Office 365 メッセージ追跡 REST API プロトコルの構成オプション

IBM® Security 用のOffice 365 Message Trace REST APIプロトコル( QRadar® )は、Microsoft Message Trace REST APIからメッセージトレースログを収集します。 このアクティブなアウトバウンド・プロトコルは、Office 365 E メール・ログを収集するために使用されます。

重要: 2023 年 1 月 1 日以降、Microsoft は基本認証をサポートしなくなります。 メッセージ・トレース・イベントの受信を続行するには、最新の認証を使用する必要があります。 最新の認証では、 OAuth 2.0 を使用して、イベントへのアクセスの認証と承認を行っています。 基本認証の廃止に関する詳細については、「 Exchange Online における基本認証の廃止 – 2022年9月更新 」 ( https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-deprecation-in-exchange-online-september/ba-p/3609437 ) を参照してください。
重要: マイクロソフトは、Microsoft Exchange Online における従来のメッセージトレースレポート Web サービスの廃止を発表しました。廃止は 2026 年 3 月 18 日から開始されます。 この変更との互換性を維持するため、のメッセージトレース統合機能が更新され、新しい IBM QRadar メッセージトレースAPIを使用するようになりました。 メッセージトレースイベントを引き続き受信するには、プロトコルを最新バージョンに更新する必要があります。 非推奨になる前にアップグレードを行わないと、メッセージトレースログが収集されなくなる可能性があります。 詳細については、 「Exchange Online の新しいメッセージトレースの一般提供(GA)開始のお知らせ 」( https://techcommunity.microsoft.com/blog/exchange/announcing-general-availability-ga-of-the-new-message-trace-in-exchange-online/4420243 )をご覧ください。
GCC、GCC-High、 DoD,、およびSovereign Cloudのお客様への特例:
新しいメッセージトレースAPIは、現在、ワールドワイド(WW)環境でのみ利用可能です。 マイクロソフトの発表によると、 「このスケジュールは当社のWW環境にのみ適用されるものであり、GCC、GCC-High、DOD、その他の主権クラウドには影響しませんのでご注意ください。」 「GCC、GCC-High、 DoD,、およびその他のソブリンクラウドのスケジュールについては、 CY25H2 で公開されます。」
GCC、GCC-High、 DoD,、またはソブリンクラウドのお客様は、引き続き以下のRPMバージョンを使用する必要があります:
  • プロトコル: 7.5.0-QRADAR-PROTOCOL-Office365MessageTraceRESTAPI-7.5-20250213060632.noarch.rpm
  • DSM: 7.5.0-QRADAR-DSM-MicrosoftOffice365MessageTrace-7.5-20260113065949.noarch.rpm

Microsoftがお客様のクラウド環境向けの MessageTraceV2 のサポートを正式にリリースするまでは、新しいバージョンへのアップグレードを行わないでください。

自動更新を無効にするには、 「自動更新」 に移動し、 「更新プログラムの確認」 を選択してください。 新しい MessageTrace のRPMパッケージが表示された場合は、それらを選択し、その更新を非表示にするオプションを選んでください。

基本認証は削除され、利用できなくなったため、デフォルトではモダン認証が選択されています。 モダン認証を使用するには、 Microsoft Entra 管理センター ( https://entra.microsoft.com/ ) でアプリケーションを登録する必要があります。 このポータルでは、Microsoft Message Trace API ログソースを作成するために必要な重要な値が提供されています。

