次の方法で共有


Microsoft Entra ID でアクティビティ ログにアクセスする方法

Microsoft Entra ログに収集されたデータを使用すると、Microsoft Entra テナントのさまざまな側面を評価できます。 さまざまなシナリオに対応するために、Microsoft Entra ID では、アクティビティ ログ データにアクセスするためのいくつかのオプションが提供されています。 IT 管理者は、シナリオに適したアクセス機構を選択できるように、これらのオプションのユース ケースを理解する必要があります。

Microsoft Entra アクティビティ ログとレポートには、以下の方法でアクセスできます:

これらの方法は、それぞれ特定のシナリオに適した機能を実現するためのものです。 この記事では、これらのシナリオについて、アクティビティ ログのデータを使用する関連レポートの推奨事項や詳細を含め説明します。 この記事で各種の選択肢を詳しく検討し、これらのシナリオをよく理解して、適切な方法を選択してください。

前提条件

必要なロールとライセンスは、レポートによって異なります。 Microsoft Graph の監視データと正常性データにアクセスするには、個別のアクセス許可が必要です。 ゼロ トラスト ガイダンスに沿うには、最低特権アクセス権を持つ役割を使用することをお勧めします。 ロールの完全な一覧については、「タスク別の特権ロール」を参照してください。

ログ/レポート 役割 ライセンス
監査ログ レポート閲覧者
セキュリティ閲覧者
セキュリティ管理者
Microsoft Entra ID のすべてのエディション
サインイン ログ レポート閲覧者
セキュリティ閲覧者
セキュリティ管理者
Microsoft Entra ID のすべてのエディション
プロビジョニング ログ レポート閲覧者
セキュリティ閲覧者
アプリケーション管理者
クラウド アプリ管理者
Microsoft Entra ID P1 または P2
カスタム セキュリティ属性の監査ログ* 属性ログ管理者
属性ログ閲覧者
Microsoft Entra ID のすべてのエディション
正常性 レポート閲覧者
セキュリティ閲覧者
ヘルプデスク管理者
Microsoft Entra ID P1 または P2
Microsoft Entra ID 保護** セキュリティ管理者
セキュリティ オペレーター
セキュリティ閲覧者
グローバル閲覧者
Microsoft Entra ID Free
Microsoft 365 Apps
Microsoft Entra ID P1 または P2
Microsoft Graph アクティビティ ログ セキュリティ管理者
対応するログ保存先のデータにアクセスするアクセス許可
Microsoft Entra ID P1 または P2
使用状況と分析情報 レポート閲覧者
セキュリティ閲覧者
セキュリティ管理者
Microsoft Entra ID P1 または P2

*監査ログでカスタム セキュリティ属性を表示するか、カスタム セキュリティ属性の診断設定を作成するには、いずれかの属性ログの役割が必要です。 標準の監査ログを閲覧するための適切な役割も必要です。

**Microsoft Entra ID 保護のアクセス レベルと機能は、役割とライセンスによって異なります。 詳細については、「ID 保護のライセンス要件」を参照してください。

監査ログは、ライセンスを取得している機能に関して使用できます。 Microsoft Graph API を使用してサインイン ログにアクセスするには、テナントに Microsoft Entra ID P1 または P2 ライセンスが関連付けられている必要があります。

Microsoft Entra 管理センターを使用してログを表示する

範囲が限定されたこれらの 1 回限りの調査では、多くの場合、Microsoft Entra 管理センター が必要なデータを見つける最も簡単な方法です。 個々のレポートのユーザー インターフェイスに、シナリオの解決に必要なエントリを見つけるためのフィルター オプションが用意されています。

Microsoft Entra アクティビティ ログに取り込まれたデータは、多くのレポートやサービスで使用されます。 サインイン、監査、プロビジョニングのログを確認して 1 回限りのシナリオについて調べることや、レポートを使用してパターンや傾向を確認することができます。 アクティビティ ログのデータは、ID 保護レポートを取り込むのに役立ちます。これにより、Microsoft Entra ID で検出して報告できる情報セキュリティ関連のリスク検出が提供されます。 Microsoft Entra アクティビティ ログには、テナントのアプリケーションの使用状況の詳細を提供する [使用状況と分析情報] のレポートも取り込まれます。

Azure portal で提供されるレポートには、テナント内のアクティビティと使用状況を監視するためのさまざまな機能があります。 以下の一覧は、用途やシナリオの一部を挙げたものにすぎません。ニーズに合ったレポートの詳細情報を確認してください。

