次の方法で共有

チュートリアル*: アプリケーション*の管理とモニター*

  • [アーティクル]

Fabrikam の IT 管理者は、Microsoft Entra アプリケーション ギャラリーからアプリケーションを追加して構成しました。 また、「チュートリアル*: アプリケーション* アクセスとセキュリティ*を管理する」の情報を使用して、アクセスを管理し、アプリケーション*がセキュリティ*で保護されていることを確認しました。 次に、アプリケーション*の管理とモニター*に使用できるリソース*を理解する必要があります。

アプリケーション*の管理者*は、このチュートリアル*の情報を用いて、次の方法を学習します:

  • アクセス レビューの作成
  • 監査ログにアクセスする
  • サインインにアクセスする
  • ログを Azure Monitor に送信する

前提条件

  • アクティブなサブスクリプションが含まれる Azure アカウント。 まだお持ちでない場合は、無料のアカウント*を作成してください
  • 次のいずれかのロール: Identity Governance 管理者、特権ロール管理者、クラウド アプリケーション管理者、またはアプリケーション管理者。
  • ご利用の Microsoft Entra テナントに構成されているエンタープライズ アプリケーション。

アクセス レビューの作成

管理者*は、ユーザー*またはゲスト*が適切なアクセス権を持っていることを確認する必要があります。 アプリケーション*のユーザー*は、アクセスレビュー*と認定に参加するか、アクセスの必要性を証明することを求められます。 アクセス レビュー*が完了した時点で、ユーザー*のアクセス権に変更を加えたり、不要なアクセス権を削除*することができます。 詳細については、「アクセス レビュー*によるユーザー*とゲスト* ユーザー*のアクセスの管理」を参照してください。

アクセス レビュー*を作成する*には:

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID]>[Identity Governance]>[アクセス レビュー] の順に参照します。
  3. [新しいアクセス レビュー] を選択して、新しいアクセス レビューを作成します。
  4. [レビュー*する項目の選択]で、[アプリケーション*]を選択します。
  5. [+ アプリケーション*の選択]を選択し、アプリケーション*を選択した後、[選択]を選択します。
  6. 次に、レビューのスコープを選択できます。 オプションは次のとおりです。
    • [ゲスト ユーザーのみ] - このオプションでは、アクセス レビューがディレクトリ内の Microsoft Entra B2B ゲスト ユーザーのみに制限されます。
    • [すべてのユーザー*] - このオプションでは、アクセス レビュー*が、そのリソース*に関連付けられているすべてのユーザー* オブジェクト*にスコープ*指定されます。 [すべてのユーザー] を選択します。
  7. [次へ: レビュー] を選択します。
  8. [レビュー担当者*の指定]セクションの [レビュー担当者*の選択] ボックスで、[ 選択したユーザー*またはグループ*] を選択し、[+ レビュー担当者*の選択] の順に選択して、アプリケーション*に割り当て*られているユーザー アカウント*を選択します。
  9. [レビューの繰り返しの指定] セクションで、次の選択を指定します。
    • 期間 (日数) -既定値*の3をそのまま使用します。
    • [繰り返し*のレビュー*] - [1 回]を選択します。
    • 開始日* -今日のdate*を開始日*として受け入れます。
  10. [次へ: 設定] を選択します。
  11. [完了時の設定] セクションで、レビューが完了した後の処理を指定できます。 [リソースに結果を自動適用する]を選択します。
  12. 確認と作成 を選択します。
  13. アクセス レビューに名前を付けます。 必要に応じて、そのレビューに説明を加えます。 その名前と説明がレビュアーに示されます。
  14. 情報を確認し、 [作成] を選択します。

アクセス レビューを開始する

アクセス レビューは数分で開始され、その状態を示すインジケーターと共に一覧に表示されます。

既定では、レビューの開始直後に Microsoft Entra ID からレビュー担当者宛てにメールが送信されます。 Microsoft Entra ID からメールを送信しないように選択した場合は、アクセス レビューが実行待ちになっていることを必ずレビュー担当者に伝えてください。 レビュー担当者には、グループまたはアプリケーションへのアクセスをレビューする手順を案内することができます。 レビュー*対象がゲスト*で、自分のアクセスをレビュー*してもらう場合は、グループ*またはアプリケーション*への自身のアクセス権をレビュー*するための手順を案内します。

