用してデバイスを管理している必要があります。詳しくは、モバイル デバイスの詳細管理を設定するをご覧ください。
  • Google Sync で企業データを同期している端末のアクティビティは表示されません。

ステップ 1: 端末監査ログを開く

G Suite Business または G Suite Enterprise から G Suite Basic エディションに移行すると、新しいイベントに関するデータが監査ログに記録されなくなります。古いデータは引き続き閲覧できます。

すべての端末のイベントを表示する

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、次のいずれかを行います。
    • [レポート] 次に [監査] 次に [端末] にアクセスします。
    • [端末管理] 次に [分析情報] 次に [端末の監査] にアクセスします。

    [レポート] や [端末管理] が表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. ツールバーにある、列を選択アイコン 列を選択 をクリックします。次に、ログに表示するデータを選択します。
  4. ログのデータの説明とカスタマイズ方法については、下記の手順をご覧ください。

特定のデバイスのイベントを表示する

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[端末管理] 次に [モバイル端末] にアクセスします。

    [端末管理] が表示されていない場合は、画面下部の [その他の設定] をクリックします。

  3. 次のいずれかを選択します。
    • [モバイル端末] をクリックすると、管理対象のモバイル デバイスが表示されます。
    • [エンドポイントの確認] をクリックすると、エンドポイントの確認を使用するノートパソコンやデスクトップ パソコンが表示されます。
    • 左側にある [会社所有の在庫] をクリックすると、組織で所有しているデバイスが表示されます。
  4. デバイス(複数可)を選択し、その他アイコン その他 次に [監査情報を表示] をクリックします。
    注: 会社所有の在庫からデバイスを選択した場合は、監査情報を表示アイコン Audit info をクリックします。
  5. (省略可)ツールバーにある、列を選択アイコン 列を選択 をクリックします。次に、ログに表示するデータを選択します。
  6. ログのデータの説明とカスタマイズ方法については、下記の手順をご覧ください。

ステップ 2: 監査ログデータを確認する

表示できるデータ
データの種類 説明
端末 ID イベントが発生した端末の ID。
イベント名 アカウント登録の変更、ログイン時の本人確認、ロック解除の失敗など、ログに記録されるイベントの名前。詳しくは、下記のイベントの説明をご覧ください。
イベントの説明 端末で発生したイベントの詳細。
日付 イベントが発生した日時(ブラウザのデフォルトのタイムゾーンで表示されます)。
ユーザー 端末でイベントとなる操作を行ったユーザーの名前。
端末の種類 イベントが発生した端末の種類(例: Android、iOS)
アプリケーション ハッシュ アプリケーション関連のイベントの場合、アプリケーション パッケージの SHA-256 ハッシュ。
イベントの説明

監査ログには、次の各イベントタイプのエントリが表示されます。管理コンソールの左側にある [イベントの名前] フィルタを使用すると、これらのイベントで監査ログをフィルタリングできます(左側に [フィルタ] 欄が表示されていない場合は、フィルタ アイコン フィルタ をクリックします)。イベントによっては、サブフィルタを使用して監査ログの結果を絞り込むことができます。

イベント名 説明 サブフィルタ サポートされるデバイス
アカウント登録の変更

組織内の端末の登録状態を確認できます。ユーザーが新しい端末で管理対象アカウントを追加したり、端末からアカウント登録を解除したりするたびに、エントリが記録されます。