  1. Microsoft ID プラットフォームにアプリを登録します。 詳細な手順については、 「Microsoft Identity Platform へのアプリケーションの登録 ( https://learn.microsoft.com/en-us/graph/auth-register-app-v2 )」を参照してください。
  2. 「クライアント ID」「テナント ID」、および 「クライアント秘密鍵」 の値を取得します。
    1. アプリケーションの 「概要」 ページで、 「クライアント ID」「テナント ID」 の値を見つけてコピーします。 これらの値は、 Microsoft Office 365 メッセージ追跡ログ・ソースを作成するときに使用します。 詳細については、 「サインイン用のテナント ID およびアプリ ID の取得 ( https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal#sign-in-to-the-application )」を参照してください。
    2. アプリケーションの 「証明書とシークレット (Certificates and Secrets)」 ページで、 「新規シークレット (New Secret)」 をクリックしてクライアント・シークレットを作成し、そのクライアント・シークレットをテキスト・エディターにコピーします。 この値は、 Microsoft Office 365 メッセージ追跡ログ・ソースを作成するときに 「クライアント秘密鍵 (Client Secret)」 パラメーターに使用します。 詳細については、 「新しいクライアントシークレットの作成 」( https://learn.microsoft.com/en-us/graph/auth-register-app-v2#option-2-add-a-client-secret )を参照してください。
  3. Microsoft Entra ID で、アプリケーションに必要なアクセス許可を付与してください。 メッセージトレースAPIイベントに必要な権限は 「 ExchangeMessageTrace 」 です。 Read.All。 詳細については、 「Microsoft Graph のアクセス許可の設定 ( https://learn.microsoft.com/en-us/exchange/monitoring/trace-an-email-message/graph-api-message-trace#configure-microsoft-graph-permissions )」を参照してください。
  4. テナントにサービスプリンシパルをプロビジョニングします。 詳細については、 「サービスプリンシパルのプロビジョニング ( https://learn.microsoft.com/en-us/exchange/monitoring/trace-an-email-message/graph-api-message-trace#provision-a-service-principal )」を参照してください。
    注: サービスプリンシパルを作成した後、プロビジョニングが完了するまで数時間かかる場合があります。 この期間中、GraphベースのメッセージトレースAPIへのリクエストに対して、401(Unauthorized)エラーが返される場合があります。
    Service principal-less authentication failed: The service principal for App ID 8bd644d1-64a1-4d4b-ae52-2e0cbf64e373 was not found.
    Please create a service principal for this app in your tenant. Provisioning may take several hours to complete.
重要: このプロトコルでは、最大30日分の履歴データの取得に対応しています。 履歴データの取得期間は、現在のタイムスタンプから遡って計算され、設定されたイベント遅延パラメータによって調整されます。 具体的には、このプロトコルは、 {current_timestamp - event_delay} 指定された時点から過去30日分のメッセージトレースデータを取得します。
Microsoft Message Trace REST API からイベントを収集するには、以下のパラメータに特定の値を指定する必要があります:
表 1. Office 365 メッセージ追跡 REST API プロトコルのログ・ソース・パラメーター
パラメーター
ログ・ソース ID

ログ・ソースの固有名。

名前にスペースを含めることはできません。また、Office 365 メッセージ追跡 REST API プロトコルで構成されているこのタイプのすべてのログ・ソースの中で固有である必要があります。

認証方式 最新の認証では、 OAuth 2.0 を使用して、リソースへのアクセスの認証と承認を行います。 基本認証では、ユーザー名とパスワードを使用します。 基本認証が廃止されたため、Microsoft Message Trace API のイベントを取得するには、これが唯一の利用可能な方法です。 この方法はデフォルトで選択されています。
重要: 2023 年 1 月 1 日以降、Microsoft は基本認証をサポートしなくなります。 メッセージ・トレース・イベントの受信を続行するには、 Modern 認証を使用する必要があります。
クライアント ID

Microsoft Azure のアプリケーション設定にある Client ID の値 Active Directory.

詳細については、 「アプリケーションへのサインイン 」( https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal#sign-in-to-the-application )を参照してください。

クライアント秘密鍵

Microsoft Azure ポータルでアプリケーション用に作成したクライアントシークレット。

詳細については、 「新しいクライアントシークレットの作成 」( https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal#option-3-create-a-new-client-secret )を参照してください。

テナント ID (Tenant ID)

Microsoft Azure Active Directory での認証に使用されるテナント ID の値。

詳細については、 「アプリケーションへのサインイン 」( https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal#sign-in-to-the-application )を参照してください。

イベント遅延 (Event Delay)

データ収集の遅延秒数。

Microsoft Message Trace のログは、遅延配信システムに基づいて動作します。 データが欠落しないようにするために、ログは遅延して収集されます。 デフォルトの遅延は 900 秒 (15 分) で、最低で 0 秒に設定できます。