  • 特定のユーザーのサインイン アクティビティ調査や、特定のアプリケーションの使用状況追跡を実施します。
  • 監査ログで、グループ名の変更、デバイスの登録、パスワードの再設定に関する詳細情報を確認します。
  • ID 保護レポートで、危険にさらされているユーザー、危険なワークロード ID、危険なサインインを監視します。
  • テナントで使用中のアプリケーションにユーザーがアクセスできることを確認するため、[使用状況と分析情報] から Microsoft Entra アプリケーション アクティビティ (プレビュー) レポートのサインイン成功率を確認します。
  • [使用状況と分析情報] の認証方法レポートでは、ユーザーが好んで使用するさまざまな認証方法を比較検討することができます。

クイック操作

Microsoft Entra 管理センターのレポートにアクセスするには、次の基本的な手順を使用します。

  1. [ID]>[監視と正常性]>[監査ログ]/[サインイン ログ]/[プロビジョニング ログ] の順で移動します。
  2. 必要に応じてフィルターを調整します。

監査ログには、作業している Microsoft Entra 管理センターの領域から直接アクセスできます。 たとえば、Microsoft Entra ID の [グループ] または [ライセンス] セクションにいる場合 は、その領域から、それら特定のアクティビティの監査ログに直接アクセスできます。 この方法で監査ログにアクセスする場合、フィルター カテゴリは自動的に設定されます。 グループ 内にいるのであれば、監査ログ フィルターのカテゴリは GroupManagement に設定されます。

イベント ハブにログをストリーム配信し、SIEM ツールと統合する

アクティビティ ログを Splunk や SumoLogic などのセキュリティ情報イベント管理 (SIEM) ツールと統合するには、アクティビティ ログをイベント ハブにストリームする必要があります。 ログをイベント ハブにストリーム配信する前に、Azure サブスクリプションに Event Hubs 名前空間とイベント ハブをセットアップ する必要があります。

イベント ハブとの統合が可能な SIEM ツールには、分析と監視の機能があります。 それらのツールを他のソースからのデータ取り込みに既に使用している場合は、ID データをストリーム配信することで、より包括的な分析と監視を実現できます。 以下の種類のシナリオでは、アクティビティ ログをイベント ハブにストリーミングすることをお勧めします。

  • 毎秒数百万件ものイベントを受信して処理するには、ビッグ データ ストリーミング プラットフォームとイベント取り込みサービスが必要です。
  • リアルタイム分析プロバイダーまたはバッチ処理/ストレージ アダプターを使用してデータの変換と格納を行います。

クイック操作

  1. セキュリティ管理者 以上の権限で Microsoft Entra 管理センターにサインインします。
  2. Event Hubs 名前空間とイベント ハブを作成します。
  3. [ID]>[監視と正常性]>[診断設定] の順にアクセスします。
  4. ストリームするログを選択して、[イベント ハブへのストリーム] オプションを選択し、フィールドに設定を入力します。

独立したセキュリティ ベンダーは、Azure Event Hubs からツールにデータを取り込む方法についての指示を提供する必要があります。

Microsoft Graph API を介してログにアクセスする

Microsoft Graph API には、Microsoft Entra ID P1 または P2 テナントのデータへのアクセスに使用できる統合プログラミング モデルが用意されています。 管理者や開発者が、スクリプトやアプリをサポートするために追加のインフラストラクチャをセットアップする必要はありません。

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

Microsoft Graph エクスプローラーでは、以下の種類のシナリオに役立つクエリを実行できます:

  • テナント アクティビティ (たとえば、グループに加えられた変更の実行者と日時など) を参照する。
  • Microsoft Entraサインイン イベントに、安全またはセキュリティ侵害の確認済みマークを付ける。
  • 過去 30 日間に行われたアプリケーション サインインの一覧を取得します。

メモ

Microsoft Graph を使うと、独自の調整制限を課す複数のサービスからデータにアクセスできます。 アクティビティ ログの調整の詳細については、「Microsoft Graph サービス固有の調整制限」を参照してください。

クイック操作

  1. 前提条件を構成します
  2. Graph エクスプローラー にサインインします。
  3. HTTP メソッドと API バージョンを設定します。
  4. クエリを追加し、[クエリの実行] ボタンを選択します。

ログを Azure Monitor ログに統合する

Azure Monitor ログへの統合では、接続されたデータに関する豊富な視覚化、監視、アラートを実現できます。 Log Analytics では、Microsoft Entra アクティビティ ログの拡張クエリと分析機能が提供されます。 Microsoft Entra アクティビティ ログを Azure Monitor ログと統合するには、Log Analytics ワークスペースが必要です。 Log Analytics のクエリはワークスペースから実行できます。

