Azure Active Directory ポータルのサインイン アクティビティ レポートSign-in activity reports in the Azure Active Directory portal

Azure Active Directory (Azure AD) のレポート アーキテクチャは、次のコンポーネントで構成されます。The reporting architecture in Azure Active Directory (Azure AD) consists of the following components:

  • アクティビティActivity
    • サインイン – マネージド アプリケーションの使用状況とユーザー サインイン アクティビティに関する情報。Sign-ins – Information about the usage of managed applications and user sign-in activities.
    • 監査ログ - 監査ログは、ユーザーとグループの管理や、マネージド アプリケーションとディレクトリのアクティビティに関するシステム アクティビティ情報を提供します。Audit logs - Audit logs provide system activity information about users and group management, managed applications and directory activities.
  • セキュリティSecurity
    • リスクの高いサインイン - リスクの高いサインインは、ユーザー アカウントの正当な所有者ではない人によって行われた可能性があるサインイン試行の指標です。Risky sign-ins - A risky sign-in is an indicator for a sign-in attempt that might have been performed by someone who is not the legitimate owner of a user account.
    • リスクのフラグ付きユーザー - リスクの高いユーザーは、侵害された可能性があるユーザー アカウントの指標です。Users flagged for risk - A risky user is an indicator for a user account that might have been compromised.

このトピックでは、サインイン レポートの概要を説明します。This topic gives you an overview of the sign-ins report.

前提条件Prerequisites

誰がデータにアクセスできますか。Who can access the data?

  • セキュリティ管理者、セキュリティ閲覧者、レポート閲覧者ロールのユーザーUsers in the Security Administrator, Security Reader and Report Reader roles
  • グローバル管理者Global Administrators
  • さらに、任意のユーザー (非管理者) が自分のサインインにアクセス可能In addition, any user (non-admins) can access their own sign-ins

サインイン アクティビティにアクセスするために必要な Azure AD ライセンスを教えてください。What Azure AD license do you need to access sign-in activity?

  • すべてのサインイン アクティビティ レポートを閲覧するためには、ご利用のテナントに、Azure AD Premium ライセンスが関連付けられている必要があります。Your tenant must have an Azure AD Premium license associated with it to see the all up sign-in activity report. Azure Active Directory エディションにアップグレードするには、「Azure Active Directory Premium の概要」を参照してください。See Getting started with Azure Active Directory Premium to upgrade your Azure Active Directory edition. アップグレード前の時点でアクティビティ データがまったく存在しなかった場合、Premium ライセンスへのアップグレード後、データがレポートに表示されるまでに数日かかります。Note that if you did not have any activities data prior to the upgrade, it will take a couple of days for the data to show up in the reports after you upgrade to a premium license.

サインイン レポートSign-ins report

ユーザーのサインイン レポートは、次の質問に対する回答を提示します。The user sign-ins report provides answers to the following questions:

  • ユーザーのサインインにどのようなパターンがあるか。What is the sign-in pattern of a user?
  • 1 週間で何人のユーザーがサインインを行ったか。How many users have signed in over a week?
  • これらのサインインはどのような状態か。What’s the status of these sign-ins?

Azure portal[Azure Active Directory] ブレードの [アクティビティ] セクションで [サインイン] を選択して、サインイン レポートにアクセスできます。You can access the sign-ins report by selecting Sign-ins in the Activity section of the Azure Active Directory blade in the Azure portal. サインイン レコードによっては、ポータルに表示されるまでに最大 2 時間かかるものもあることに注意してください。Note that it may take upto two hours for some sign-in records to show up in the portal.

サインイン アクティビティSign-in activity

重要

サインイン レポートには、対話型のサインイン、つまりユーザーがユーザー名とパスワードを使用して手動で行うサインインのみが表示されます。The sign-ins report only displays the interactive sign-ins, that is, sign-ins where a user manually signs in using their username and password. サービス間の認証のような対話型ではないサインインは、サインイン レポートに表示されません。Non-interactive sign-ins, such as service-to-service authentication, are not displayed in the sign-ins report.