プロキシーの使用 (Use Proxy) プロキシーを使用して API にアクセスする場合は、このチェック・ボックスを選択します。

「プロキシー・サーバー」「プロキシー・ポート」「プロキシー・ユーザー名」「プロキシー・パスワード」の各フィールドを構成します。 プロキシーが認証を必要としない場合、「プロキシー・ユーザー名」フィールドと「プロキシー・パスワード」フィールドはブランクのままでかまいません。

拡張オプションを有効にする Microsoft API Login Endpoint および URLのデフォルト値を変更するには、このオプションを選択します。 このパラメーターを有効にしない場合は、デフォルト値が使用されます。
Microsoft API ログイン・エンドポイント

Microsoft API ログイン・エンドポイントを指定します。

OAuth および 2.0https://login.microsoftonline.com 認証のデフォルト値は です。

「詳細オプションを有効にする」 パラメーターを有効にしない場合は、デフォルト値が使用されます。

Microsoft Graph API Management URL

この URL を使用すると、トークンがMicrosoft Graph APIにアクセスできるようになります。

Message Trace API にアクセスする際の https://graph.microsoft.com デフォルト値は です。

「詳細オプションを有効にする」 パラメーターを有効にしない場合は、デフォルト値が使用されます。

繰り返し (Recurrence)

Microsoft Message Trace REST API に対して、新しいイベントの有無を確認するログ送信元クエリの間隔。

この時間間隔は、時間数 (H)、分数 (M)、または日数 (D) にすることができます。 デフォルトは 5 分です。

EPS スロットル

QRadar が取り込む 1 秒当たりのイベントの最大数。

データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。

デフォルトは 5000 です。

メッセージトレースレポートの閲覧に関する条件付きアクセスと権限

「」というエラーが表示された場合は、Status Code: 401 | Status Reason: UnauthorizedMicrosoft Graph API を通じてメッセージトレースデータにアクセスするには、以下の構成要件を確認してください:
  • アプリケーションが Microsoft Entra ID に登録されていることを確認してください。
  • アプリケーションがアプリケーション認証を使用するように設定されていることを確認してください( OAuth 2.0 )。
  • 登録されたアプリケーションに対して、Exchange Online 用のサービスプリンシパル ( https://learn.microsoft.com/en-us/exchange/monitoring/trace-an-email-message/graph-api-message-trace#provision-a-service-principal )がプロビジョニングされていることを確認してください。
    注: サービスプリンシパルを作成した後、プロビジョニングが完了するまで数時間かかる場合があります。 この期間中、GraphベースのメッセージトレースAPIへのリクエストに対して、401(Unauthorized)エラーが返される場合があります。
    Service principal-less authentication failed: The service principal for App ID 8bd644d1-64a1-4d4b-ae52-2e0cbf64e373 was not found.
    Please create a service principal for this app in your tenant. Provisioning may take several hours to complete.
  • メッセージトレースデータにアクセスするために、アプリケーションに必要な Microsoft Graph のアクセス許可が設定されていることを確認してください。
  • 必要な権限について、管理者の承認が得られていることを確認してください。
必要なセットアップおよび設定の詳細については、 「GraphベースのメッセージトレースAPI導入ガイド 」( https://learn.microsoft.com/en-us/exchange/monitoring/trace-an-email-message/graph-API-message-trace )を参照してください。
さらに、アプリケーションまたはユーザーが Microsoft Graph にアクセスできることを確認するために、条件付きアクセスポリシーを確認してください:
  • 条件付きアクセスポリシーにおけるレガシーコンテンツのブロックおよびブロック解除の詳細については、 「条件付きアクセス: レガシー認証のブロック ( https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/howto-conditional-access-policy-block-legacy )」を参照してください。
  • ユーザーおよびグループ向けの条件付きアクセス ポリシーを作成する方法の詳細については、 「条件付きアクセス: ユーザーとグループ ( https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/concept-conditional-access-users-groups )」を参照してください。
  • クラウドアプリまたはアクションの条件付きアクセスポリシーの作成に関する詳細については、 「条件付きアクセス:クラウドアプリまたはアクション ( https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/concept-conditional-access-cloud-apps )」を参照してください。