編集

次の方法で共有


Microsoft Entra ログを Azure Monitor ログと統合する

Microsoft Entra ID の診断設定を使うと、ログと Azure Monitor を統合し、テナントでのサインイン アクティビティと変更の監査証跡を他の Azure データと共に分析できます。

この記事では、Microsoft Entra ログと Azure Monitor を統合する手順について説明します。

次のタスクを実行するには、Microsoft Entra アクティビティ ログと Azure Monitor の統合を使います。

  • 自分の Microsoft Entra サインイン ログと、Microsoft Defender for Cloud が発行したセキュリティ ログを比較します。
  • Azure Application Insights からのアプリケーション パフォーマンス データを相関させることによって、アプリケーションのサインイン ページでのパフォーマンス ボトルネックのトラブルシューティングを行います。
  • Identity Protection の危険なユーザーとリスク検出ログを分析して、環境内の脅威を検出します。
  • 認証に Active Directory 認証ライブラリ (ADAL) をまだ使っているアプリケーションからのサインインを識別します。 ADAL のサポート終了プランについて確認してください。

Note

Microsoft Entra ログと Azure Monitor を統合すると、Microsoft Sentinel 内で Microsoft Entra データ コネクタが自動的に有効になります。

前提条件

この機能を使用するには、次が必要です。

  • Microsoft Entra ID P1 または P2 テナント。

Log Analytics ワークスペースの作成

Log Analytics ワークスペースを使用すると、データの地理的な場所、サブスクリプションの境界、リソースへのアクセスなど、さまざまな要件に基づいてデータを収集できます。 Log Analytics ワークスペースの作成方法を確認してください。

Microsoft Entra ID の外部で Azure リソースの Log Analytics ワークスペースを設定する方法については、Azure Monitor のリソース ログの収集と表示に関する記事を参照してください。

ログを Azure Monitor に送信する

次の手順を使用して Microsoft Entra ID から Azure Monitor ログにログを送信します。

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

  1. セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [Identity] (ID)>[監視と正常性]>[診断設定] の順に移動します。 [監査ログ] または [サインイン] ページから [エクスポート設定] を選ぶこともできます。

  3. [+ 診断設定の追加] を選んで新しい統合を作成するか、既存の統合の [設定の編集] を選びます。

  4. 診断設定の名前を入力します。 既存の統合を編集する場合、名前を変更することはできません。

  5. ストリーミングするログ カテゴリを選択します。 各ログ カテゴリの説明については、エンドポイントにストリーミングできる ID ログに関する記事を参照してください。

  6. [宛先の詳細] で、[Log Analytics ワークスペースに送信する] チェック ボックスをオンにします。

  7. メニューから適切なサブスクリプションLog Analytics ワークスペースを選択します。

  8. [保存] ボタンを選択します。

    宛先の詳細が表示されている [診断設定] のスクリーンショット。

    15 分経っても選択した宛先にログが表示されない場合は、Microsoft Entra 管理センターからサインアウトして再度サインインしてログを更新します。