Microsoft Entra シナリオのサインイン診断

  • [アーティクル]

Microsoft Entra ID のサインイン診断を使用して、サインイン試行中に何が起きたかを分析すると、Microsoft のサポートを求める必要なく問題を解決するためのレコメンデーションを確認できます。

この記事では、このツールを使用するときに特定および解決できるシナリオの種類について概要を説明します。

サインイン診断にアクセスする方法

サインイン診断ツールにアクセスするには、3 つの方法があります。つまり、[問題の診断と解決] 領域を使うか、Microsoft Entra の [サインイン ログ] を使うか、新しいサポート要求を作成するときです。 詳細については、サインイン診断の使用方法に関する記事を参照してください。

条件付きアクセス

条件付きアクセス ポリシーを使用して、必要に応じて適切なアクセス制御を適用して組織のセキュリティを維持します。 条件付きアクセス ポリシーを使用してリソースへのアクセスを許可またはブロックできるため、これらは多くの場合、サインイン診断に表示されます。

多要素認証

サインイン診断ツールを使用してトラブルシューティングできる MFA 関連のイベントがいくつかあります。

その他の要件からの MFA

サインイン診断結果に条件付きアクセス以外の要件からの MFA が表示された場合は、ユーザーごとに MFA が有効になっている可能性があります。 ユーザーごとの MFA から条件付きアクセスに変換することをお勧めします。 サインイン診断では、MFA の中断のソースと、対話の結果に関する詳細が提供されます。

MFA の "proofup"

もう 1 つの一般的なシナリオは、MFA によってサインイン試行が中断されたときに発生します。 サインイン診断を実行すると、診断結果に "proofup" に関する情報が提供されます。 このエラーは、ユーザーが初めて MFA を設定してセットアップを完了しなかったか、構成が事前に設定されていない場合に表示されます。

Screenshot of the diagnostic results for MFA proofup.

資格情報の一致および不一致

ユーザーが間違った資格情報を入力する場合があります。 サインイン診断ツールは、ヒューマン エラーとその他の問題を区別するのに役立ちます。

サインインに成功

場合によっては、条件付きアクセスまたは MFA によって、サインイン イベントが中断 "されない" が、"される必要がある" かどうかを知りたい場合もあります。 サインイン診断ツールでは、中断される必要があるが、中断されないサインイン イベントに関する詳細が提供されます。

アカウントがロック済み

もう 1 つの一般的なシナリオは、ユーザーが誤った資格情報でサインインを何度も試みる場合です。 このエラーは、誤った資格情報でパスワードベースのサインインを何度も試行した場合に発生します。 この診断結果では、試行の発信元と、正当なユーザーのサインイン試行であるかどうかを管理者が判断するための情報を表示します。 サインイン診断を実行すると、アプリ、試行回数、使用されたデバイス、オペレーティング システム、IP アドレスに関する詳細が提供されます。 詳細については、「Microsoft Entra スマート ロックアウト」を参照してください。

無効なユーザー名またはパスワード

ユーザーが無効なユーザー名またはパスワードを使用してサインインしようとした場合、サインイン診断は、管理者が問題の原因を特定するのに役立ちます。 原因として、ユーザーが正しくない資格情報を入力している場合や、クライアントやアプリケーションが古いパスワードをキャッシュして再送信している場合が考えられます。 サインイン診断では、アプリ、試行回数、使用されたデバイス、オペレーティング システム、IP アドレスに関する詳細が提供されます。

エンタープライズ アプリ

エンタープライズ アプリケーションでは、次の 2 つの点で問題が発生する可能性があります。

  • ID プロバイダー (Microsoft Entra ID) アプリケーションの構成
  • サービス プロバイダー (アプリケーション サービス、SaaS アプリケーションとも呼ばれます) の構成

これらの問題の診断では、解決のために問題のどの点に目を向け、どう対処するのかを説明します。

エンタープライズ アプリ サービス プロバイダー

ユーザーがアプリケーションにサインインしようとしたときにエラーが発生した場合、サインインは、サインイン フローのサービス プロバイダー (アプリケーション) 側に問題があるため失敗しました。 このサインイン診断によって検出された問題は、通常、構成を変更するか、アプリケーション サービスの問題を修正して解決する必要があります。 このシナリオを解決するには、他のサービスにサインインし、診断ガイダンスに従って構成を一部変更する必要があります。

