Azure Active Directory ポータルの監査アクティビティ レポートAudit activity reports in the Azure Active Directory portal

環境の動作状況を判断するために必要な情報は、Azure Active Directory (Azure AD) レポートで入手できます。With Azure Active Directory (Azure AD) reports, you can get the information you need to determine how your environment is doing..

このレポート アーキテクチャは、次のコンポーネントで構成されます。The reporting architecture consists of the following components:

  • アクティビティActivity
    • サインイン - サインイン レポートは、マネージド アプリケーションの使用状況とユーザー サインイン アクティビティに関する情報を提供します。Sign-ins – The sign-ins report provides information about the usage of managed applications and user sign-in activities.
    • 監査ログ - Azure AD 内のさまざまな機能によって行われたすべての変更についてログによる追跡可能性を提供します。Audit logs - Provides traceability through logs for all changes done by various features within Azure AD. 監査ログの例として、ユーザー、アプリ、グループ、ロール、ポリシーの追加や削除など、Azure AD 内のあらゆるリソースに加えられた変更があります。Examples of audit logs include changes made to any resources within Azure AD like adding or removing users, apps, groups, roles and policies.
  • セキュリティSecurity
    • リスクの高いサインイン - リスクの高いサインインは、ユーザー アカウントの正当な所有者ではない人によって行われた可能性があるサインイン試行の指標です。Risky sign-ins - A risky sign-in is an indicator for a sign-in attempt that might have been performed by someone who is not the legitimate owner of a user account.
    • リスクのフラグ付きユーザー - リスクの高いユーザーは、侵害された可能性があるユーザー アカウントの指標です。Users flagged for risk - A risky user is an indicator for a user account that might have been compromised.

この記事では、監査レポートの概要について説明します。This article gives you an overview of the audit report.

誰がデータにアクセスできますか。Who can access the data?

  • セキュリティ管理者セキュリティ閲覧者レポート閲覧者グローバル管理者のいずれかのロールであるユーザーUsers in the Security Administrator, Security Reader, Report Reader or Global Administrator roles
  • さらに、すべてのユーザー (管理者以外) は、独自の監査アクティビティを表示できますIn addition, all users (non-administrators) can see their own audit activities

監査ログAudit logs

Azure AD の監査ログは、コンプライアンスのためにシステム アクティビティのレコードを提供します。The Azure AD audit logs provide records of system activities for compliance. 監査レポートにアクセスするには、Azure Active Directory[アクティビティ] セクションで [監査ログ] を選択します。To access the audit report, select Audit logs in the Activity section of Azure Active Directory. 監査ログでは最大 1 時間の待ち時間が生じる可能性があることに注意してください。そのため、タスクが完了した後、監査アクティビティ データがポータルに表示されるまでにそれだけ長い時間がかかる場合があります。Note that audit logs may have a latency of upto an hour, so it may take that long for audit activity data to show up in the portal after you have completed the task.

監査ログには、次のものを示す既定のリスト ビューがあります。An audit log has a default list view that shows:

  • 発生の日付と時刻the date and time of the occurrence
  • 発生をログに記録したサービスthe service that logged the occurrence
  • アクティビティの名前とカテゴリ (何かを指す)the category and name of the activity (what)
  • アクティビティの状況 (成功または失敗)the status of the activity (success or failure)
  • ターゲットthe target
  • アクティビティのイニシエーターまたはアクター ("だれが" を指す)the initiator / actor (who) of an activity

監査ログAudit logs

リスト ビューをカスタマイズするには、ツール バーの [列] をクリックします。You can customize the list view by clicking Columns in the toolbar.

監査ログAudit logs

これで、追加のフィールドの表示または既に表示されているフィールドの削除ができます。This enables you to display additional fields or remove fields that are already displayed.

監査ログAudit logs

詳細な情報を取得するには、リスト ビューで項目を選択します。Select an item in the list view to get more detailed information.