Android 端末の場合は、アカウントが登録されている端末の権限も表示されます。詳細については、ポリシー プロファイル情報の表示をご覧ください。

例: [ユーザー名] のアカウントが Nexus 6P にデバイス管理者の権限付きで登録されました。

登録済み - ユーザーが端末に管理対象アカウントを追加した状態。

未登録 - ユーザーが端末のアカウントの登録を解除した状態。ユーザーは登録を解除したアカウントをその端末で使うことはできません。

Android
Apple® iOS®
Chrome OS
Mac®
Windows®

デバイスの操作イベント

管理者が端末上で行った操作のステータスを確認できます。

例: [ユーザー名] の Pixel 2 で行われたアカウントのワイプ(ID: 1234)は保留中です。

該当なし

Android
iOS
Chrome OS
Mac
Windows

デバイスの OS アップデート

端末の OS プロパティの更新を確認できます。

iOS 端末の場合、OS のバージョンとビルド番号のアップデートのみが記録されます。

例: [ユーザー名] の Nexus 5 で OS バージョンが 8.0 から 8.2 にアップデートされました。

  • OS バージョン
  • ビルド番号
  • カーネル バージョン
  • ベースバンド バージョン
  • セキュリティ パッチ
  • ブートローダーのバージョン
Android
iOS
Chrome OS
Mac
Windows
端末の同期

端末が過去 30 日間に同期されたかどうかを確認できます。

アクティブな端末の場合、30 日ごとに監査イベントが記録されます。

例: [ユーザー名] のアカウントが Nexus 6P で同期されました。

該当なし Android
iOS
Chrome OS
Mac
Windows
端末のアプリの変更

ユーザーによる端末でのアプリのインストール、アンインストール、更新を確認できます。

Android 端末 - イベントはすぐに記録されます。監査ログにエントリがない場合は、アプリケーションの監査の設定がオンになっていることを確認してください。

iOS 端末 - 端末が次回同期されたときにイベントが記録されます。Device Policy アプリを使用してインストールした管理対象のアプリのみが監査されます。

例: com.android.chrome バージョン 50.0.2645.0 が [ユーザー名] の Nexus 5 から削除されました。

アプリケーション イベント - インストール、アンインストール、アップデート

パッケージ名 - アプリケーション パッケージの名前

アプリケーション ハッシュ - アプリケーション パッケージの SHA-256 ハッシュ(Android のみ)

Android
iOS
端末のコンプライアンスのステータス

端末が組織のポリシーに準拠しているかどうかを確認できます。

以下の場合に、端末は非準拠と記録されます。

例: [ユーザー名] の Nexus 6P が設定されたポリシーに準拠していません(パスワード ポリシー違反)。

該当なし Android
端末の不正使用

端末が不正使用されていないかどうかを確認できます。ルート化や脱獄(端末の制限を解除する処理)が行われた端末は、不正使用されていると判断され、潜在的なセキュリティ上の脅威とみなされます。

ユーザーの端末が不正使用されたり、それに対する措置が講じられたりするたびに、システムでエントリが記録されます。

例: [ユーザー名] の Nexus 5 は不正使用されています。

該当なし Android
iOS
端末の所有者

端末の所有権が変更されたかどうかを確認できます。

たとえば、端末の詳細が管理コンソールに読み込まれた後、会社所有に変更された個人の端末を確認できます。

この監査は、会社所有の端末が管理コンソールに追加された直後に行われます。会社所有の端末が管理コンソールから削除された場合、監査は次回の同期時(管理対象として再登録した後)に行われます。

例: [ユーザー名] の Nexus 5 の所有者が会社に変更されました。新しいデバイス ID は abcd1234 です。

該当なし Android
Chrome OS
Mac
Windows
端末設定の変更

端末のユーザーが端末で開発者向けオプション、提供元不明のアプリ、USB デバッグ、アプリの確認の設定を変更したことを確認できます。

このイベントは、端末が次回同期されたときに記録されます。

例: [ユーザー名] によって Nexus 6P のアプリの確認がオフからオンに変更されました。

  • 開発者向けオプション
  • 不明な提供元
  • USB デバッグ
  • アプリの確認
Android
画面のロック解除に失敗した回数

ユーザーが端末のロックを解除しようとして失敗した回数を確認できます。

ユーザーの端末のロック解除に失敗した回数が 5 回を超えた場合にのみ、イベントが生成されます。

例: [ユーザー名] の Nexus 7 でロック解除が 5 回失敗しました。

次の値より大きい - 失敗回数がこの値の回数を超えた場合のみ表示します。

Android
不審な操作

端末上で検出された不審な操作を確認できます。

Android - ユーザーの端末で、サブフィルタに表示される端末のプロパティのいずれかが変更されるたびにエントリが記録されます。
 
iOS - Wi-Fi MAC アドレスの変更のみが記録されます。

例: [ユーザー名] の Nexus 5 で Wi-Fi MAC アドレスが x から y に変更されました。

  • 端末のモデル
  • シリアル番号
  • Wi-Fi MAC アドレス
  • Device Policy アプリの権限
  • メーカー
  • 端末のブランド
  • 端末のハードウェア
Android
iOS
 
