ID アクティビティ ログをカスタマイズしてフィルター処理する方法
- [アーティクル]
-
-
サインイン ログは、ユーザー アクセスの問題をトラブルシューティングし、危険なサインイン アクティビティを調査するためによく使用されるツールです。 監査ログは、Microsoft Entra ID でログに記録されたすべてのイベントを収集し、環境の変更を調査するために使用できます。 Microsoft Entra 管理センターでサインイン ログのビューをカスタマイズするために選択できる列は 30 以上あります。 監査ログとプロビジョニング ログは、ニーズに合わせてカスタマイズおよびフィルター処理することもできます。
この記事では、列をカスタマイズし、ログをフィルター処理して、必要な情報をより効率的に見つける方法について説明します。
前提条件
必要なロールとライセンスは、レポートによって異なる場合があります。 Microsoft Graph の監視データと正常性データにアクセスするには、個別のアクセス許可が必要です。 ゼロ トラスト ガイダンスに沿って、最小限の特権アクセス権を持つロールを使用することをお勧めします。
*監査ログでカスタム セキュリティ属性を表示するか、カスタム セキュリティ属性の診断設定を作成するには、いずれかの属性ログのロールが必要です。 また、標準の監査ログを表示するための適切なロールも必要です。
**Identity Protection のアクセス レベルと機能は、ロールとライセンスによって異なります。 詳細については、「Identity Protection ライセンス要件」を参照してください。
Microsoft Entra管理センターでアクティビティ ログにアクセスする方法
自身のサインイン履歴には、https://mysignins.microsoft.com でいつでもアクセスできます。 Microsoft Entra ID の [ユーザー] および [エンタープライズ アプリケーション] からサインイン ログにアクセスすることもできます。
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
- Microsoft Entra 管理センターにレポート閲覧者以上でサインインしてください。
- [ID]>[監視と正常性]>[監査ログ]/[サインイン ログ]/[プロビジョニング ログ] に移動します。
Microsoft Entra 監査ログの情報を使用すると、コンプライアンスのためのシステム アクティビティのレコードにアクセスできます。 監査ログには、すべてのカテゴリとアクティビティを並べ替えてフィルター処理できる、Microsoft Entra ID の [監視と正常性] セクションからアクセスできます。 調査中のサービスの管理センターの領域の監査ログにアクセスすることもできます。
たとえば、Microsoft Entra グループの変更を調べている場合は、[Microsoft Entra ID]>[グループ] から監査ログにアクセスできます。 サービスから監査ログにアクセスすると、サービスに応じてフィルターが自動的に調整されます。
監査ログのレイアウトをカスタマイズする
監査ログの列をカスタマイズして、必要な情報のみを表示することができます。 [サービス]、[カテゴリ] 列、および [アクティビティ] 列は相互に関連付けられているため、これらの列は常に表示する必要があります。
監査ログをフィルター処理する
[サービス] でログをフィルター処理すると、[カテゴリ] と [アクティビティ] の詳細が自動的に変更されます。 場合によっては、[カテゴリ] または [アクティビティ] が 1 つだけ存在する場合があります。 これらの詳細のすべての潜在的な組み合わせの詳細な表については、「監査アクティビティ」を参照してください。
サービス: 使用可能なすべてのサービスが既定で設定されますが、ドロップダウン リストからオプションを選択して一覧をフィルター処理し、1 つまたは複数にすることができます。
カテゴリ: すべてのカテゴリが既定で設定されますが、フィルター処理して、ポリシーの変更や対象となる Microsoft Entra ロールのアクティブ化といったアクティビティのカテゴリを表示できます。
アクティビティ: ご自身で行ったカテゴリとアクティビティ リソースの種類の選択に基づきます。 参照する特定のアクティビティを選択することも、すべてを選択することもできます。
Microsoft Graph API を使用して、すべての監査アクティビティの一覧を取得できます: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta
状態: アクティビティが成功、失敗のどちらであったかに基づいて結果を確認できます。
ターゲット: アクティビティのターゲットまたは受信者を検索できます。 名前またはユーザー プリンシパル名 (UPN) の最初の数文字で検索します。 ターゲット名と UPN では大文字小文字を区別します。
開始ユーザー: 名前または UPN の最初の数文字を使用して、アクティビティを開始したユーザーで検索できます。 名前と UPN では大文字小文字を区別します。
日付の範囲: 返されるデータの期間を定義できます。 過去 7 日間、24 時間、またはカスタム範囲を検索できます。 カスタムの期間を選択すると、開始時刻と終了時刻を構成できます。
[サインイン ログ] ページで、4 種類のサインイン ログの間の切り替えができます。 4 種類のログの詳細については、「Microsoft Entra サインイン ログとは?」を参照してください。
対話型のユーザー サインイン: パスワード、MFA アプリを使用した応答、生体認証要素、QR コードなどの認証要素をユーザーが提供するサインインです。
非対話型のユーザー サインイン: ユーザーの代わりにクライアントによって実行されるサインインです。 このサインインの場合、ユーザーは操作または認証要素を要求されません。 たとえば、更新およびアクセスのトークンを使用した認証と承認には、ユーザーによる資格情報の入力は必要とされません。
