Microsoft Entra の監視と正常性に関してよく寄せられる質問

Microsoft Entra エディションをアップグレードするには、「Microsoft Entra ID ライセンス」を参照してください。

無料ライセンスでのアクティビティ ログ データが既にある場合、そのデータがすぐに表示されます。 データが何もなかった場合は、レポートにデータが表示されるまでに最大 3 日かかります。

最近 Premium バージョン (試用版を含む) に切り替えた場合、初めは最大 7 日分のデータを確認できます。 データが蓄積されると、過去 30 日間のデータを確認できます。

いいえ。 監査ログとサインイン ログを表示する最小特権ロールはレポート閲覧者です。 その他のロールには、セキュリティ閲覧者とセキュリティ管理者が含まれます。

サインイン ログと監査ログはどちらも、Azure Monitor を介したルーティングに使用できます。 B2C 関連の監査イベントは現在含まれていません。 詳細については、「Microsoft Entra アクティビティ ログの統合」と「Graph API アクティビティ ログの概要」を参照してください。

Microsoft 365 アクティビティ ログと Microsoft Entra アクティビティ ログでは、ディレクトリ リソースの大部分が共有されています。 Microsoft 365 のアクティビティ ログをすべて閲覧する場合は、Microsoft 365 管理センター にアクセスして Office 365 アクティビティ ログ情報を取得する必要があります。 Microsoft 365 用 API については、Microsoft 365 Management API に関する記事を参照してください。

Microsoft Entra 管理センターからダウンロードできるログの数は、ブラウザーのメモリ サイズ、ネットワーク速度、Microsoft Entra レポート API の現在の負荷などのいくつかの要因によって決まります。 一般に、監査ログでは 250,000 件未満のデータ セットが、サインイン ログとプロビジョニング ログでは 100,000 件未満のデータ セットが、ブラウザーのダウンロード機能で適切に機能します。 含まれているフィールドの数に応じて、この数は異なる場合があります。 ブラウザーで大量のダウンロードの実行に問題が発生した場合は、レポート API を使用 してデータをダウンロードするか、診断設定を使用してログをエンドポイントに送信します。

ダウンロードできるログの具体的なセットは、ダウンロードを開始する際に Microsoft Entra 管理センターでアクティブになっているフィルターにより決まります。 たとえば、Microsoft Entra 管理センターで特定のユーザーにフィルタリングすることは、ダウンロードがその特定のユーザーのログをプルすることを意味します。 ダウンロードされたログ内の列は、変更されません。 Microsoft Entra 管理センターでカスタマイズした列に関係なく、出力には監査ログまたはサインイン ログのすべての詳細が含まれます。

ライセンスに応じて、7 日から 30 日間、Microsoft Entra ID にアクティビティ ログが保存されます。 詳細については、「Microsoft Entra レポートのアイテム保持ポリシー」を参照してください。

診断設定ストレージの保持機能は非推奨となっています。 この変更の詳細については、「診断設定ストレージ保持から Azure Storage ライフサイクル管理に移行する」を参照してください。

現在、ライセンス購入または有効化に対して、監査ログに特定のアクティビティはありません。 しかし、"PIM へのリソースのオンボード" アクティビティを、"リソース管理" カテゴリから、ライセンスの購入または有効化に関連付けることができる場合があります。 このアクティビティは常に利用できるとは限らず、また正確な詳細も提供されないことがあります。

これらの変更は、MFA と一部の GDPR イベントの処理方法に関連しています。 ユーザーの削除やユーザー データのエクスポートなどのイベントは監査ログにキャプチャされますが、アクティビティに関する記述は少しわかりにくい場合があります。 これらのアクティビティ ラベルの改善に取り組んでいます。 GDPR に関連するアクティビティ全体の一覧については、「監査アクティビティ」を参照してください。 これらのアクティビティは、DirectoryManagement カテゴリに関連付けられています。

signInActivity リソースは、しばらくサインインしていない非アクティブなユーザーを見つけるために使用されます。 ほぼリアルタイムでは更新されません。 より早くユーザーの前回のサインイン アクティビティを見つける必要がある場合は、Microsoft Entra サインイン ログを使用して、すべてのユーザーの準リアルタイムのサインイン アクティビティを確認できます。

CSV には、選択されているサインインの種類のサインイン ログが含まれています。 サインイン ログの Microsoft Graph API で、入れ子にされた配列として表されるデータは含まれていません。 たとえば、条件付きアクセス ポリシーとレポートのみの情報は含まれません。 サインイン ログに含まれるすべての情報をエクスポートする必要がある場合は、[データ設定のエクスポート] 機能を使用してください。

また、Microsoft Entra 管理センターで列をカスタマイズした場合でも、ダウンロードしたログに含まれる列は変更されない点に注意することも重要です。

ログを表示しているテナントにユーザーが属していない場合、ユーザーのプライバシーを保護するために、Microsoft Entra ID が、サインイン ログ内で IP アドレスの一部を削除することがあります。 このアクションは、次の 2 つの場合に発生します。