エンタープライズ アプリの構成

サインインは、アプリケーションの Microsoft Entra ID 側のアプリケーション構成に問題があるため失敗することがあります。 これらの状況で、解決するには、アプリケーションのエンタープライズ アプリケーション ページでアプリケーションの構成を確認および更新する必要があります。

その他のシナリオ

サインイン診断も、さまざまなシナリオで使用できます。

セキュリティの既定値

サインイン イベントは、セキュリティの既定値の設定により中断される可能性があります。 セキュリティの既定値群により、組織にベスト プラクティスのセキュリティが適用されます。 1 つのベスト プラクティスは、パスワード スプレー、リプレイ攻撃、フィッシングの試行が成功しないように MFA を構成および使用することです。

詳細については、「セキュリティの既定値群とは」を参照してください。

エラー コードの分析情報

サインイン診断でイベントにコンテキスト分析が含まれていない場合、更新されたエラー コードの説明と関連する内容が表示されることがあります。 エラー コードの分析情報には、シナリオに関する詳しいテキスト、問題の修復方法、問題に関するコンテンツなどが含まれています。

レガシ認証

このシナリオには、クライアントがレガシ (または Basic) 認証を使用しようとしたためにブロックまたは中断されたサインイン イベントが含まれます。

セキュリティのベスト プラクティスとして、レガシ認証によるサインインは避けることをお勧めします。 POP、SMTP、IMAP、MAPI などのレガシ認証プロトコルでは、MFA を適用することができず、敵対者による組織の攻撃において恰好のエントリ ポイントになります。

詳細については、「条件付きアクセスを使用して Microsoft Entra ID へのレガシ認証をブロックする方法」を参照してください。

条件付きアクセスが原因でブロックされた B2B サインイン

この診断シナリオでは、別の組織からのユーザーが原因でブロックまたは中断されたサインインを検出します。 たとえば、B2B サインインの場合、条件付きアクセス ポリシーでは、クライアントのデバイスがリソース テナントに参加している必要があります。

詳細については、「B2B コラボレーション ユーザーの条件付きアクセス」を参照してください。

リスク ポリシーによるブロック

このシナリオでは、Identity Protection ポリシーによって、サインイン試行が危険と識別された結果、サインインの試行がブロックされます。

詳細については、リスク ポリシーを構成して有効にする方法に関するページを参照してください。

パススルー認証

パススルー認証はオンプレミスとクラウド認証テクノロジを統合したものであるため、問題がある場所を特定するのが困難な場合があります。 この診断は、これらのシナリオを簡単に診断して解決できるようにすることを目的としています。

この診断シナリオでは、使用されている認証方法がパススルー認証 (PTA) であり、PTA 固有のエラーがある場合に、ユーザー固有のサインインの問題を識別します。 他の問題が原因のエラー (PTA 認証が使用されている場合でも) も正しく診断されます。

診断結果には、エラーとユーザーのサインインに関するコンテキスト情報が表示されます。 結果には、サインインに失敗したその他の理由や、管理者が問題を解決するために実行できる推奨アクションが表示される可能性があります。 詳細については、「Microsoft Entra Connect: パススルー認証のトラブルシューティング」を参照してください。

シームレス シングル サインオン

シームレスなシングル サインオンでは、Kerberos 認証とクラウド認証が統合されます。 このシナリオには 2 つの認証プロトコルが関与するため、サインインの問題が発生したときに、障害点の把握が困難な場合があります。 この診断は、これらのシナリオを簡単に診断して解決できるようにすることを目的としています。

この診断シナリオでは、サインイン エラーのコンテキストと特定のエラーの原因を調べます。 診断結果には、サインイン試行に関するコンテキスト情報と、管理者が実行できる推奨アクションが含まれる可能性があります。 詳細については、「Microsoft Entra シームレス シングル サインオンのトラブルシューティング」を参照してください。