監査ログAudit logs

監査ログのフィルター処理Filtering audit logs

次のフィールドで監査データをフィルター処理できます。You can filter the audit data on the following fields:

  • ServiceService
  • CategoryCategory
  • アクティビティActivity
  • StatusStatus
  • ターゲットTarget
  • 開始者 (アクター)Initiated by (Actor)
  • 期間Date range

監査ログAudit logs

[サービス] フィルターでは、次のサービスのドロップダウン リストから選択できます。The Service filter allows you to select from a drop-down list of the following services:

  • AllAll
  • アクセス レビューAccess Reviews
  • アカウント プロビジョニングAccount Provisioning
  • アプリケーション SSOApplication SSO
  • 認証方法Authentication Methods
  • B2CB2C
  • 条件付きアクセスConditional Access
  • Core Directory (コア ディレクトリ)Core Directory
  • エンタイトルメント管理Entitlement Management
  • Identity ProtectionIdentity Protection
  • 招待されたユーザーInvited Users
  • PIMPIM
  • セルフサービスによるグループ管理Self-service Group Management
  • Self-service Password Management (セルフサービスによるパスワード管理)Self-service Password Management
  • 使用条件Terms of Use

[カテゴリ] フィルターでは、次のフィルターのいずれかを選択できます。The Category filter enables you to select one of the following filters:

  • AllAll
  • AdministrativeUnitAdministrativeUnit
  • ApplicationManagementApplicationManagement
  • AuthenticationAuthentication
  • AuthorizationAuthorization
  • ContactContact
  • DeviceDevice
  • DeviceConfigurationDeviceConfiguration
  • DirectoryManagementDirectoryManagement
  • EntitlementManagementEntitlementManagement
  • GroupManagementGroupManagement
  • その他Other
  • ポリシーPolicy
  • ResourceManagementResourceManagement
  • RoleManagementRoleManagement
  • GroupManagementUserManagement

[アクティビティ] フィルターは、カテゴリとアクティビティ リソースの種類の選択に基づいたものです。The Activity filter is based on the category and activity resource type selection you make. 参照する特定のアクティビティを選択することも、すべてを選択することもできます。You can select a specific activity you want to see or choose all.

Graph API を使用して、すべての監査アクティビティの一覧を取得できます。https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=betaYou can get the list of all Audit Activities using the Graph API: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

[状態] フィルターでは、監査操作の状態に基づいてフィルターに掛けることができます。The Status filter allows you to filter based on the status of an audit operation. 状態は、次のいずれかになります。The status can be one of the following:

  • AllAll
  • SuccessSuccess
  • 失敗Failure

[ターゲット] フィルターでは、名前またはユーザー プリンシパル名 (UPN) で特定のターゲットを検索することができます。The Target filter allows you to search for a particular target by name or user principal name (UPN). ターゲット名と UPN では大文字小文字を区別します。The target name and UPN are case-sensitive.

[開始者] フィルターでは、開始者の名前またはユニバーサル プリンシパル名 (UPN) を定義できます。The Initiated by filter enables you to define an actor's name or a universal principal name (UPN). 名前と UPN では大文字小文字を区別します。The name and UPN are case-sensitive.

[期間] フィルターでは、返されるデータの期間を定義できます。The Date range filter enables to you to define a timeframe for the returned data.
次のいずれかの値になります。Possible values are:

  • 1 か月1 month
  • 7 日7 days
  • 24 時間24 hours
  • カスタムCustom

カスタムの期間を選択すると、開始時刻と終了時刻を構成できます。When you select a custom timeframe, you can configure a start time and an end time.

また、 [ダウンロード] ボタンを選択して、フィルターされたデータ (最大 250,000 個のレコード) をダウンロードすることもできます。You can also choose to download the filtered data, up to 250,000 records, by selecting the Download button. CSV 形式または JSON 形式でログをダウンロードできます。You can download the logs in either CSV or JSON format. ダウンロードできるレコードの数は、Azure Active Directory レポートの保持ポリシーによって制限されます。The number of records you can download is constrained by the Azure Active Directory report retention policies.

