Azure Active Directory ポータルのサインイン アクティビティ レポートSign-in activity reports in the Azure Active Directory portal

Azure Active Directory (Azure AD) のレポート アーキテクチャは、次のコンポーネントで構成されます。The reporting architecture in Azure Active Directory (Azure AD) consists of the following components:

  • アクティビティActivity
    • サインイン – マネージド アプリケーションの使用状況とユーザー サインイン アクティビティに関する情報。Sign-ins – Information about the usage of managed applications and user sign-in activities.
    • 監査ログ - 監査ログは、ユーザーとグループの管理や、マネージド アプリケーションとディレクトリのアクティビティに関するシステム アクティビティ情報を提供します。Audit logs - Audit logs provide system activity information about users and group management, managed applications, and directory activities.
  • セキュリティSecurity
    • リスクの高いサインイン - リスクの高いサインインは、ユーザー アカウントの正当な所有者ではないユーザーによるサインイン試行の指標です。Risky sign-ins - A risky sign-in is an indicator for a sign-in attempt by someone who isn't the legitimate owner of a user account.
    • リスクのフラグ付きユーザー - リスクの高いユーザーは、侵害された可能性があるユーザー アカウントの指標です。Users flagged for risk - A risky user is an indicator for a user account that might have been compromised.

この記事では、サインイン レポートの概要について説明します。This article gives you an overview of the sign-ins report.

前提条件Prerequisites

誰がデータにアクセスできますか。Who can access the data?

  • セキュリティ管理者、セキュリティ閲覧者、グローバル閲覧者、およびレポート閲覧者ロールのユーザーUsers in the Security Administrator, Security Reader, Global Reader, and Report Reader roles
  • グローバル管理者Global Administrators
  • 任意のユーザー (非管理者) が自分のサインインにアクセス可能Any user (non-admins) can access their own sign-ins

サインイン アクティビティにアクセスするために必要な Azure AD ライセンスを教えてください。What Azure AD license do you need to access sign-in activity?

  • すべてのサインイン アクティビティ レポートを閲覧するためには、ご利用のテナントに、Azure AD Premium ライセンスが関連付けられている必要があります。Your tenant must have an Azure AD Premium license associated with it to see the all up sign-in activity report. Azure Active Directory エディションにアップグレードするには、「Azure Active Directory Premium の概要」を参照してください。See Getting started with Azure Active Directory Premium to upgrade your Azure Active Directory edition. アップグレード前のアクティビティ データがない状態でプレミアム ライセンスにアップグレードした後、データがレポートに表示されるまでには数日間かかります。It will take a couple of days for the data to show up in the reports after you upgrade to a premium license with no data activities before the upgrade.

サインイン レポートSign-ins report

ユーザーのサインイン レポートは、次の質問に対する回答を提示します。The user sign-ins report provides answers to the following questions:

  • ユーザーのサインインにどのようなパターンがあるか。What is the sign-in pattern of a user?
  • 1 週間で何人のユーザーがサインインを行ったか。How many users have signed in over a week?
  • これらのサインインはどのような状態か。What’s the status of these sign-ins?

[Azure portal] メニューで [Azure Active Directory] を選択するか、任意のページから [Azure Active Directory] を検索して選択します。On the Azure portal menu, select Azure Active Directory, or search for and select Azure Active Directory from any page.

[Azure Active Directory] を選択するSelect Azure Active Directory

[監視][サインイン] を選択して、サインイン レポートを開きます。Under Monitoring, select Sign-ins to open the Sign-ins report.

サインイン アクティビティSign-in activity

一部のサインイン レコードがポータルに表示されるまでに、最大 2 時間かかることがあります。It may take up to two hours for some sign-in records to show up in the portal.

重要

サインイン レポートには、対話型のサインイン、つまりユーザーがユーザー名とパスワードを使用して手動で行うサインインのみが表示されます。The sign-ins report only displays the interactive sign-ins, that is, sign-ins where a user manually signs in using their username and password. サービス間の認証のような対話型ではないサインインは、サインイン レポートに表示されません。Non-interactive sign-ins, such as service-to-service authentication, are not displayed in the sign-ins report.