• CSP 技術者が CSP により管理されるテナントにサインインするときなど、クロス テナントでのサインイン中。
• ログを表示しているテナントにユーザーが所属していることを、Microsoft のサービスが、そのユーザーの ID により十分な確度で判断できなかった場合。

Microsoft Entra ID は、顧客データを保護するために、テナントに属していないデバイスにより生成された個人を特定できる情報 (PII) を削除します。 PII が、ユーザーとデータ所有者の同意なしにテナントの境界を超えて広がることはありません。

サインイン エントリがログで重複する理由はいくつかあり得ます。

• サインインでリスクが特定された場合は、その直後にほぼ同じ別のイベントが発行され、リスクが含まれます。
• サインインに関連する MFA イベントを受信すると、関連するすべてのイベントが元のサインインに集計されます。
• Kusto への発行など、サインイン イベントのパートナー発行が失敗した場合、イベントのバッチ全体が再試行および再発行され、この結果として重複が発生することがあります。
• 複数の条件付きアクセス ポリシーが関与するサインイン イベントが複数のイベントに分割されるような場合には、結果として、サインイン イベントごとに少なくとも 2 つのイベントが発生することがあり得ます。

非対話型サインインでは、1 時間ごとに大量のイベントがトリガーされる可能性があるため、ログではグループ化されます。

多くの場合、非対話型サインインは、サインインの日時を除き、すべて同じ特性を持ちます。 時間集計が 24 時間に設定されている場合、ログには同時刻のサインインが表示されます。 これらのグループ化された各行を展開して、正確なタイム スタンプを表示できます。

サインイン エントリがユーザー名フィールドにユーザー ID、オブジェクト ID、または GUID を表示するのには、いくつかの理由かあります。

• パスワードレス認証では、ユーザー ID がユーザー名として表示されます。 このシナリオを確認するには、問題のサインイン イベントの詳細を確認します。 authenticationDetail フィールドは "パスワードレス" と表示されます。
• ユーザーは認証されていますが、まだサインインしていません。 確認するために、中断に関連付けるエラー コード 50058 があります。
• ユーザー名フィールドに 000000-00000-0000-0000 などの類似した内容が表示されている場合は、テナントによる制限があり、ユーザーが選択したテナントにサインインできない可能性があります。
• 多要素認証のサインイン試行は、複数のデータ エントリで集約されるため、正しく表示されるまでに時間がかかることがあります。 データが完全に集計されるまでに、最大で 2 時間かかることもありますが、通常はこれより早く終了します。

いいえ。一般的な 90025 エラーは自動再試行で解決されるので、ユーザーはエラーに気づきません。 このエラーは、内部の Microsoft Entra サブサービスが再試行の許容回数に達し、テナントが調整されていることを示していない場合に発生する可能性があります。 これらのエラーは通常、Microsoft Entra ID によって内部で解決されます。 このエラーが原因でユーザーがサインインできない場合は、手動でもう一度試すと問題が解決されるはずです。

サービス プリンシパル ID の値が "0000000-0000-0000-0000-000000000000" の場合は、その認証インスタンスにクライアント アプリケーションのサービス プリンシパルはありません。 Microsoft Entra では、いくつかの Microsoft 製および他社製アプリケーションを除き、クライアント サービス プリンシパルなしのアクセス トークンは発行していません。

リソース サービス プリンシパル ID に値 "0000000-0000-0000-0000-000000000000" が含まれる場合は、その認証インスタンスにリソース アプリケーションのサービス プリンシパルは存在しません。

この動作は現在、限られた数のリソース アプリに対してのみ許可されています。

テナント内のクライアントまたはリソース サービス プリンシパルを使用せずに認証のインスタンスを照会することができます。

• クライアント サービス プリンシパルがないテナントのサインイン ログのインスタンスを検索するには、次のクエリを使用します。

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

• リソース サービス プリンシパルがないテナントのサインイン ログのインスタンスを検索するには、次のクエリを使用します。

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

次に示す Microsoft Entra 管理センターのサインイン ログを確認することもできます。

• Microsoft Entra 管理センターにサインインします。
• [ID]>[監視と正常性]>[サインイン ログ] の順に移動します。
• [サービス プリンシパルのサインイン] を選択してください。
• [日付] フィールドで適切な概算時間 (過去 24 時間、7 日間など) を選択します。
• フィルターを追加し、[サービス プリンシパル ID] を選択し、値 '00000000-0000-0000-0000-000000000000' を指定して、クライアント サービス プリンシパルのない認証のインスタンスを取得します。

特定のクライアントまたはリソース アプリのテナントで認証がどのように機能するかを制御する場合は、「Microsoft Entra アプリを一連のユーザーに制限する」の記事の手順に従ってください。