仕事用プロファイルのサポート

端末が仕事用プロファイルに対応していることを確認できます。

たとえば、ユーザーが OS のバージョンをアップグレードし、端末が仕事用プロファイルに対応したことをこのイベントで知ることができます。

仕事用プロファイルをサポートする端末ごとにエントリが記録されます。

例: [ユーザー名] の Nexus 5 で仕事用プロファイルがサポートされました。

該当なし Android

ステップ 3: 監査ログデータをカスタマイズする、書き出す

ユーザーやアクティビティで監査ログデータをフィルタリングする

監査ログデータを絞り込んで特定のイベントやユーザーを表示することができます。たとえば、端末のロック解除失敗に関するすべてのログイベントを検索したり、特定のユーザーによるすべての不審な操作を検索したりできます。

  1. 上記の手順で監査ログを開きます。
  2. [フィルタ] 欄が表示されない場合は、フィルタ アイコン フィルタ をクリックします。
  3. フィルタの条件を選択または入力します。イベント、ユーザー、端末、日付を選択できます。各イベントタイプと対応するフィルタの詳細については、上記のイベントの説明をご覧ください
  4. [検索] をクリックします。

組織部門でフィルタリングする

組織部門でフィルタリングして、ドメイン内の下位組織と統計情報を比較することができます。

  1. 上記の手順でレポートを開きます
  2. 左側の [フィルタ] で、一覧から組織部門を選択します。

古いデータを検索する場合でも、フィルタできるのは現在の組織階層のみです。2018 年 12 月 20 日より前のデータは、結果に表示されません。

監査ログデータを書き出す

監査ログデータは、Google スプレッドシートに書き出したり CSV ファイル形式でダウンロードしたりできます。

  1. 上記の手順で監査ログを開きます
  2. (省略可)書き出すデータの項目を変更するには、次の操作を行います。
    1. ツールバーにある、列を選択アイコン 列を選択 をクリックします。
    2. 書き出すデータの横にあるチェックボックスをオンにして、[適用] をクリックします。
  3. ツールバーにある、ダウンロード アイコン ダウンロード をクリックします。

書き出しの最大セル数は 210,000 個です。最大の行数は、選択している列の数によって変わります。監査ログからスプレッドシートに書き出せる行は 10,000 行までですが、CSV には 500,000 行まで書き出すことができます。

表示されているデータはいつのものですか?

データを確認できるようになるまでの時間とデータの保持期間については、データの保持期間とタイムラグをご覧ください。

ステップ 4: メールアラートを設定する

アラートを設定すると、特定のアクティビティを簡単に確認できます。たとえば、ユーザーが端末でカレンダーを作成または削除したときにアラートを受け取ることができます。

  1. 上記の手順で監査ログを開きます。
  2. [フィルタ] 欄が表示されない場合は、フィルタ アイコン フィルタ をクリックします。
  3. フィルタの条件を入力または選択します。ログに表示するデータを自由に絞り込めます(ただし、期間は除きます)。
  4. [アラートを設定] をクリックします。
  5. [アラートを設定: モバイル] ボックスに、アラートの名前を入力します。
  6. アカウントの特権管理者のチェックボックスをオンにしてアラートの送信先にします。
  7. 他のユーザーにもアラートを送信する場合は、受信者のメールアドレスを入力します。
  8. [保存] をクリックします。

カスタム アラートを編集する方法については、管理者へのメールアラートをご覧ください。

この記事は役に立ちましたか?
改善できる点がありましたらお聞かせください。