サインイン ログには、次のものを示す既定のリスト ビューがあります。A sign-ins log has a default list view that shows:

  • サインインの日付The sign-in date
  • 関連するユーザーThe related user
  • ユーザーがサインインしたアプリケーションThe application the user has signed in to
  • サインインの状態The sign-in status
  • リスク検出の状態The status of the risk detection
  • 多要素認証 (MFA) の要件の状態The status of the multi-factor authentication (MFA) requirement

サインイン アクティビティSign-in activity

リスト ビューをカスタマイズするには、ツール バーの [列] をクリックします。You can customize the list view by clicking Columns in the toolbar.

サインイン アクティビティSign-in activity

[列] ダイアログでは、選択可能な属性にアクセスできます。The Columns dialog gives you access to the selectable attributes. サインイン レポートでは、特定のサインイン要求に対して複数の値を持つフィールドを列として使用することはできません。In a sign-in report, you can't have fields that have more than one value for a given sign-in request as column. これは、認証の詳細、条件付きアクセス データ、ネットワークの場所などが該当します。This is, for example, true for authentication details, conditional access data and network location.

サインイン アクティビティSign-in activity

詳細な情報を取得するには、リスト ビューで項目を選択します。Select an item in the list view to get more detailed information.

サインイン アクティビティSign-in activity

注意

すべてのサインイン レポートで、条件付きアクセス ポリシーのトラブルシューティングを実行できるようになりました。Customers can now troubleshoot Conditional Access policies through all sign-in reports. サインイン レコードの [条件付きアクセス] タブをクリックして、条件付きアクセスの状態を確認し、サインインに適用されたポリシーの詳細と各ポリシーの結果を調べることができます。By clicking on the Conditional Access tab for a sign-in record, customers can review the Conditional Access status and dive into the details of the policies that applied to the sign-in and the result for each policy. 詳細については、「Frequently asked questions about CA information in all sign-ins」 (すべてのサインインの CA 情報に関してよく寄せられる質問) を参照してください。For more information, see the Frequently asked questions about CA information in all sign-ins.

サインイン アクティビティのフィルター処理Filter sign-in activities

まず、報告されたデータを、自分に適したレベルまで絞り込みます。First, narrowing down the reported data to a level that works for you. 次に、既定のフィルターとして [日付] フィールドを使用したサインイン データをフィルター処理します。Second, filter sign-ins data using date field as default filter. Azure AD では、さまざまな追加のフィルターを設定できます。Azure AD provides you with a broad range of additional filters you can set.

サインイン アクティビティSign-in activity

[ユーザー] フィルターでは、確認したいユーザーの名前またはそのユーザー プリンシパル名 (UPN) を指定できます。The User filter enables you to specify the name or the user principal name (UPN) of the user you care about.

[アプリケーション] フィルターでは、確認したいアプリケーションの名前を指定できます。The Application filter enables you to specify the name of the application you care about.

[サインイン状態] フィルターでは、次のいずれかを選択できます。The Sign-in status filter enables you to select:

  • AllAll
  • SuccessSuccess
  • 障害Failure

条件付きアクセス フィルターでは、次に示すサインインの CA ポリシーの状態を選択できます。The Conditional Access filter enables you to select the CA policy status for the sign-in:

  • AllAll
  • 未適用Not Applied
  • SuccessSuccess
  • 障害Failure

[日付] フィルターでは、返されるデータの期間を定義できます。The Date filter enables to you to define a timeframe for the returned data.
次のいずれかの値になります。Possible values are:

  • 1 か月One month
  • 7 日7 days
  • 24 時間24 hours
  • カスタム期間Custom time interval

カスタムの期間を選択すると、開始時刻と終了時刻を構成できます。When you select a custom timeframe, you can configure a start time and an end time.

サインイン ビューにフィールドを追加すると、これらのフィールドがフィルターの一覧に自動的に追加されます。If you add additional fields to your sign-ins view, these fields are automatically added to the list of filters. たとえば、 [クライアント アプリ] フィールドを一覧に追加した場合、次のフィルターを設定できるもう 1 つのフィルター オプションが表示されます。For example, by adding Client App field to your list, you also get another filter option that enables you to set the following filters:
サインイン アクティビティSign-in activity

  • ブラウザーBrowser
    このフィルターは、ブラウザー フローを使用してサインインが試行されたすべてのイベントを表示します。This filter shows all events where sign-in attempts were attempted using browser flows.

