Microsoft Entra の監視と正常性とは?

Microsoft Entra の監視と正常性の機能は、環境内の ID 関連のアクティビティの包括的なビューを提供します。 このデータによって次のことが可能となります。

• ユーザーがアプリとサービスをどのように利用しているかを明らかにします。
• 環境の正常性に影響する潜在的リスクを検出します。
• ユーザーの作業を妨げている問題をトラブルシューティングする。

サインイン ログと監査ログは、多くの Microsoft Entra レポートの背後にあるアクティビティ ログを構成し、これはテナントのアクティビティの分析、監視、トラブルシューティングに使用できます。 アクティビティ ログを分析と監視のソリューションにルーティングすると、テナントの正常性とセキュリティに関するより深い分析情報が得られます。

この記事では、Microsoft Entra ID で使用できるアクティビティ ログの種類、ログを使用するレポート、およびデータの分析に役立つ利用可能な監視サービスについて説明します。

ID アクティビティ ログ

アクティビティ ログは、組織内のユーザーの行動を把握するのに役立ちます。 Microsoft Entra ID には、次の 3 種類のアクティビティ ログがあります。

• 監査ログには、テナントで実行されたすべてのタスクの履歴が含まれます。

• サインイン ログは、ユーザーとクライアント アプリケーションのサインインの試行をキャプチャします。

• プロビジョニング ログは、サード パーティ サービスを通してテナント内でプロビジョニングされているユーザーに関する情報を提供します。

アクティビティ ログは、Azure portal 内でまたは Microsoft Graph API を使用して表示できます。 アクティビティ ログは、保存または分析のためにさまざまなエンドポイントにルーティングすることもできます。 アクティビティ ログを表示するためのすべてのオプションについては、「アクティビティ ログにアクセスする方法」を参照してください。

監査ログ

監査ログは、コンプライアンスのためのシステム アクティビティの記録を提供します。 このデータを使用して、次のような一般的なシナリオに対処することができます。

• テナント内のだれかが管理者グループにアクセスした。 だれがアクセス権を与えたのか。
• 最近アプリをオンボードし、それが上手く機能しているかを知りたいので、特定のアプリにサインインしているユーザーのリストを知りたい。
• テナント内でどの程度の数のパスワード リセットが起きているかを知りたい。

サインイン ログ

サインイン ログによって、次のような疑問に対する答えを見つけることができます。

• ユーザーのサインインにどのようなパターンがあるか。
• 1 週間で何人のユーザーがユーザー サインインを行ったか。
• これらのサインインはどのような状態か。

プロビジョニング ログ

プロビジョニング ログを使うと、次のような疑問を解決することができます。

• ServiceNow で正常に作成されたグループ
• Adobe から正常に削除されたユーザー
• Active Directory で正常に作成された Workday のユーザー

ID レポート

Microsoft Entra アクティビティ ログのデータの確認は、IT 管理者に有用な情報を提供する可能性があります。 主要なシナリオでのデータの確認プロセスを効率化するために、アクティビティ ログを使用する一般的なシナリオに関するいくつかのレポートが作成されました。

• Identity Protection は、サインイン データを使用して、危険なユーザーとサインイン アクティビティに関するレポートを作成します。
• サービス プリンシパルやアプリ資格情報アクティビティなど、アプリケーションに関連するアクティビティは、使用状況と分析情報内のレポートを作成するために使用されます。
• Microsoft Entra ブックは、アクティビティ ログを表示および分析するためのカスタマイズ可能な方法を提供します。
• Microsoft Entra の推奨事項の状態を監視して、テナントのセキュリティを向上させます。

ID 監視とテナントの正常性

Microsoft Entra アクティビティ ログの確認は、テナントの正常性とセキュリティを維持および改善するための最初のステップです。 データを分析し、危険なシナリオを監視し、改善を行える場所を決定する必要があります。 Microsoft Entra 監視は、情報に基づいた意思決定を行うのに役立つ必要なツールを提供します。

Microsoft Entra アクティビティ ログを監視するには、ログ データを監視と分析のソリューションにルーティングする必要があります。 エンドポイントには、Azure Monitor ログ、Microsoft Sentinel、またはサードパーティ ソリューションであるサードパーティー セキュリティ情報イベント管理 (SIEM) ツールが含まれます。

• イベント ハブにログをストリーミングし、サードパーティー SIEM ツールとの統合を行います。
• ログを Azure Monitor ログと統合します。
• Azure Monitor ログと Log Analytics を使用してログを分析します。

アクティビティ ログへのアクセス、保存、分析の方法の概要については、「アクティビティ ログにアクセスする方法」を参照してください。