Azure Active Directory レポートに関するよく寄せられる質問Frequently asked questions around Azure Active Directory reports

この記事では、Azure Active Directory (Azure AD) レポートに関してよく寄せられる質問に対する回答を示します。This article includes answers to frequently asked questions about Azure Active Directory (Azure AD) reporting. 詳細については、「Azure Active Directory レポート」をご覧ください。For more information, see Azure Active Directory reporting.

使用の開始Getting started

Q:現在<tenant-name>/reports/ エンドポイント API を使用しており、プログラムによってレポート システムに Azure AD の監査レポートと統合されたアプリケーションの使用状況レポートを取り込んでいます。何に切り替える必要がありますか。Q: I currently use the<tenant-name>/reports/ endpoint APIs to pull Azure AD audit and integrated application usage reports into our reporting systems programmatically. What should I switch to?

A: API リファレンスを参照して、API を使用してアクティビティ レポートにアクセスできる方法をご確認ください。A: Look up the API reference to see how you can use the APIs to access activity reports. このエンドポイントには 2 つのレポート (監査とサインイン) があり、旧 API エンドポイントで取得したすべてのデータが提供されます。This endpoint has two reports (Audit and Sign-ins) which provide all the data you got in the old API endpoint. この新しいエンドポイントには、アプリの使用状況、デバイスの使用状況、およびユーザー サインイン情報の取得に使用できる Azure AD Premium ライセンスによるサインイン レポートもあります。This new endpoint also has a sign-ins report with the Azure AD Premium license that you can use to get app usage, device usage, and user sign-in information.

Q:現在<tenant-name>/reports/ エンドポイント API を使用しており、プログラムによって、レポート システムに Azure AD セキュリティ レポート (漏洩した資格情報や匿名 IP アドレスからのサインインなどの、特定の種類の検出) を取り込んでいます。何に切り替える必要がありますか。Q: I currently use the<tenant-name>/reports/ endpoint APIs to pull Azure AD security reports (specific types of detections, such as leaked credentials or sign-ins from anonymous IP addresses) into our reporting systems programmatically. What should I switch to?

A:  Identity Protection リスク イベント API  を使用して、Microsoft Graph 経由でセキュリティの検出にアクセスできます。A: You can use the Identity Protection risk events API to access security detections through Microsoft Graph. この新しい形式では、高度なフィルター処理、フィールドの選択など、データをクエリできる方法の柔軟性が高まりました。また、リスク イベントが 1 つのタイプに標準化されるため、SIEM などのデータ コレクション ツールに簡単に統合できます。This new format gives greater flexibility in how you can query data, with advanced filtering, field selection, and more, and standardizes risk events into one type for easier integration into SIEMs and other data collection tools. データの形式が異なるため、古いクエリの代わりに新しいクエリを使うことはできません。Because the data is in a different format, you can't substitute a new query for your old queries. ただし、新しい API は O365 や Azure AD のような API 向けの Microsoft 標準である Microsoft Graph を使用します。However, the new API uses Microsoft Graph, which is the Microsoft standard for such APIs as O365 or Azure AD. そのため、要した作業により、既存の MS Graph への投資が拡大され、この新しい標準プラットフォームへの移行開始が促進されます。So the work required can either extend your current MS Graph investments or help you begin your transition to this new standard platform.

Q:Premium ライセンスはどうすれば取得できますか。Q: How do I get a premium license?

A: Azure Active Directory エディションにアップグレードするには、「Azure Active Directory Premium の概要」を参照してください。A: See Getting started with Azure Active Directory Premium to upgrade your Azure Active Directory edition.

Q:Premium ライセンスを取得した後、どのぐらいの期間でアクティビティ データが表示されるようになりますか。Q: How soon should I see activities data after getting a premium license?

A: 無料ライセンスでのアクティビティ データが既にある場合、そのデータがすぐに表示されます。A: If you already have activities data as a free license, then you can see it immediately. データが何もなかった場合は、レポートにデータが表示されるまで 1 日から 2 日かかります。If you don’t have any data, then it will take one or two days for the data to show up in the reports.

Q:Azure AD Premium ライセンスを取得した後に、前月のデータを見ることはできますか。Q: Can I see last month's data after getting an Azure AD premium license?

A: 最近 Premium バージョン (試用版を含む) に切り替えた場合、初めは 7 日間分までのデータを見ることができます。A: If you have recently switched to a Premium version (including a trial version), you can see data up to 7 days initially. データが蓄積されると、過去 30 日間のデータを確認できます。When data accumulates, you can see data for the past 30 days.

Q:Azure portal へのアクティビティ サインインを確認したり、API を通じてデータを取得したりするには、グローバル管理者である必要がありますか。Q: Do I need to be a global administrator to see the activity sign-ins to the Azure portal or to get data through the API?

A: いいえ、テナントのセキュリティ閲覧者またはセキュリティ管理者であっても、ポータルまたは API を通じてレポート データにアクセスできます。A: No, you can also access the reporting data through the portal or through the API if you are a Security Reader or Security Administrator for the tenant. もちろん、グローバル管理者でも、このデータにアクセスすることが可能です。Of course, Global Administrators will also have access to this data.