監査ログAudit logs

監査ログのショートカットAudit logs shortcuts

[Azure Active Directory] の他にも、Azure Portal には監査データに対するエントリ ポイントが 2 つ用意されています。In addition to Azure Active Directory, the Azure portal provides you with two additional entry points to audit data:

  • ユーザーとグループUsers and groups
  • エンタープライズ アプリケーションEnterprise applications

ユーザーとグループの監査ログUsers and groups audit logs

ユーザーとグループ ベースの監査レポートを使用すると、次のような疑問に対する答えを得ることができます。With user and group-based audit reports, you can get answers to questions such as:

  • どの種類の更新プログラムがユーザーによって適用されているか。What types of updates have been applied the users?

  • 何人のユーザーが変更されたか。How many users were changed?

  • 何個のパスワードが変更されたか。How many passwords were changed?

  • 管理者がディレクトリで何を行ったか。What has an administrator done in a directory?

  • 追加されたのはどのグループか。What are the groups that have been added?

  • メンバーシップが変更されたグループはあるか。Are there groups with membership changes?

  • グループの所有者は変更されたか。Have the owners of group been changed?

  • グループまたはユーザーにどのライセンスが割り当てられているか。What licenses have been assigned to a group or a user?

ユーザーに関連する監査データだけを確認する場合は、 [ユーザー] タブの [アクティビティ] セクションの [監査ログ] に、フィルター処理されたビューがあります。このエントリ ポイントには、事前選択カテゴリとして UserManagement があります。If you want to review only auditing data that is related to users, you can find a filtered view under Audit logs in the Activity section of the Users tab. This entry point has UserManagement as preselected category.

監査ログAudit logs

グループに関連する監査データだけを確認する場合は、 [グループ] タブの [アクティビティ] セクションの [監査ログ] に、フィルター処理されたビューがあります。このエントリ ポイントには、事前選択カテゴリとして GroupManagement があります。If you want to review only auditing data that is related to groups, you can find a filtered view under Audit logs in the Activity section of the Groups tab. This entry point has GroupManagement as preselected category.

監査ログAudit logs

エンタープライズ アプリケーションの監査ログEnterprise applications audit logs

アプリケーション ベースの監査レポートを使用すると、次のような疑問に対する答えを得ることができます。With application-based audit reports, you can get answers to questions such as:

  • どのアプリケーションが追加または更新されたか。What applications have been added or updated?
  • どのアプリケーションが削除されたか。What applications have been removed?
  • アプリケーションのサービス プリンシパルは変更されたか。Has a service principal for an application changed?
  • アプリケーションの名前は変更されたか。Have the names of applications been changed?
  • アプリケーションに同意したのはだれか。Who gave consent to an application?

お使いのアプリケーションに関連する監査データを確認する場合は、 [エンタープライズ アプリケーション] ブレードの [アクティビティ] セクションの [監査ログ] に、フィルター処理されたビューがあります。If you want to review audit data related to your applications, you can find a filtered view under Audit logs in the Activity section of the Enterprise applications blade. このエントリ ポイントには、 [アクティビティの種類] として [エンタープライズ アプリケーション] があらかじめ選択されています。This entry point has Enterprise applications preselected as the Application Type.

監査ログAudit logs

Office 365 のアクティビティ ログOffice 365 activity logs

Office 365 のアクティビティ ログは、Microsoft 365 管理センターから確認できます。You can view Office 365 activity logs from the Microsoft 365 admin center. Office 365 のアクティビティ ログと Azure AD のアクティビティ ログでは多くのディレクトリ リソースが共有されていますが、Office 365 のアクティビティ ログがすべて表示されるのは、Microsoft 365 管理センターのみです。Even though Office 365 activity and Azure AD activity logs share a lot of the directory resources, only the Microsoft 365 admin center provides a full view of the Office 365 activity logs.

Office 365 Management API を使用すると、Office 365 のアクティビティ ログにプログラムでアクセスすることもできます。You can also access the Office 365 activity logs programmatically by using the Office 365 Management APIs.

次の手順Next steps