Search-UnifiedAuditLog に新プロパティ MoreRecordsAvailable が追加——Microsoft Purview 監査の大規模ログ取得スクリプトに影響あり

Microsoft は 2026年5月14日のメッセージセンター通知（MC1310672）で、Search-UnifiedAuditLog PowerShell コマンドレットの動作変更を発表した。新プロパティ AuditSearchRequestMetadata.moreRecordsAvailable が追加され、最大50,000件の監査レコードを取得する大規模検索がより正確に制御できるようになる。世界商用テナントへの展開は2026年5月末を目標に進行中で、政府クラウドは2026年6月に対応予定だ。

何が変わったのか

ResultCount プロパティの仕様変更（既存スクリプトへの影響大）

従来、ResultCount プロパティは「その検索で返されるレコードの総数（見込み件数）」を示していた。今回の変更後は 「取得済みレコードの累積数（ランニングカウント）」 に意味が変わった。

ResultCount を使って「全レコードを取り終えたかどうか」を判定しているスクリプトは、今回の変更で動作が変わる。Microsoft Sentinel や Splunk への定期エクスポートなど、本番運用スクリプトを持つ環境では早急な確認が必要だ。

新プロパティ: moreRecordsAvailable

代わりに使うべき新プロパティが AuditSearchRequestMetadata.moreRecordsAvailable だ。

• false → 条件に一致する追加レコードなし（取得完了）
• true → まだ取得すべきレコードが残っている

シンプルなブール値で終了判定ができるため、ループ制御がより明示的かつ堅牢になる。

実装例：moreRecordsAvailable を使った大規模検索

出典: この記事は Search-UnifiedAuditLog Updated to Make Large Searches Easier to Manage の内容をもとに、筆者の見解を加えて独自に執筆したものです。