Microsoft Entra アクティビティ ログのスキーマ

この記事では、Microsoft Entra アクティビティ ログに含まれる情報、ならびにそのスキーマが他のサービスで使用される方法について説明します。 この記事では、Microsoft Entra 管理センターと Microsoft Graph のスキーマについて説明します。 いくつかの主要なフィールドについて説明します。

前提条件

  • ライセンスと役割の要件については、「Microsoft Entra の監視と正常性のライセンス」を参照してください。
  • ログをダウンロードするオプションは、Microsoft Entra ID のすべてのエディションで利用できます。
  • Microsoft Graph を使用してプログラムでログをダウンロードするには、Premium ライセンスが必要です。
  • レポート閲覧者 は、Microsoft Entra のアクティビティ ログを閲覧するために必要な最小限の特権ロールです。
  • 監査ログは、ライセンスを取得している機能に関して使用できます。
  • 必要なライセンスがない場合、ダウンロードしたログの結果に一部のプロパティが hidden と表示されることがあります。

ログ スキーマとは

Microsoft Entra の監視と正常性は、Azure Monitor、Microsoft Sentinel、その他のサービスと統合できるログ、レポート、監視ツールを提供します。 これらのサービスは、ログのプロパティをサービスの構成にマッピングする必要があります。 スキーマは、プロパティのマップ、使用可能な値、サービスによって使用される方法になります。 ログ スキーマを理解すると、効果的なトラブルシューティングとデータ解釈に役立ちます。

Microsoft Graph は、Microsoft Entra ログにプログラムでアクセスする主要な方法です。 Microsoft Graph 呼び出しの応答は JSON 形式であり、ログのプロパティと値が含まれます。 ログのスキーマは、Microsoft Graph のドキュメントで定義されています。

Microsoft Graph API には 2 つのエンドポイントがあります。 V1.0 エンドポイントは最も安定しており、運用環境で一般的に使用されています。 多くの場合、ベータ版にはより多くのプロパティが含まれていますが、変更される可能性があります。 このため、運用環境でスキーマのベータ版を使用することはお勧めしません。

Microsoft Entra の顧客は、Azure Monitor ストレージ アカウントに送信されるアクティビティ ログのストリームを構成できます。 この統合により、セキュリティ情報イベント管理 (SIEM) 接続、長期的なストレージ、ログ分析を使用したクエリ機能の向上が可能になります。 Azure Monitor のログ スキーマは、Microsoft Graph スキーマとは異なる場合があります。

これらのスキーマの詳細については、次の記事を参照してください。

スキーマを解釈する方法

値の定義を調べるとき、ご使用のバージョンに注意してください。 V1.0 とベータ版のスキーマには違いがある場合があります。

すべてのログ スキーマに記載されている値

一部の値はすべてのログ スキーマで共通です。

  • correlationId: この一意の ID はさまざまなサービスにまたがるアクティビティを関連付けを可能にし、トラブルシューティングに使用されます。 この値が複数のログに存在しても、サービス間でログを結合する機能は示されません。
  • status または result: この重要な値は、アクティビティの結果を示します。 指定できる値は、successfailuretimeoutunknownFutureValue です。
  • 日付と時刻: アクティビティが発生した日時は協定世界時 (UTC) で表示されます。
  • 一部のレポート機能には Microsoft Entra ID P2 ライセンスが必要です。 正しいライセンスがない場合、hidden の値が返されます。

監査ログ

  • activityDisplayName: アクティビティ名または操作名を示します (例: 「ユーザーの作成」と「グループにメンバーの追加」)。 詳細については、「監査ログ アクティビティ」を参照してください。
  • category は、アクティビティの対象となるリソース カテゴリを示します。 たとえば、UserManagementGroupManagementApplicationManagementRoleManagement などです。 詳細については、「監査ログ アクティビティ」を参照してください。
  • initiatedBy はアクティビティを開始したユーザーまたはアプリに関する情報を示します。
  • targetResources は、変更されたリソースに関する情報を提供します。 指定できる値には、UserDeviceDirectoryAppRoleGroupPolicyOther などがあります。

サインイン ログ

  • ID 値: ユーザー、テナント、アプリケーション、リソースには一意の識別子があります。 例には、次のものがあります。
    • resourceId: ユーザーがログインした リソース
    • resourceTenantId: アクセスされているリソースを所有するテナント。 homeTenantId と同じの場合があります。
    • homeTenantId: ログインしていてユーザー アカウントを所有するテナント。
  • リスク情報: 危険なユーザー、ログイン、リスク検出の特定の状態に関連する理由を説明します。
    • riskState: 危険なユーザー、ログイン、リスク イベントの状態を報告します。
    • riskDetail: 危険なユーザー、ログイン、リスク検出の特定の状態に関連する理由を説明します。 値 none は、ユーザーまたはログインに対してこれまで何のアクションも実行されていないことを意味します。
    • riskEventTypes_v2: ログインに関連するリスク検出の種類。
    • riskLevelAggregated: 集計リスク レベル。 値 hidden は、Microsoft Entra ID 保護に対してユーザーまたはログインが有効になっていなかったことを意味します。
  • crossTenantAccessType: リソースにアクセスするために使用されるクロステナント アクセスの種類を説明します。 たとえば、B2B、Microsoft サポート、パススルーのログインがここにキャプチャされます。
  • status: エラー コードとエラーの説明を含むログイン状態 (ログインエラーが発生した場合)。

適用される条件付きアクセス ポリシー

appliedConditionalAccessPolicies サブセクションには、そのログイン イベントに関連する条件付きアクセス ポリシーが記載されます。 このセクションは適用条件付きアクセス ポリシーと呼ばれますが、適用されていないポリシーもこのセクションに表示されます。 ポリシーごとに個別のエントリーが作成されます。 詳細については、「conditionalAccessPolicy リソースの種類」を参照してください。