サインイン ログには、次のものを示す既定のリスト ビューがあります。A sign-ins log has a default list view that shows:

  • サインインの日付The sign-in date
  • 関連するユーザーThe related user
  • ユーザーがサインインしたアプリケーションThe application the user has signed in to
  • サインインの状態The sign-in status
  • リスク検出の状態The status of the risk detection
  • 多要素認証 (MFA) の要件の状態The status of the multi-factor authentication (MFA) requirement

サインイン アクティビティSign-in activity

リスト ビューをカスタマイズするには、ツール バーの [列] をクリックします。You can customize the list view by clicking Columns in the toolbar.

サインイン アクティビティSign-in activity

これで、追加のフィールドの表示または既に表示されているフィールドの削除ができます。This enables you to display additional fields or remove fields that are already displayed.

サインイン アクティビティSign-in activity

詳細な情報を取得するには、リスト ビューで項目を選択します。Select an item in the list view to get more detailed information.

サインイン アクティビティSign-in activity

注意

すべてのサインイン レポートで、条件付きアクセス ポリシーのトラブルシューティングを実行できるようになりました。Customers can now troubleshoot Conditional Access policies through all sign-in reports. サインイン レコードの [条件付きアクセス] タブをクリックして、条件付きアクセスの状態を確認し、サインインに適用されたポリシーの詳細と各ポリシーの結果を調べることができます。By clicking on the Conditional Access tab for a sign-in record, customers can review the Conditional Access status and dive into the details of the policies that applied to the sign-in and the result for each policy. 詳細については、「Frequently asked questions about CA information in all sign-ins」 (すべてのサインインの CA 情報に関してよく寄せられる質問) を参照してください。For more information, see the Frequently asked questions about CA information in all sign-ins.

サインイン アクティビティのフィルター処理Filter sign-in activities

報告されるデータを有用なものだけに絞り込むために、データ フィールドを既定のフィルターとして使用してサインイン データをフィルター処理できます。To narrow down the reported data to a level that works for you, you can filter the sign-ins data using date field as default filter. さらに、Azure AD には、ユーザーが設定可能な追加のフィルターが各種用意されています。Additionally, Azure AD provides you with a broad range of additional filters you can set.

サインイン アクティビティSign-in activity

[ユーザー] フィルターでは、確認したいユーザーの名前またはそのユーザー プリンシパル名 (UPN) を指定できます。The User filter enables you to specify the name or the user principal name (UPN) of the user you care about.

[アプリケーション] フィルターでは、確認したいアプリケーションの名前を指定できます。The Application filter enables you to specify the name of the application you care about.

[サインイン状態] フィルターでは、次のいずれかを選択できます。The Sign-in status filter enables you to select:

  • AllAll
  • SuccessSuccess
  • 失敗Failure

条件付きアクセス フィルターでは、次に示すサインインの CA ポリシーの状態を選択できます。The Conditional Access filter enables you to select the CA policy status for the sign-in:

  • AllAll
  • 未適用Not Applied
  • SuccessSuccess
  • 失敗Failure

[日付] フィルターでは、返されるデータの期間を定義できます。The Date filter enables to you to define a timeframe for the returned data.
次のいずれかの値になります。Possible values are:

  • 1 か月1 month
  • 7 日7 days
  • 24 時間24 hours
  • カスタム期間Custom time interval

カスタムの期間を選択すると、開始時刻と終了時刻を構成できます。When you select a custom timeframe, you can configure a start time and an end time.

サインイン ビューにフィールドを追加すると、これらのフィールドがフィルターの一覧に自動的に追加されます。If you add additional fields to your sign-ins view, these fields are automatically added to the list of filters. たとえば、 [クライアント アプリ] フィールドを一覧に追加した場合、次のフィルターを設定できるもう 1 つのフィルター オプションが表示されます。For example, by adding Client App field to your list, you also get another filter option that enables you to set the following filters:
サインイン アクティビティSign-in activity

  • ブラウザーBrowser
    このフィルターは、サインイン試行がブラウザー フローを使用して行われたすべてのイベントを表示します。This filter shows all events where sign-in attempts were performed using browser flows.

