Azure AD ログを Azure Monitor ログと統合する

この記事の手順に従って、Azure Active Directory (Azure AD) のログを Azure Monitor に統合します。

Azure Monitor ログに Azure AD アクティビティ ログを統合すると、次のようなタスクを実行できます。

  • 自分の Azure AD サインイン ログと、Microsoft Defender for Cloud が発行したセキュリティ ログを比較します。

  • Azure Application Insights からのアプリケーション パフォーマンス データを相関させることによって、アプリケーションのサインイン ページでのパフォーマンス ボトルネックのトラブルシューティングを行います。

  • Identity Protection の危険なユーザーとリスク検出ログを分析して、環境内の脅威を見つけます (パブリック プレビュー)

  • 認証に Active Directory 認証ライブラリ (ADAL) を使用するアプリケーションからサインインを識別します。 ADAL は、サポート終了間近です

この Microsoft Ignite セッション ビデオには、実用的なシナリオで Azure AD に Azure Monitor ログを使用する利点が示されています。

サポートされるレポート

監査アクティビティ ログとサインイン アクティビティ ログを Azure Monitor ログにルーティングして、さらに詳しく分析できます。

  • [監査ログ] :テナント内で実行されたすべてのタスクの履歴は、監査ログ アクティビティ レポートで把握できます。
  • サインイン ログ:監査ログによって報告されたタスクをだれが実行したかは、サインイン アクティビティ レポートで判断することができます。
  • プロビジョニング ログ:プロビジョニング ログを利用することで、サードパーティ製アプリケーションで作成、更新、削除されたユーザーを監視できます。
  • 危険なユーザー ログ (パブリック プレビュー) : 危険なユーザー ログを使用して、ユーザーのリスク レベルと修復アクティビティにおける変化をモニターできます。
  • リスク検出ログ (パブリック プレビュー) : リスク検出ログを使用して、ユーザーのリスク検出をモニターし、組織で検出されたリスク アクティビティの傾向を分析できます。

前提条件

この機能を使用するには、次が必要です。

  • Azure サブスクリプション。 Azure サブスクリプションを持っていない場合は、無料試用版にサインアップできます。
  • Azure AD テナント。
  • Azure AD テナントの "グローバル管理者" または "セキュリティ管理者" であるユーザー。
  • Azure サブスクリプションの Log Analytics ワークスペース。 Log Analytics ワークスペースの作成方法を確認してください。

ライセンスの要件

この機能を使用するには、Azure AD Premium P1 または P2 テナントが必要です。 テナントのライセンスの種類は、Azure Active Directory の「 概要 」ページで確認できます。

テナント情報

アクティビティ データが Premium テナントに格納される期間を知りたい場合は、「Azure AD にデータが保存される期間」を参照してください。

ログを Azure Monitor に送信する

  1. Azure portal にサインインします。

  2. [Azure Active Directory] > [診断設定] -> [Add diagnostic setting](診断設定の追加) を選択します。 [監査ログ] または [サインイン] ページから [エクスポート設定] を選択して、診断設定の構成ページに移動することもできます。

  3. [診断設定] メニューで [Send to Log Analytics workspace](Log Analytics ワークスペースに送信) チェック ボックスをオンにして、 [構成] を選択します。

  4. ログ送信先の Log Analytics ワークスペースを選択するか、表示されたダイアログ ボックスで新しいワークスペースを作成します。

  5. 次の一部、またはすべてを実行します。

    • 監査ログを Log Analytics ワークスペースに送信するには、 [AuditLogs] チェックボックスをオンにします。
    • サインイン ログを Log Analytics ワークスペースに送信するには、 [SignInLogs] チェックボックスをオンにします。
    • 非対話型ユーザー サインイン ログを Log Analytics ワークスペースに送信するには、 [NonInteractiveUserSignInLogs] チェック ボックスをオンにします。
    • サービス プリンシパル サインイン ログを Log Analytics ワークスペースに送信するには、 [ServicePrincipleSignInLogs] チェック ボックスをオンにします。
    • マネージド ID のサインイン ログを Log Analytics ワークスペースに送信するには、 [anagedIdentitySignInLogs] チェック ボックスをオンにします。
    • プロビジョニング ログを Log Analytics ワークスペースに送信するには、 [ProvisioningLogs] チェック ボックスをオンにします。
    • Active Directory フェデレーション サービス (ADFS) のサインイン ログを Log Analytics ワークスペースに送信するには、 [ADFSSignInLogs] を選択します。
    • 危険なユーザー ログを Log Analytics ワークスペースに送信するには、 [RiskyUsers] チェック ボックスをオンにします。 (パブリック プレビュー)
    • リスク検出ログを Log Analytics ワークスペースに送信するには、 [UserRiskEvents] チェック ボックスをオンにします。 (パブリック プレビュー)
  6. [保存] を選択して設定を保存します。

    診断設定

  7. 約 15 分後に、イベントが Log Analytics ワークスペースにストリーミングされていることを確認します。

次のステップ