Microsoft Entra の監視と正常性とは

Microsoft Entra の監視と正常性の機能は、環境の ID 関連のアクティビティにおける包括的なビューを提供します。 このデータによって次のことが可能です。

• ユーザーがアプリとサービスを活用する方法を特定します。
• 環境の正常性に影響する潜在的リスクを検出します。
• ユーザーの作業を妨げている問題をトラブルシューティングします。
• Microsoft Entra ディレクトリに対する変更の監査イベントを確認し、分析情報を得る。

ログイン ログと監査ログは、多くの Microsoft Entra レポートに関連するアクティビティ ログを構成し、テナントのアクティビティの分析、監視、トラブルシューティングに使用できます。 アクティビティ ログを分析と監視ソリューションにルーティングすると、テナントの正常性とセキュリティに関する詳細な分析情報が得られます。

この記事では、Microsoft Entra ID で利用できるアクティビティ ログの種類、ログを使用するレポート、データの分析に使用するために利用可能な監視サービスについて説明します。

ID アクティビティ ログ

アクティビティ ログは、組織のユーザーの行動を把握するための参考になります。 Microsoft Entra ID には、次の 3 種類のアクティビティ ログがあります。

• 監査ログには、テナントで実行されたすべてのタスクの履歴が含まれます。

• ログイン ログは、ユーザーとクライアント アプリケーションのログイン試行を捉えます。

• プロビジョニング ログは、サード パーティ サービスを介してテナントでプロビジョニングされているユーザーに関する情報を提供します。

アクティビティ ログは、Azure portal または Microsoft Graph API を使用して確認できます。 アクティビティ ログは、保存または分析のためにさまざまなエンドポイントにルーティングすることもできます。 アクティビティ ログを確認するすべてのオプションについては、「アクティビティ ログにアクセスする方法」を参照してください。

監査ログ

監査ログは、コンプライアンスのためのシステム アクティビティの記録を提供します。 このデータは、次のような一般的なシナリオに対処できるようにします。

• テナントのあるユーザーが管理者グループにアクセスした。 誰がアクセス権を与えたのだろうか。
• 最近、特定のアプリをオンボードして上手く機能しているかどうかについて知りたいため、アプリにログインしているユーザーのリストを知りたい。
• テナントで発生しているパスワード リセットの回数について知りたい。

サインイン ログ

ログイン ログは、次のような疑問に対する回答を得ることができます。

• ユーザーのサインインにどのようなパターンがあるか。
• 1 週間で何人のユーザーがユーザー サインインを行ったか。
• これらのサインインはどのような状態か。

プロビジョニング ログ

プロビジョニング ログを使うと、次のような疑問を解決することができます:

• どんなグループが ServiceNow で正常に作成されましたか?
• どんなユーザーが Adobe から正常に削除されましたか?
• どんなユーザーが Active Directory で正常に作成されましたか?

ID レポート

Microsoft Entra アクティビティ ログのデータを確認すると、IT 管理者は便利な情報を得ることができます。 主要なシナリオでデータの確認プロセスを効率化するため、アクティビティ ログを使用する一般的なシナリオに関するいくつかのレポートが作成されました。

• ID 保護 はログイン データを使用し、危険なユーザーとログイン アクティビティに関するレポートを作成します。
• サービス プリンシパルやアプリ認証情報アクティビティなど、アプリケーションに関連するアクティビティは、使用状況と分析情報でレポートを作成するために使用されます。
• Microsoft Entra ブックは、アクティビティ ログを確認と分析するためにカスタマイズ可能な方法を提供します。
• Microsoft Entra の推奨事項は、テナントのセキュリティの監視と向上のために使用します。
• Microsoft Entra Health は、いくつかの主要なシナリオに対するグローバル サービス レベル アグリーメントの達成と正常性信号を捉えます。

ID 監視とテナントの正常性

Microsoft Entra アクティビティ ログの確認は、テナントの正常性とセキュリティの維持と改善における最初のステップです。 データの分析、危険なシナリオの監視、改善を行える領域の特定を行う必要があります。 Microsoft Entra 監視は、情報に基づいた意思決定のために必要なツールを提供します。

Microsoft Entra アクティビティ ログを監視するには、ログ データを監視と分析のソリューションにルーティングする必要があります。 エンドポイントには、Azure Monitor ログ、Microsoft Sentinel、サードパーティ ソリューションであるサードパーティー セキュリティ情報イベント管理 (SIEM) ツールが含まれます。

• イベント ハブにログをストリーミングし、サードパーティー SIEM ツールと統合します。
• ログを Azure Monitor ログと統合します。
• Azure Monitor ログと Log Analytics を使用してログを分析します。

ユース ケース

利用可能なログ、レポート、監視サービスの使用方法は、組織のニーズによって異なります。 ユース ケースとソリューションの優先順位を高めるため、これらのソリューションがどのように相互に関連、それぞれの相違点、組み合わせて使用する方法について確認することをお勧めします。

考慮事項

• 保持 - ログの保持: Microsoft Entra の監査ログとログイン ログを 30 日以上保存
• 分析 - ログは分析ツールを使用して検索できます
• 運用とセキュリティの分析情報 - アプリケーションの使用状況、ログイン エラー、セルフサービスの使用状況、傾向などの情報にアクセスを提供します。
• SIEM 統合 - Microsoft Entra のログイン ログと監査ログを SIEM システムに統合とストリーミング

Microsoft Entra の監視を使用すると、Microsoft Entra アクティビティ ログをルーティングし、長期的なレポートと分析のために保持して環境の分析情報を得て、SIEM ツールに統合できます。 次の意思決定フロー チャートを使用し、アーキテクチャの選択に役立てます。

アクティビティ ログへのアクセス、保存、分析の方法の概要については、「アクティビティ ログにアクセスする方法」を参照してください。