Microsoft Entra ログを Azure Monitor ログと統合すると、一元化された場所でログのクエリを実行できます。 以下の種類のシナリオでは、ログを Azure Monitor に統合することをおすすめします:

  • Microsoft Entra サインイン ログを、他の Azure サービスによって公開されたログと比較する。
  • サインイン ログを Azure Application Insights と関連付けます。
  • 特定の検索パラメーターを使用してログのクエリを実行します。

クイック操作

  1. セキュリティ管理者 以上の権限で Microsoft Entra 管理センター にサインインします。
  2. Log Analytics ワークスペースを作成します
  3. [ID]>[監視と正常性]>[診断設定] の順にアクセスします。
  4. ストリーム配信するログを選択して、[Log Analytics ワークスペースへの送信] オプションを選択し、フィールドに設定を入力します。
  5. [ID]>[監視と正常性]>[Log Analytics] にアクセスし、データのクエリを開始します。

Microsoft Sentinel を使用してイベントを監視する

サインイン ログと監査ログを Microsoft Sentinel に送信すると、利用環境のセキュリティ オペレーション センターで、凖リアルタイムのセキュリティ検出と脅威の追求を実施できるようになります。 脅威の追求 という用語は、環境のセキュリティ態勢を改善するための事前アプローチを指します。 従来の保護策とは異なり、脅威の追求とは、システムに害を及ぼす可能性がある潜在的な脅威について事前特定を試みる活動です。 アクティビティ ログ データは、脅威の追求ソリューションの一部である可能性があります。

セキュリティ分析と脅威インテリジェンスを必要とする組織には、Microsoft Sentinel のリアルタイム セキュリティ検出機能を利用することをお勧めします。 以下を行う必要がある場合は、Microsoft Sentinel を使用することをお勧めします:

  • エンタープライズ全体のセキュリティ データを収集します。
  • 膨大な規模の脅威インテリジェンスを活用して脅威を検出します。
  • 重大インシデントの調査に AI によるガイドを活用します。
  • 迅速に対応し、保護の自動化を実現します。

クイック操作

  1. 前提条件ロールとアクセス権 についての詳細情報をご覧ください。
  2. 潜在的なコストを見積もります
  3. Microsoft Sentinel にオンボードします
  4. Microsoft Entra データを収集します
  5. 脅威の追求を開始します

保管やクエリ用にログをエクスポートする

貴社に最適な長期保管ソリューションは、予算規模と、保管したデータの利用計画によって異なります。 以下の 3 つの選択肢があります:

  • ログを Azure Storage にアーカイブする
  • ログをダウンロードして手作業で保管する
  • ログを Azure Monitor ログに統合する

Azure Storage は、データのクエリを頻繁に実行する予定がない場合に適したソリューションです。 詳細については、「ディレクトリのログをストレージ アカウントにアーカイブする」を参照してください。

レポート作成や分析のために、保管したログに対してクエリを頻繁に実行する場合は、Azure Monitor ログにデータを統合 することをお勧めします。

予算の制約が厳しく、安価な方法でアクティビティ ログの長期的なバックアップを作成する必要がある場合は、手作業でログをダウンロード することができます。 ポータルにあるアクティビティ ログのユーザー インターフェイスには、データを JSON または CSV としてダウンロードするオプションが用意されています。 手作業によるダウンロードには、手動での操作が多数必要になるという短所があります。 本格的な業務に適したソリューションには、Azure Storage または Azure Monitor をお使いください。

ガバナンスやコンプライアンスのシナリオで長期保管が必要とされる場合は、アクティビティ ログのアーカイブに使用するストレージ アカウントをセットアップすることをお勧めします。

データの長期保管とクエリの 両方 が必要な場合は、「Azure Monitor ログへのアクティビティ ログの統合」に関するセクションを参照してください。

予算上の制約がある場合は、アクティビティ ログを手動でダウンロードして保管することをお勧めします。

クイック操作

アクティビティ ログをアーカイブまたはダウンロードするための基本的な手順は以下のとおりです。

  1. セキュリティ管理者 以上の権限で Microsoft Entra 管理センターにサインインします。
  2. ストレージ アカウントを作成します。
  3. [ID]>[監視と正常性]>[診断設定] の順にアクセスします。
  4. ストリームするログを選択して、[ストレージ アカウントへのアーカイブ] オプションを選択し、フィールドに設定を入力します。

次のステップ