  • Exchange ActiveSync (サポート対象)Exchange ActiveSync (supported)
    このフィルターは、iOS、Android、Windows Phone のようなサポートされるプラットフォームから Exchange ActiveSync (EAS) プロトコルが試行されているすべてのサインイン試行を表示します。This filter shows all sign-in attempts where the Exchange ActiveSync (EAS) protocol has been attempted from supported platforms like iOS, Android and Windows Phone.

  • Exchange ActiveSync (サポート対象外)Exchange ActiveSync (unSupported)
    このフィルターは、Linux ディストリビューションのようなサポートされないプラットフォームから EAS プロトコルが試行されているすべてのサインイン試行を表示します。This filter shows all sign-in attempts where the EAS protocol has been attempted from unsupported platforms like, Linux distros.

  • モバイル アプリとデスクトップ クライアント。このフィルターは、ブラウザー フローを使用していなかったすべてのサインイン試行を表示します。Mobile Apps and Desktop clients This filter shows all sign-in attempts that were not using browser flows. これは、任意のプロトコルを使用する任意のプラットフォームからのモバイル アプリの場合や、Windows や MacOS での Office のようなデスクトップ クライアントの場合があります。This can be mobile apps from any platform using any protocol or from Desktop client apps like Office on Windows or MacOS.

  • その他のクライアントOther clients

    • IMAPIMAP
      IMAP を使用して電子メールを取得する従来のメール クライアント。A legacy mail client using IMAP to retrieve email.
    • MAPIMAPI
      Office 2013。ADAL が有効になっており、MAPI が使用されています。Office 2013, where ADAL is enabled and it is using MAPI.
    • 以前のバージョンの Office クライアントOlder Office clients
      ADAL が有効になっておらず、MAPI が使用されている既定の構成の Office 2013。あるいは、ADAL が無効になっている Office 2016。Office 2013 in its default configuration where ADAL is not enabled and it is using MAPI, or Office 2016 where ADAL has been disabled.
    • POPPOP
      POP3 を使用して電子メールを取得する従来のメール クライアント。A legacy mail client using POP3 to retrieve email.
    • SMTPSMTP
      SMTP を使用して電子メールを送信する従来のメール クライアント。A legacy mail client using SMTP to send email.

サインイン アクティビティのダウンロードDownload sign-in activities

Azure portal の外部で操作する場合は、サインイン データをダウンロードできます。You can download the sign-ins data if you want to work with it outside the Azure portal. [ダウンロード] をクリックすると、最新の 250,000 件のレコードを含む CSV または JSON ファイルを作成することができます。Clicking Download gives you the option to create a CSV or JSON file of the most recent 250,000 records.

ダウンロードDownload

重要

ダウンロードできるレコードの数は、Azure Active Directory レポートの保持ポリシーによって制限されます。The number of records you can download is constrained by the Azure Active Directory report retention policies.

サインイン データのショートカットSign-ins data shortcuts

Azure AD の他にも、Azure portal にはサインイン データに対する追加のエントリ ポイントが用意されています。In addition to Azure AD, the Azure portal provides you with additional entry points to sign-ins data:

  • ID のセキュリティ保護の概要The Identity security protection overview
  • ユーザーUsers
  • グループGroups
  • エンタープライズ アプリケーションEnterprise applications

ID セキュリティ保護のユーザーのサインイン データUsers sign-ins data in Identity security protection

[ID のセキュリティ保護] の概要ページのユーザー サインイン グラフは、特定期間内のすべてのユーザーのサインインについて、週単位の集計を示します。The user sign-in graph in the Identity security protection overview page shows weekly aggregations of sign-ins for all users in a given time period. 期間の既定値は 30 日です。The default for the time period is 30 days.

サインイン アクティビティSign-in activity

サインイン グラフ内の日付をクリックすると、その日のサインイン アクティビティの概要が表示されます。When you click on a day in the sign-in graph, you get an overview of the sign-in activities for this day.

サインイン アクティビティ リストの各行には、次の情報が表示されます。Each row in the sign-in activities list shows:

  • サインインしたのはだれか。Who has signed in?
  • サインインの対象となったのはどのアプリケーションか。What application was the target of the sign-in?
  • サインインの状態はどのような状態か。What is the status of the sign-in?
  • サインインの MFA 状態はどのような状態か。What is the MFA status of the sign-in?