  • Exchange ActiveSync (サポート対象)Exchange ActiveSync (supported)
    このフィルターは、iOS、Android、Windows Phone など、サポートされているプラットフォームから Exchange ActiveSync (EAS) プロトコルが試行されているすべてのサインイン試行を表示します。This filter shows all sign-in attempts where the Exchange ActiveSync (EAS) protocol has been attempted from supported platforms like iOS, Android, and Windows Phone.

  • Exchange ActiveSync (サポート対象外)Exchange ActiveSync (unsupported)
    このフィルターは、Linux ディストリビューションのようなサポートされないプラットフォームから EAS プロトコルが試行されているすべてのサインイン試行を表示します。This filter shows all sign-in attempts where the EAS protocol has been attempted from unsupported platforms like, Linux distros.

  • モバイル アプリとデスクトップ クライアント。このフィルターは、ブラウザー フローを使用していなかったすべてのサインイン試行を表示します。Mobile Apps and Desktop clients The filter shows all sign-in attempts that were not using browser flows. たとえば、任意のプロトコルを使用する任意のプラットフォームからのモバイル アプリや、Windows または MacOS 上の Office のようなデスクトップ クライアント アプリなどです。For example, mobile apps from any platform using any protocol or from Desktop client apps like Office on Windows or MacOS.

  • その他のクライアントOther clients

    • IMAPIMAP
      IMAP を使用して電子メールを取得する従来のメール クライアント。A legacy mail client using IMAP to retrieve email.
    • MAPIMAPI
      Office 2013。ADAL が有効になっており、MAPI が使用されています。Office 2013, where ADAL is enabled and it is using MAPI.
    • 以前のバージョンの Office クライアントOld Office clients
      ADAL が有効になっておらず、MAPI が使用されている既定の構成の Office 2013。あるいは、ADAL が無効になっている Office 2016。Office 2013 in its default configuration where ADAL is not enabled and it is using MAPI, or Office 2016 where ADAL has been disabled.
    • POPPOP
      POP3 を使用して電子メールを取得する従来のメール クライアント。A legacy mail client using POP3 to retrieve email.
    • SMTPSMTP
      SMTP を使用して電子メールを送信する従来のメール クライアント。A legacy mail client using SMTP to send email.

サインイン アクティビティのダウンロードDownload sign-in activities

[ダウンロード] オプションをクリックして、最新の 250,000 件のレコードを含む CSV または JSON ファイルを作成します。Click the Download option to create a CSV or JSON file of the most recent 250,000 records. Azure portal の外部で操作する場合は、まずサインイン データをダウンロードします。Start with download the sign-ins data if you want to work with it outside the Azure portal.

ダウンロードDownload

重要

ダウンロードできるレコードの数は、Azure Active Directory レポートの保持ポリシーによって制限されます。The number of records you can download is constrained by the Azure Active Directory report retention policies.

サインイン データのショートカットSign-ins data shortcuts

Azure AD と Azure portal には両方とも、サインイン データへの追加のエントリ ポイントが用意されています。Azure AD and the Azure portal both provide you with additional entry points to sign-ins data:

  • ID のセキュリティ保護の概要The Identity security protection overview
  • ユーザーUsers
  • グループGroups
  • エンタープライズ アプリケーションEnterprise applications

ID セキュリティ保護のユーザーのサインイン データUsers sign-ins data in Identity security protection

[ID のセキュリティ保護] の概要ページのユーザー サインイン グラフは、サインインの週単位の集計を示します。期間の既定値は 30 日です。The user sign-in graph in the Identity security protection overview page shows weekly aggregations of sign-ins. The default for the time period is 30 days.

サインイン アクティビティSign-in activity

サインイン グラフ内の日付をクリックすると、その日のサインイン アクティビティの概要が表示されます。When you click on a day in the sign-in graph, you get an overview of the sign-in activities for this day.

サインイン アクティビティ リストの各行には、次の情報が表示されます。Each row in the sign-in activities list shows:

  • サインインしたのはだれか。Who has signed in?
  • サインインの対象となったのはどのアプリケーションか。What application was the target of the sign-in?
  • サインインの状態はどのような状態か。What is the status of the sign-in?
  • サインインの MFA 状態はどのような状態か。What is the MFA status of the sign-in?