一部の非対話型サインインは、非対話型サインイン ログがパブリック プレビューで利用可能になる前に利用可能になりました。 これらの非対話型サインインは対話型サインイン ログに含まれ、非対話型ログが使用可能になった後も対話型サインイン ログに残りました。 FIDO2 キーを使用したサインインは、対話型サインイン ログに表示される非対話型サインインの例です。 現在、これらの非対話型ログは常に対話型サインイン ログに含まれます。

Identity Protection リスク検出 API を使用すると、Microsoft Graph を通じてセキュリティの検出にアクセスできます。 この API には、高度なフィルター処理、フィールドの選択が含まれており、リスク検出が 1 つのタイプに標準化されるため、SIEM などのデータ コレクション ツールに簡単に統合できます。

すべてのサインイン ログで、条件付きアクセス ポリシーのトラブルシューティングを実行できます。 条件付きアクセスの状態を確認し、サインインに適用されたポリシーの詳細と各ポリシーの結果を調べることができます。

作業を開始するには:

• Microsoft Entra 管理センターにサインインします。
• [ID]>[監視と正常性]>[サインイン ログ] の順に移動します。
• トラブルシューティングを行うサインインを選択します。
• [条件付きアクセス] タブを選択し、サインインに影響を与えたすべてのポリシーと、各ポリシーの結果を表示します。

条件付きアクセスの状態には、次の値が表示される可能性があります。

• 未適用: スコープ内にユーザーとアプリがある条件付きアクセス ポリシーがなかったことを意味します。
• 成功: スコープ内にユーザーとアプリがある条件付きアクセス ポリシーがあり、条件付きアクセス ポリシーが正常に満たされます。
• 失敗:サインインによって少なくとも 1 つの条件付きアクセス ポリシーのユーザーとアプリケーションの条件が満たされたうえで、制御の許可が満たされていないか、またはアクセスをブロックするように設定されています。

条件付きアクセス ポリシーには、次の結果が表示される可能性があります。

• 成功:ポリシーは正常に満たされました。
• 失敗: ポリシーは満たされませんでした。
• 適用されていません: ポリシー条件が満たされていない可能性があります。
• 有効化されていません: ポリシーが無効状態になっている可能性があります。

サインイン ログのポリシー名は、サインイン時の条件付きアクセス ポリシー名に基づいています。 この名前は、サインイン後にポリシー名を更新した場合、条件付きアクセスのポリシー名と一致しなくなることがあります。

現在、条件付きアクセスが適用されている場合は、サインイン ログに表示される Exchange ActiveSync シナリオの結果が、正確ではないことがあります。 レポートのサインイン結果にサインインの成功と表示されても、ポリシーのために実際にはサインインが失敗している場合があります。

API リファレンスを参照して、API を使用してアクティビティ ログにアクセスできる方法を確認してください。 このエンドポイントには 2 つのレポート (監査ととサインイン) があり、旧 API エンドポイントで取得したすべてのデータが提供されます。 この新しいエンドポイントには、アプリの使用状況、デバイスの使用状況、およびユーザー サインイン情報の取得に使用できる Microsoft Entra ID P1 または P2 ライセンスによるサインイン レポートもあります。

Identity Protection リスク検出 API を使用すると、Microsoft Graph を通じてセキュリティの検出にアクセスできます。 この新しい形式により、データのクエリの実行方法がより柔軟になります。 この形式には、高度なフィルター処理、フィールドの選択が用意されており、リスク検出が 1 つのタイプに標準化されるため、SIEM などのデータ コレクション ツールにより簡単に統合できます。 データの形式が異なるため、古いクエリの代わりに新しいクエリを使うことはできません。 ただし、新しい API は Microsoft 365 や Microsoft Entra ID のような API 向けの Microsoft 標準である Microsoft Graph を使用します。 そのため、作業が必要になれば、現在の Microsoft Graph への投資を拡大するか、または、この新しい標準プラットフォームへの移行開始を促すことができます。

その場合、Microsoft Entra 管理センターとは別に Microsoft Graph にサインインする必要があります。 右上隅にあるプロファイル アイコンを選択し、右側のディレクトリにサインインします。 アクセス許可のないクエリを実行しようとしている可能性があります。 [アクセス許可の変更] を選択し、[同意] ボタンを選択します。 サインイン プロンプトに従います。

トークンを使用して Microsoft Graph エンドポイントを呼び出すたびに、その呼び出しで MicrosoftGraphActivityLogs が更新されます。 これらの呼び出しの一部はファースト パーティのアプリ専用呼び出しであり、サービス プリンシパルのサインイン ログには発行されません。 サインイン ログで見つからない uniqueTokenIdentifier が MicrosoftGraphActivityLogs に表示されている場合、トークン識別子はファースト パーティのアプリ専用トークンを参照しています。

"完了" とマークされたものの推奨事項に関するアクティビティがサービスによって検出されると、それは自動的に "アクティブ" に戻ります。