ゲストがレビュー担当者として割り当てられていても、テナントへの招待を受け入れていない場合、そのゲストはアクセス レビューからの電子メールを受信しません。 ゲストがレビューを開始するには、まず招待を受け入れる必要があります。

アクセス レビューの状態を表示する

アクセス レビューが完了するたびに、その進行状況を追跡できます。

  1. [ID]>[Identity Governance]>[アクセス レビュー] の順に移動します。
  2. 一覧で、作成したアクセス レビューを選択します。
  3. [概要] ページで、アクセス レビューの進行状況を確認します。

[結果] ページには、インスタンスでレビュー対象である各ユーザーに関する詳細情報と、結果を停止、リセット、ダウンロードする機能が表示されます。 詳細については、「グループとアプリケーションのアクセス レビューを Microsoft Entra アクセス レビューに入力する」の記事を参照してください。

監査ログにアクセスする

Microsoft Entra 監査ログは、テナント内のさまざまなアクティビティをキャプチャします。 これらのログは、監視する必要があるアクティビティに関する貴重な分析情報を提供します。 詳細については、Microsoft Entra ID の監査ログに関する記事を参照してください。

監査ログにアクセスするには、[ID]>[監視と正常性]>[監査ログ] の順に移動します。

監査ログは、次のカテゴリに分類されるアクティビティをキャプチャします。 このリストは全てを網羅しているわけではありません。 監査ログのカテゴリとアクティビティの完全な一覧については、監査ログのアクティビティに関するページを参照してください。

  • パスワード リセット アクティビティ
  • パスワード リセット登録アクティビティ
  • セルフ サービス グループ アクティビティ
  • Office 365 グループ名の変更
  • アカウント プロビジョニングのアクティビティ
  • パスワード ロールオーバーの状態
  • アカウント プロビジョニング エラー

サインイン ログにアクセスする

Microsoft Entra サインイン ログは、対話型、非対話型、マネージド ID、サービス プリンシパルのサインインをキャプチャします。詳細については、Microsoft Entra ID のサインイン ログに関するページを参照してください。

サインイン ログにアクセスするには、[ID]>[監視と正常性]>[サインイン ログ] の順に移動します。

[エンタープライズ アプリケーション] 領域からアプリケーションのサインイン情報を表示することもできます。 サインイン ログでは、[監視と正常性]>[サインイン ログ] から同じログが開かれますが、フィルターは選択されたアプリケーションに既に設定されています。 使用状況と分析情報 レポートには、アプリケーションのサインイン アクティビティもまとめられます。

ログを Azure Monitor に送信する

Microsoft Entra アクティビティ ログには、Microsoft Entra ID Free の場合は 7 日間、Microsoft Entra ID P1/P2 の場合は 30 日間の情報のみが格納されます。 ニーズに応じて、アクティビティログ データをバックアップするために追加のストレージが必要になる場合があります。

Azure Monitor ログを使用すると、データを長期間保持し、視覚化やアラートなどの強力な分析ツールを有効にすることができます。 ログと Azure Monitor ログの統合の詳細については、Microsoft Entra ログと Azure Monitor の統合に関するページを参照してください。

Azure Monitor にログを送信するには、Log Analytics ワークスペースが必要です。 それが作成されたら、Log Analytics と統合するように診断設定を構成します。 ログと Azure Monitor と Log Analytics の統合にはコストに関する考慮事項があるため、先に進む前に、Azure Monitor での Microsoft Entra アクティビティ ログに関するセクションを確認してください。

Log Analytics ワークスペースが構成されている場合は、次を行います。

  1. [診断設定*] を選択した後、[診断設定*の追加] を選択します。 [監査ログ] または [サインイン] ページから [エクスポート設定] を選択して、診断設定の構成ページに移動することもできます。
  2. ストリーミングするログを選び、[Log Analytics ワークスペースに送信] オプションを選択し、フィールドに入力を完了します。
  3. [保存] を選択します。

約 15 分後に、イベントが Log Analytics ワークスペースにストリーミングされていることを確認します。

次のステップ

次の記事に進み、以下の方法を学習してください。

アプリケーションの同意の管理と同意要求の評価