アクティビティ ログActivity logs

Q:Azure portal でのアクティビティ ログ (監査およびサインイン) のデータ保持期間はどのぐらいですか。Q: What is the data retention for activity logs (Audit and Sign-ins) in the Azure portal?

A: 次の表に、アクティビティ ログのデータ保持期間を示します。A: The following table lists the data retention period for activity logs. 詳細については、Azure AD レポートのデータ保持ポリシーに関するページを参照してください。For more information, see data retention policies for Azure AD reports.

レポートReport Azure AD FreeAzure AD Free Azure AD Premium P1Azure AD Premium P1 Azure AD Premium P2Azure AD Premium P2
監査ログAudit logs 7 日7 days 30 日30 days 30 日30 days
サインインSign-ins 該当なしN/A 30 日30 days 30 日30 days
Azure MFA の使用状況Azure MFA Usage 30 日30 days 30 日30 days 30 日30 days

Q:自分のタスクを完了した後、アクティビティ データが表示されるまでどのぐらい時間がかかりますか。Q: How long does it take until I can see the activity data after I have completed my task?

A: 監査ログの待機時間は 15 分から 1 時間です。A: Audit logs have a latency ranging from 15 minutes to an hour. サインイン アクティビティ ログは 15 分から、一部のレコードについては最大で 2 時間かかることがあります。Sign-in activity logs can take from 15 minutes to up to 2 hours for some records.

Q:Azure portal を通じて Office 365 のアクティビティ ログ情報を取得できますか。Q: Can I get Office 365 activity log information through the Azure portal?

A: Office 365 のアクティビティ ログと Azure AD アクティビティ ログではディレクトリ リソースの大部分が共有されていますが、Office 365 のアクティビティ ログをすべて閲覧する場合は、Microsoft 365 管理センター にアクセスして Office 365 アクティビティ ログ情報を取得する必要があります。A: Even though Office 365 activity and Azure AD activity logs share a lot of the directory resources, if you want a full view of the Office 365 activity logs, you should go to the Microsoft 365 admin center to get Office 365 Activity log information.

Q:Office 365 のアクティビティ ログの情報を取得するには、どの API を使えばよいですか。Q: Which APIs do I use to get information about Office 365 Activity logs?

A: API を通じて Office 365 アクティビティ ログにアクセスするには、Office 365 Management API を使用します。A: Use the Office 365 Management APIs to access the Office 365 Activity logs through an API.

Q:Azure portal からレコードをいくつまでダウンロードすることができますか。Q: How many records I can download from Azure portal?

A: レコードは Azure portal から 5000 個までダウンロードできます。A: You can download up to 5000 records from the Azure portal. レコードは最新の順に並べ替えられており、既定では最新の 5000 個のレコードを取得します。The records are sorted by most recent and by default, you get the most recent 5000 records.

リスクの高いサインインRisky sign-ins

Q:Identity Protection にリスク イベントがありますが、サインイン レポートの中に該当するサインインが見つかりません。これは期待される動作ですか?Q: There is a risk event in Identity Protection but I’m not seeing corresponding sign-in in the sign-ins report. Is this expected?

A: はい、Identity Protection では、対話型または非対話型にかかわらず、すべての認証フローについてリスクを評価します。A: Yes, Identity Protection evaluates risk for all authentication flows whether interactive or non-interactive. それに対して、すべてのサインインのレポートには、対話型のサインインだけが表示されます。However, all sign-ins only report shows only the interactive sign-ins.

Q:Azure portal でサインインまたはユーザーにリスクのフラグが付けられた理由はどうすれば調べることができますか。Q: How do I know why a sign-in or a user was flagged risky in the Azure portal?

A: Azure AD Premium サブスクリプションをお持ちの場合は、 [リスクのフラグ付きユーザー] でユーザーを選択するか、または [危険なサインイン] レポートでレコードを選択して、基になるリスク イベントに関する詳細を確認できます。A: If you have an Azure AD Premium subscription, you can learn more about the underlying risk events by selecting the user in Users flagged for risk or by selecting a record in the Risky sign-ins report. Free または Basic サブスクリプションをお持ちの場合は、危険レポートや危険なサインイン レポートでユーザーを表示できますが、基になる危険なイベント情報は確認できません。If you have a Free or Basic subscription, then you can view the users at risk and risky sign-ins reports, but you cannot see the underlying risk event information.

Q:サインインとリスクの高いサインイン レポートでは、IP アドレスはどのように計算されていますか。Q: How are IP addresses calculated in the sign-ins and risky sign-ins report?