項目をクリックすると、サインイン操作の詳細が表示されます。By clicking an item, you get more details about the sign-in operation:

  • User IDUser ID
  • UserUser
  • ユーザー名Username
  • アプリケーション IDApplication ID
  • ApplicationApplication
  • ClientClient
  • LocationLocation
  • IP アドレスIP address
  • DateDate
  • MFA が必要MFA Required
  • サインインの状態Sign-in status

注意

IP アドレスは、IP アドレスとそのアドレスを持つコンピューターの物理的な配置場所との間に明確な関連性がないような方法で発行されます。IP addresses are issued in such a way that there is no definitive connection between an IP address and where the computer with that address is physically located. IP アドレスのマッピングは、多くの場合、クライアント デバイスの実際の使用場所から遠く離れたところにある中央プールから、モバイル プロバイダーや VPN が IP アドレスを発行しているという事実によって、複雑になります。Mapping IP addresses is complicated by the fact that mobile providers and VPNs issue IP addresses from central pools that are often very far from where the client device is actually used. 現在の Azure AD レポートでは、IP アドレスの物理的な場所の変換は、トレース、レジストリ データ、逆引き参照、およびその他の情報に基づくベスト エフォートで対応されています。Currently in Azure AD reports, converting IP address to a physical location is a best effort based on traces, registry data, reverse look ups and other information.

[ユーザー] ページの [アクティビティ] セクションの [サインイン] をクリックすると、すべてのユーザー サインインの完全な概要が表示されます。On the Users page, you get a complete overview of all user sign-ins by clicking Sign-ins in the Activity section.

サインイン アクティビティSign-in activity

マネージド アプリケーションの使用状況Usage of managed applications

アプリケーションを中心にしてサインイン データを表示すると、次のような疑問に答えることができます。With an application-centric view of your sign-in data, you can answer questions such as:

  • アプリケーションをだれが使用しているか。Who is using my applications?
  • 組織内の上位 3 つのアプリケーションはどれか。What are the top three applications in your organization?
  • 最新のアプリケーションはどのように実行されるか。How is my newest application doing?

このデータへのエントリ ポイントとなるのは、組織内の上位 3 つのアプリケーションです。The entry point to this data is the top three applications in your organization. データは [エンタープライズ アプリケーション] の下の [概要] セクションにある、過去 30 日間のレポートに含まれています。The data is contained within the last 30 days report in the Overview section under Enterprise applications.

サインイン アクティビティSign-in activity

アプリ使用状況グラフは、特定の期間の上位 3 つのアプリケーションのサインインを週単位で集計します。The app-usage graphs weekly aggregations of sign-ins for your top three applications in a given time period. 期間の既定値は 30 日です。The default for the time period is 30 days.

サインイン アクティビティSign-in activity

必要に応じて、特定のアプリケーションにフォーカスを設定できます。If you want to, you can set the focus on a specific application.

ReportingReporting

アプリ使用状況グラフ内の日付をクリックすると、サインイン アクティビティの詳細な一覧が表示されます。When you click on a day in the app usage graph, you get a detailed list of the sign-in activities.

[サインイン] オプションを使用すると、アプリケーションへのすべてのサインイン イベントの完全な概要を表示できます。The Sign-ins option gives you a complete overview of all sign-in events to your applications.

Office 365 のアクティビティ ログOffice 365 activity logs

Office 365 のアクティビティ ログは、Microsoft 365 管理センターから確認できます。You can view Office 365 activity logs from the Microsoft 365 admin center. Office 365 アクティビティ ログと Azure AD アクティビティ ログでは、多くのディレクトリ リソースが共有される点について考えてみましょう。Consider the point that, Office 365 activity and Azure AD activity logs share a significant number of the directory resources. Office 365 のアクティビティ ログを完全に表示できるのは、Microsoft 365 管理センターだけです。Only the Microsoft 365 admin center provides a full view of the Office 365 activity logs.

Office 365 Management API を使用すると、Office 365 のアクティビティ ログにプログラムでアクセスすることもできます。You can also access the Office 365 activity logs programmatically by using the Office 365 Management APIs.

次のステップNext steps