Microsoft Entra サインイン ログとは
Microsoft Entra では、Microsoft Entra テナントへのすべてのサインインが記録されます。これには、内部アプリとリソースが含まれます。 IT 管理者は、ログの値を正しく解釈できるように、サインイン ログの値の意味を把握しておく必要があります。
サインイン エラーとパターンを確認すると、ユーザーがアプリケーションやサービスにアクセスする方法について貴重な分析情報を得ることができます。 Microsoft Entra ID によって提供されるサインイン ログは、分析ができる強力な種類のアクティビティ ログです。 この記事では、サインイン ログのいくつかの重要な側面について説明します。
テナントの正常性を監視するには、他にも次の 2 つのアクティビティ ログを使用できます。
- 監査 - ユーザーやグループの管理、テナントのリソースに適用された更新など、テナントに適用された変更に関する情報。
- プロビジョニング - ServiceNow でのグループの作成や、Workday からインポートされたユーザーなど、プロビジョニング サービスによって実行されるアクティビティ。
ライセンスとロールの要件
必要なロールとライセンスは、レポートによって異なります。 Microsoft Graph の監視データと正常性データにアクセスするには、個別のアクセス許可が必要です。 ゼロ トラスト ガイダンスに沿うには、最低特権アクセス権を持つ役割を使用することをお勧めします。 ロールの完全な一覧については、「タスク別の特権ロール」を参照してください。
| ログ/レポート | 役割 | ライセンス |
|---|---|---|
| 監査ログ | レポート閲覧者 セキュリティ閲覧者 セキュリティ管理者 |
Microsoft Entra ID のすべてのエディション |
| サインイン ログ | レポート閲覧者 セキュリティ閲覧者 セキュリティ管理者 |
Microsoft Entra ID のすべてのエディション |
| プロビジョニング ログ | レポート閲覧者 セキュリティ閲覧者 アプリケーション管理者 クラウド アプリ管理者 |
Microsoft Entra ID P1 または P2 |
| カスタム セキュリティ属性の監査ログ* | 属性ログ管理者 属性ログ閲覧者 |
Microsoft Entra ID のすべてのエディション |
| 正常性 | レポート閲覧者 セキュリティ閲覧者 ヘルプデスク管理者 |
Microsoft Entra ID P1 または P2 |
| Microsoft Entra ID 保護** | セキュリティ管理者 セキュリティ オペレーター セキュリティ閲覧者 グローバル閲覧者 |
Microsoft Entra ID Free Microsoft 365 Apps Microsoft Entra ID P1 または P2 |
| Microsoft Graph アクティビティ ログ | セキュリティ管理者 対応するログ保存先のデータにアクセスするアクセス許可 |
Microsoft Entra ID P1 または P2 |
| 使用状況と分析情報 | レポート閲覧者 セキュリティ閲覧者 セキュリティ管理者 |
Microsoft Entra ID P1 または P2 |
*監査ログでカスタム セキュリティ属性を表示するか、カスタム セキュリティ属性の診断設定を作成するには、いずれかの属性ログの役割が必要です。 標準の監査ログを閲覧するための適切な役割も必要です。
**Microsoft Entra ID 保護のアクセス レベルと機能は、役割とライセンスによって異なります。 詳細については、「ID 保護のライセンス要件」を参照してください。
サインイン ログから得られる情報
サインイン ログを使用して、次のような質問に答えることができます。
- 今週、特定のアプリケーションにサインインしたユーザーは何人ですか?
- 過去 24 時間に失敗したサインイン試行は何回発生しましたか?
- ユーザーは特定のブラウザーまたはオペレーティング システムからサインインしていますか?
- マネージド ID とサービス プリンシパルによってアクセスされた Azure リソースはどれですか?
次の詳細を特定することで、サインイン要求に関連付けられているアクティビティを記述することもできます。
- 対象者 -サインインを実行する本人 (ユーザー)。
- 方法 – サインインに使用されるクライアント (アプリケーション)。
- 内容 - 本人によってアクセスされるターゲット (リソース)。
サインイン ログへのアクセス方法
ニーズに応じて、ログにアクセスする方法はいくつかあります。 詳細については、アクティビティ ログにアクセスする方法に関する記事を参照してください。
ユーザーに Microsoft Entra 管理センターにサインインしてもらいます。
- Microsoft Entra 管理センターにレポート閲覧者以上でサインインしてください。
- [ID]>[監視と正常性]>[サインイン ログ] の順に移動します。
Microsoft Entra 管理センターでサインイン ログをより効果的に使用するには、特定のログ セットのみを表示するようにフィルターを調整します。 詳細については、Filter サインイン ログに関するページを参照してください。
サインイン ログの種類は何ですか?
サインイン ログ プレビューには、次の 4 種類のログがあります。
従来のサインイン ログには、対話型ユーザー サインインのみが含まれます。
注意
サインイン ログのエントリはシステムによって生成されるため、変更または削除することはできません。
他のサービスで使用されるサインイン データ
サインイン データは、危険なサインインを監視し、アプリケーションの使用状況に関する分析情報を提供するなどのために、Azure と Microsoft Entra の複数のサービスによって使用されます。
Microsoft Entra ID Protection
危険なサインインに関連するサインイン ログ データの可視化は、次のデータを使用する Microsoft Entra ID Protection の概要で利用できます。
- 危険なユーザー
- 危険なユーザーのサインイン
- 危険なワークロード ID
Microsoft Entra ID Protection の詳細については、Microsoft Entra ID Protection の概要に関する記事を参照してください。
Microsoft Entra の使用状況と分析情報
アプリケーション固有のサインイン データを表示するには、Microsoft Entra ID>[監視と正常性]>[使用状況と分析情報] を参照します。 これらのレポートでは、Microsoft Entra アプリケーション アクティビティと AD FS アプリケーション アクティビティのサインインを詳細に確認できます。 詳細については、Microsoft Entra の使用状況と分析情報に関する記事を参照してください。
[使用状況と分析情報] には、複数のレポートがあります。 これらのレポートの一部はプレビュー段階です。
- Microsoft Entra アプリケーション アクティビティ (プレビュー)
- AD FS アプリケーション アクティビティ
- 認証方法のアクティビティ
- サービス プリンシパル サインイン アクティビティ
- アプリケーション資格情報アクティビティ
Microsoft 365 のアクティビティ ログ
Microsoft 365 のアクティビティ ログは、Microsoft 365 管理センターから確認できます。 Microsoft 365 アクティビティと Microsoft Entra アクティビティのログでは、数多くのディレクトリ リソースが共有されます。 Microsoft 365 のアクティビティ ログがすべて表示されるのは、Microsoft 365 管理センターだけです。
Microsoft 365 アクティビティ ログには、Office 365 Management API を使用してプログラムでアクセスすることができます。