項目をクリックすると、サインイン操作の詳細が表示されます。By clicking an item, you get more details about the sign-in operation:

  • ユーザー IDUser ID
  • UserUser
  • ユーザー名Username
  • アプリケーション IDApplication ID
  • ApplicationApplication
  • ClientClient
  • LocationLocation
  • IP アドレスIP address
  • DateDate
  • MFA が必要MFA Required
  • サインインの状態Sign-in status

注意

IP アドレスは、IP アドレスとそのアドレスを持つコンピューターの物理的な配置場所との間に明確な関連性がないような方法で発行されます。IP addresses are issued in such a way that there is no definitive connection between an IP address and where the computer with that address is physically located. IP アドレスのマッピングは、多くの場合、クライアント デバイスの実際の使用場所から遠く離れたところにある中央プールから、モバイル プロバイダーや VPN が IP アドレスを発行しているという事実によって、複雑になります。Mapping IP addresses is complicated by the fact that mobile providers and VPNs issue IP addresses from central pools that are often very far from where the client device is actually used. 現在の Azure AD レポートでは、IP アドレスの物理的な場所の変換は、トレース、レジストリ データ、逆引き参照、およびその他の情報に基づくベスト エフォートで対応されています。Currently in Azure AD reports, converting IP address to a physical location is a best effort based on traces, registry data, reverse look ups and other information.

[ユーザー] ページの [アクティビティ] セクションの [サインイン] をクリックすると、すべてのユーザー サインインの完全な概要が表示されます。On the Users page, you get a complete overview of all user sign-ins by clicking Sign-ins in the Activity section.

サインイン アクティビティSign-in activity

マネージド アプリケーションの使用状況Usage of managed applications

アプリケーションを中心にしてサインイン データを表示すると、次のような疑問に答えることができます。With an application-centric view of your sign-in data, you can answer questions such as:

  • アプリケーションをだれが使用しているか。Who is using my applications?
  • 組織内の上位 3 つのアプリケーションはどれか。What are the top 3 applications in your organization?
  • 最近ロールアウトしたアプリケーションは、I have recently rolled out an application. どのような状況か。How is it doing?

このデータへのエントリ ポイントは、 [エンタープライズ アプリケーション][概要] セクションにある過去 30 日間のレポートに示される、組織内の上位 3 つのアプリケーションです。Your entry point to this data is the top 3 applications in your organization within the last 30 days report in the Overview section under Enterprise applications.

サインイン アクティビティSign-in activity

アプリ使用状況グラフは、特定の期間の上位 3 つのアプリケーションへのサインインを週ごとに集計します。The app-usage graph weekly aggregations of sign-ins for your top 3 applications in a given time period. 期間の既定値は 30 日です。The default for the time period is 30 days.

サインイン アクティビティSign-in activity

必要に応じて、特定のアプリケーションにフォーカスを設定できます。If you want to, you can set the focus on a specific application.

レポートReporting

アプリ使用状況グラフ内の日付をクリックすると、サインイン アクティビティの詳細な一覧が表示されます。When you click on a day in the app usage graph, you get a detailed list of the sign-in activities.

[サインイン] オプションを使用すると、アプリケーションへのすべてのサインイン イベントの完全な概要を表示できます。The Sign-ins option gives you a complete overview of all sign-in events to your applications.

サインイン アクティビティSign-in activity

Office 365 のアクティビティ ログOffice 365 activity logs

Office 365 のアクティビティ ログは、Microsoft 365 管理センターから確認できます。You can view Office 365 activity logs from the Microsoft 365 admin center. Office 365 のアクティビティ ログと Azure AD のアクティビティ ログでは多くのディレクトリ リソースが共有されていますが、Office 365 のアクティビティ ログがすべて表示されるのは、Microsoft 365 管理センターのみです。Even though Office 365 activity and Azure AD activity logs share a lot of the directory resources, only the Microsoft 365 admin center provides a full view of the Office 365 activity logs.

Office 365 Management API を使用すると、Office 365 のアクティビティ ログにプログラムでアクセスすることもできます。You can also access the Office 365 activity logs programmatically by using the Office 365 Management APIs.

次の手順Next steps