Microsoft Entra 監査ログとは

  • [アーティクル]

Microsoft Entra アクティビティ ログには監査ログが含まれます。これは、Microsoft Entra ID でログに記録されたすべてのイベントに関する包括的なレポートです。 アプリケーション、グループ、ユーザー、ライセンスへの変更はすべて、Microsoft Entra 監査ログにキャプチャされます。

テナントの正常性を監視するには、他にも次の 2 つのアクティビティ ログを使用できます。

  • サインイン - サインインとユーザーのリソース使用状況に関する情報。
  • プロビジョニング - ServiceNow でのグループの作成や、Workday からインポートされたユーザーなど、プロビジョニング サービスによって実行されるアクティビティ。

この記事では、監査ログの概要 (アクセスするために必要なものや、提供される情報など) について説明します。

ライセンスとロールの要件

必要なロールとライセンスは、レポートによって異なる場合があります。 Microsoft Graph の監視データと正常性データにアクセスするには、個別のアクセス許可が必要です。 ゼロ トラスト ガイダンスに沿って、最小限の特権アクセス権を持つロールを使用することをお勧めします。

ログ/レポート ロール ライセンス
Audit レポート閲覧者
セキュリティ閲覧者
セキュリティ管理者
グローバル閲覧者
 Microsoft Entra ID のすべてのエディション
サインイン レポート閲覧者
セキュリティ閲覧者
セキュリティ管理者
グローバル閲覧者
 Microsoft Entra ID のすべてのエディション
プロビジョニング レポート閲覧者
セキュリティ閲覧者
セキュリティ管理者
グローバル閲覧者
セキュリティ オペレーター
アプリケーション管理者
クラウド アプリ管理者
 Microsoft Entra ID P1 または P2
カスタム セキュリティ属性の監査ログ* 属性ログ管理者
属性ログ閲覧者		 Microsoft Entra ID のすべてのエディション
使用状況と分析情報 レポート閲覧者
セキュリティ閲覧者
セキュリティ管理者		 Microsoft Entra ID P1 または P2
Identity Protection** セキュリティ管理者
セキュリティ オペレーター
Security Reader
グローバル閲覧者
 Microsoft Entra ID Free
Microsoft 365 アプリ
Microsoft Entra ID P1 または P2
Microsoft Graph アクティビティ ログ セキュリティ管理者
対応するログ保存先のデータにアクセスするためのアクセス許可		 Microsoft Entra ID P1 または P2

*監査ログでカスタム セキュリティ属性を表示するか、カスタム セキュリティ属性の診断設定を作成するには、いずれかの属性ログのロールが必要です。 また、標準の監査ログを表示するための適切なロールも必要です。

**Identity Protection のアクセス レベルと機能は、ロールとライセンスによって異なります。 詳細については、「Identity Protection ライセンス要件」を参照してください。

監査ログでできること

Microsoft Entra ID の監査ログを使用して、コンプライアンスに必要となることが多い、システム アクティビティ レコードにアクセスできます。 ユーザー、グループ、アプリケーションに関連する質問の回答を確認できます。

Users:

  • ユーザーに最近適用された変更の種類は何ですか?
  • 何人のユーザーが変更されたか。
  • 何個のパスワードが変更されたか。

[グループ]:

  • 最近追加されたグループは何ですか?
  • グループの所有者は変更されたか。
  • グループまたはユーザーに対するライセンスとは何ですか?

アプリケーション:

  • 更新または削除されたアプリケーションは何ですか?
  • アプリケーションのサービス プリンシパルは変更されたか。
  • アプリケーションの名前は変更されたか。

カスタム セキュリティ属性:

  • カスタム セキュリティ属性の定義または割り当てにどのような変更が行われましたか?
  • 属性セットに対してどのような更新が行われましたか?
  • どのカスタム属性値がユーザーに割り当てられましたか?

Note

監査ログのエントリはシステムによって生成されるため、変更または削除することはできません。

ログに表示される情報

監査ログは既定で [ディレクトリ] タブに設定され、次の情報が表示されます。

  • 発生した日時
  • 発生をログに記録したサービス
  • アクティビティの名前とカテゴリ ("")
  • アクティビティの状態 (成功または失敗)

[カスタム セキュリティ] の 2 番目のタブには、カスタム セキュリティ属性の監査ログが表示されます。 このタブでデータを表示するには、属性ログ管理者または属性ログ閲覧者のロールが必要です。 この監査ログには、カスタム セキュリティ属性に関連するすべてのアクティビティが表示されます。 詳細については、カスタム セキュリティ属性とはに関するページをご覧ください。

Screenshot of the audit logs, with the Directory and Custom Security tabs highlighted.

Microsoft 365 のアクティビティ ログ

Microsoft 365 のアクティビティ ログは、Microsoft 365 管理センターから確認できます。 Microsoft 365 のアクティビティ ログと Microsoft Entra のアクティビティ ログでは多くのディレクトリ リソースが共有されていますが、Microsoft 365 のアクティビティ ログがすべて表示されるのは、Microsoft 365 管理センターのみです。

また、Office 365 Management API を使用すると、Microsoft 365 のアクティビティ ログにプログラムでアクセスすることもできます。

ほとんどのスタンドアロンまたはバンドルされた Microsoft 365 サブスクリプションには、Microsoft 365 データセンターの境界内の一部のサブシステムへのバックエンド依存関係があります。 この依存関係には、ディレクトリの同期を維持するため、および基本的に Exchange Online のサブスクリプション オプトインで手間のかからないオンボーディングを有効にできるようにするために情報の書き戻しが必要です。 これらの書き戻しの場合、監査ログ エントリには、"Microsoft Substrate Management" によって実行されたアクションが表示されます。 これらの監査ログ エントリでは、Exchange Online によって Microsoft Entra ID に対して実行された作成、更新、削除の各操作を参照します。 エントリは情報を提供するものであり、アクションは必要ありません。