サービス プリンシパルのサインイン: ユーザーが関与しないアプリとサービス プリンシパルによるサインインです。 このサインインの場合、認証またはリソースへのアクセス用の資格情報が、アプリまたはサービスによって、それ自身のために提供されます。
Azure リソースのマネージド ID によるサインイン: Azure でシークレットが管理されている Azure リソースによるサインインです。 詳細については、「Azure リソースのマネージド ID とは」を参照してください。
サインイン ログのレイアウトをカスタマイズする
対話型ユーザー サインイン ログの列は、30 以上の列オプションを使用してカスタマイズできます。 サインイン ログをより効果的に表示するには、少し時間を取って、ニーズに合うようにビューをカスタマイズします。
- ログの上部にあるメニューで、[列] を選択します。
- 表示する列を選択し、ウィンドウの下部にある [保存] を選択します。
![[列] オプションが強調表示されたサインイン ログ ページのスクリーンショット。](media/howto-customize-filter-logs/sign-in-logs-columns.png)
サインイン ログをフィルター処理する
サインイン ログをフィルター処理すると、特定のシナリオに一致するログをすばやく検出するのに役立ちます。 たとえば、一覧をフィルター処理して、特定の地理的な場所、特定のオペレーティング システム、または特定の種類の資格情報から発生したサインインのみを表示できます。
一部のフィルター オプションでは、さらにオプションを選択するように求められます。 プロンプトに従って、フィルター処理に必要な選択を行います。 複数のフィルターを追加できます。
[Add filters] (フィルターの追加) ボタンを選択し、フィルター オプションを選択して [適用] を選択します。
![[フィルターの追加] オプションが強調表示されたサインイン ログ ページのスクリーンショット。](media/howto-customize-filter-logs/sign-in-logs-add-filters.png)
特定の詳細 (要求 ID など) を入力するか、別のフィルター オプションを選択します。
いくつかの詳細をフィルター処理できます。 次の表では、一般的に使用されるフィルターについて説明します。 "すべてのフィルター オプションが説明されているわけではありません。"
| フィルター |
説明 |
| 要求 ID |
サインイン要求の一意識別子 |
| 関連付け ID |
シングル サインイン試行の一部であるすべてのサインイン要求の一意識別子 |
| User |
ユーザーのユーザー プリンシパル名 (UPN)。 |
| アプリケーション |
サインイン要求の対象となるアプリケーション |
| Status |
オプションは、成功、失敗、中断です |
| リソース |
サインインに使用されたサービスの名前。 |
| IP アドレス |
サインインに使用されるクライアントの IP アドレス |
| 条件付きアクセス |
オプションには、[適用されていません]、[成功]、および [失敗] があります |
サインイン ログ テーブルが必要に応じて書式設定されたので、データをより効果的に分析できるようになりました。 ログを他のツールにエクスポートすると、サインイン データを詳細に分析したり、保持したりすることができます。
列をカスタマイズし、フィルターを調整すると、同様の特性を持つログを確認するのに役立ちます。 サインインの詳細を確認するには、テーブル内の行を選択して [アクティビティの詳細] パネルを開きます。 パネルには、確認するタブがいくつかあります。 詳細については、「サインイン ログ アクティビティの詳細」を参照してください。
クライアント アプリ フィルター
サインインの実行元を確認する際は、[クライアント アプリ] フィルターを使用することが必要になる場合があります。 [クライアント アプリ] には、[Modern authentication clients] (先進認証クライアント) と [Legacy authentication clients] (レガシ認証クライアント) の 2 つのサブカテゴリがあります。 [Modern authentication clients] (先進認証クライアント) にはさらに、[ブラウザー] と [モバイル アプリとデスクトップ クライアント] という 2 つのサブカテゴリがあります。 [Legacy authentication clients] (レガシ認証クライアント) にはいくつかのサブカテゴリがあり、レガシ認証クライアントの詳細の表で定義されています。
![[クライアント アプリ] フィルターが選択され、カテゴリが強調表示されているスクリーンショット。](media/concept-sign-ins/client-app-filter.png)
[ブラウザー] のサインインには、Web ブラウザーからのサインイン試行がすべて含まれます。 ブラウザーからサインインの詳細を表示すると、[基本情報] タブに [クライアント アプリ: ブラウザー] と表示されます。
[Device info] (デバイス情報) タブの [ブラウザー] に Web ブラウザーの詳細が表示されます。 ブラウザーの種類とバージョンが示されますが、場合によっては、ブラウザーの名前とバージョンは表示されません。 リッチ クライアント 4.0.0.0 のように表示される場合があります。
レガシ認証クライアントの詳細
次の表に、"レガシ認証クライアント" の各オプションの詳細を示します。
| 名前 |
説明 |
| 認証済み SMTP |
電子メール メッセージを送信するために POP および IMAP のクライアントによって使用されます。 |
| 自動検出 |
Exchange Online でメールボックスを検索して接続するために Outlook および EAS のクライアントで使用されます。 |