A: IP アドレスは、IP アドレスとそのアドレスを持つコンピューターの物理的な配置場所との間に明確な関連性がないような方法で発行されます。A: IP addresses are issued in such a way that there is no definitive connection between an IP address and where the computer with that address is physically located. IP アドレスのマッピングは、クライアント デバイスの実際の使用場所から遠く離れたところにある中央プールから IP アドレスを発行するモバイル プロバイダーや VPN などの要因によって、さらに複雑になります。Mapping IP addresses is further complicated by factors such as mobile providers and VPNs issuing IP addresses from central pools often very far from where the client device is actually used. 現在の Azure AD レポートでは、IP アドレスの物理的な場所の変換は、トレース、レジストリ データ、逆引き参照、およびその他の情報に基づくベスト エフォートで対応されています。Currently in Azure AD reports, converting IP address to a physical location is a best effort based on traces, registry data, reverse look ups and other information.

Q:リスク イベント "追加のリスクが検出されたサインイン" は何を意味していますか。Q: What does the risk event "Sign-in with additional risk detected" signify?

A: 環境内のすべての危険なサインインについて知らせるために、"追加のリスクが検出されたサインイン" は、Azure AD Identity Protection サブスクライバー限定の検出で、サインインに対するプレースホルダーとして機能します。A: To give you insight into all the risky sign-ins in your environment, "Sign-in with additional risk detected" functions as placeholder for sign-ins for detections that are exclusive to Azure AD Identity Protection subscribers.

条件付きアクセスConditional access

Q:この機能の更新点を教えてください。Q: What's new with this feature?

A: すべてのサインイン レポートで、条件付きアクセス ポリシーのトラブルシューティングを実行できるようになりました。A: Customers can now troubleshoot conditional access policies through all sign-ins report. 条件付きアクセスの状態を確認し、サインインに適用されたポリシーの詳細と各ポリシーの結果を調べることができます。Customers can review the conditional access status and dive into the details of the policies that applied to the sign-in and the result for each policy.

Q:始めにどうすればよいですか。Q: How do I get started?

A: 作業を開始するには:A: To get started:

  • Azure portal でサインイン レポートに移動します。Navigate to the sign-ins report in the Azure portal.
  • トラブルシューティングを行うサインインをクリックします。Click on the sign-in that you want to troubleshoot.
  • [条件付きアクセス] タブに移動します。このタブでは、サインインに影響を与えたすべてのポリシーと各ポリシーの結果を確認できます。Navigate to the Conditional access tab. Here, you can view all the policies that impacted the sign-in and the result for each policy.

Q:条件付きアクセスの状態として表示されるすべての値を教えてください。Q: What are all possible values for the conditional access status?

A: 条件付きアクセスの状態には、次の値が表示される可能性があります。A: Conditional access status can have the following values:

  • 適用されていません:スコープ内にユーザーとアプリがある CA ポリシーがなかったことを意味します。Not Applied: This means that there was no CA policy with the user and app in scope.
  • 成功:スコープ内にユーザーとアプリがある CA ポリシーがあり、CA ポリシーが正常に満たされたことを意味します。Success: This means that there was a CA policy with the user and app in scope and CA policies were successfully satisfied.
  • 失敗:スコープ内にユーザーとアプリがある CA ポリシーがあり、CA ポリシーが満たされなかったことを意味します。Failure: This means that there was a CA policy with the user and app in scope and CA policies were not satisfied.

Q:条件付きアクセス ポリシーの結果として表示されるすべての値を教えてください。Q: What are all possible values for the conditional access policy result?

A: 条件付きアクセス ポリシーには、次の結果が表示される可能性があります。A: A conditional access policy can have the following results:

  • 成功:ポリシーは正常に満たされました。Success: The policy was successfully satisfied.
  • 失敗:ポリシーは満たされませんでした。Failure: The policy was not satisfied.
  • 適用されていません:ポリシー条件が満たされていなかった可能性があります。Not applied: This might be because the policy conditions did not meet.
  • 無効:無効状態のポリシーのためです。Not enabled: This is due to the policy in disabled state.

Q:すべてのサインイン レポートのポリシー名が CA のポリシー名と一致しません。なぜですか?Q: The policy name in the all sign-in report does not match the policy name in CA. Why?

A: すべてのサインイン レポートのポリシー名は、サインイン時の CA ポリシー名に基づいています。A: The policy name in the all sign-in report is based on the CA policy name at the time of the sign-in. 後で (つまりサインイン後に) ポリシー名を更新した場合、CA のポリシー名と一致しなくなることがあります。This can be inconsistent with the policy name in CA if you updated the policy name later, that is, after the sign-in.

Q:条件付きアクセス ポリシーのためにサインインがブロックされましたが、サインイン アクティビティ レポートにはサインインは成功したと表示されます。なぜですか?Q: My sign-in was blocked due to a conditional access policy, but the sign-in activity report shows that the sign-in succeeded. Why?

A: 現在、条件付きアクセスが適用されている場合、サインイン レポートに Exchange ActiveSync シナリオの正確な結果が表示されないことがあります。A: Currently the sign-in report may not show accurate results for Exchange ActiveSync scenarios when conditional access is applied. レポートのサインイン結果にサインインの成功と表示されても、条件付きアクセス ポリシーのために実際にはサインインが失敗している場合があります。There can be cases when the sign-in result in the report shows a successful sign-in, but the sign-in actually failed due to a conditional access policy.