| Exchange ActiveSync |
このフィルターは、EAS プロトコルが試行されたすべてのサインイン試行を表示します。 |
| Exchange ActiveSync |
Exchange ActiveSync を使用して Exchange Online に接続するクライアント アプリでのユーザーのすべてのサインイン試行を表示します |
| Exchange Online PowerShell |
リモート PowerShell を使用して Exchange Online に接続するために使用されます。 Exchange Online PowerShell の基本認証をブロックする場合は、Exchange Online PowerShell モジュールを使用して接続する必要があります。 手順については、「多要素認証をConnect PowerShell Exchange Onlineする方法」を参照してください。 |
| Exchange Web サービス |
Outlook、Outlook for Mac、およびサードパーティ製アプリによって使用されるプログラミング インターフェイスです。 |
| IMAP4 |
IMAP を使用して電子メールを取得する従来のメール クライアント。 |
| MAPI over HTTP |
Outlook 2010 以降で使用されます。 |
| オフライン アドレス帳 |
Outlook によってダウンロードおよび使用されるアドレス一覧コレクションのコピーです。 |
| Outlook Anywhere (RPC over HTTP) |
Outlook 2016 以前で使用されます。 |
| Outlook サービス |
Windows 10 用のメール/カレンダー アプリで使用されます。 |
| POP3 |
POP3 を使用して電子メールを取得する従来のメール クライアント。 |
| レポート Web サービス |
Exchange Online でレポート データを取得するために使用されます。 |
| その他のクライアント |
クライアント アプリが含まれていないまたは不明である、ユーザーによるサインインの試行をすべて表示します。 |
プロビジョニング ログをより効果的に表示するには、少し時間を取って、ニーズに合うようにビューをカスタマイズします。 含める列を指定し、データをフィルター処理して、表示内容を絞り込むことができます。
レイアウトのカスタマイズ
プロビジョニング ログには既定のビューがありますが、列をカスタマイズできます。
- ログの上部にあるメニューで、[列] を選択します。
- 表示する列を選択し、ウィンドウの下部にある [保存] を選択します。
結果をフィルター処理する
プロビジョニング データをフィルター処理する場合、一部のフィルター値はテナントに基づいて動的に入力されます。 たとえば、テナントに "作成" イベントがない場合は、[作成] のフィルター オプションは使用できません。
ID フィルターを使用すると、関心のある名前または ID を指定できます。 この ID は、ユーザー、グループ、ロール、またはその他のオブジェクトの場合があります。
オブジェクトの名前または ID で検索できます。 ID はシナリオによって異なります。
- Microsoft Entra ID から SalesForce にオブジェクトをプロビジョニングする場合、ソース ID は Microsoft Entra ID 内のユーザーのオブジェクト ID です。 ターゲット ID は Salesforce のユーザーの ID です。
- Workday から Microsoft Entra ID にプロビジョニングする場合、ソース ID は Workday ワーカーの従業員 ID です。 ターゲット ID は、Microsoft Entra ID のユーザーの ID です。
- テナント間同期のためにユーザーをプロビジョニングする場合、ソース ID はソース テナント内のユーザーの ID です。 ターゲット ID は、ターゲット テナント内のユーザーの ID です。
注意
ユーザーの名前が必ずしも ID 列に存在するとは限りません。 常に 1 つの ID が存在します。
[日付] フィルターでは、返されるデータの期間を定義できます。 次のいずれかの値になります。
- 1 か月
- 7 日間
- 30 日
- 24 時間
- カスタム時間間隔 (開始日と終了日を構成する)
[状態] フィルターでは、次のいずれかを選択できます。
[アクション] フィルターでは、これらのアクションをフィルター処理できます。
既定のビューのフィルターに加えて、次のフィルターを設定できます。
ジョブ ID:プロビジョニングを有効にした各アプリケーションに、一意のジョブ ID が関連付けられます。
サイクル ID:サイクル ID は、プロビジョニング サイクルを一意に識別します。 この ID を製品サポートと共有して、このイベントが発生したサイクルを調べることができます。
変更 ID:変更 ID は、プロビジョニング イベントの一意の識別子です。 この ID を製品サポートと共有して、プロビジョニング イベントを調べることができます。
ソース システム:ID のプロビジョニング元となる場所を指定できます。 たとえば、Microsoft Entra ID から ServiceNow にオブジェクトをプロビジョニングする場合、ソース システムは Microsoft Entra ID です。
ターゲット システム:ID のプロビジョニング先となる場所を指定できます。 たとえば、Microsoft Entra ID から ServiceNow にオブジェクトをプロビジョニングする場合、ターゲット システムは ServiceNow です。
アプリケーション: 特定の文字列が含まれている表示名またはオブジェクト ID を持つアプリケーションのレコードのみを表示できます。 テナント間同期の場合は、アプリケーション ID ではなく、構成のオブジェクト ID を使用します。
次のステップ
