Microsoft Entra ID でフェデレーション構成の変更を監視する

オンプレミス環境と Microsoft Entra ID をフェデレーションする際は、オンプレミスの ID プロバイダーと Microsoft Entra ID との間に信頼関係を構築します。

この確立された信頼により、Microsoft Entra は、オンプレミスの ID プロバイダーが認証後に発行したセキュリティ トークンを受け入れて、Azure AD によって保護されているリソースへのアクセスを許可します。

このため、この信頼 (フェデレーション構成) が厳密に監視されていて、異常なアクティビティや疑わしいアクティビティがキャプチャされていることが重要です。

信頼関係を監視するには、フェデレーション構成に変更が加えられたときに通知を受け取るようにアラートを設定することをお勧めします。

信頼関係を監視するアラートを設定する

信頼関係を監視するアラートを設定するには、次の手順に従います。

1. Azure Log Analytics ワークスペースに送られるように Microsoft Entra 監査ログを構成します。
2. Microsoft Entra ID ログ クエリに基づいてトリガーする警告ルールを作成します。
3. アラートの条件が満たされたときに通知を受け取るように、警告ルールにアクション グループを追加します。

環境が構成されると、データは次のように送られます。

1. Microsoft Entra ログは、テナント内のアクティビティごとに作成されます。

2. ログ情報は、Azure Log Analytics ワークスペースに送られます。

3. Azure Monitor のバックグラウンド ジョブにより、上記の構成手順 (2) の警告ルールの構成に基づいてログ クエリが実行されます。

    AuditLogs 
    |  extend TargetResource = parse_json(TargetResources) 
    | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
    | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
   

4. クエリの結果がアラート ロジックに一致する場合 (つまり、結果の数が 1 以上である場合)、アクション グループが開始されます。 これが開始されたと想定した場合、フローは手順 5 に続きます。

5. アラートの構成中に選択されたアクション グループに通知が送信されます。

Note

アラートの設定に加えて、Microsoft Entra テナント内で構成されているドメインを定期的に確認し、古いドメイン、認識されないドメイン、不審なドメインを削除することをお勧めします。

次のステップ

• Microsoft Entra ログを Azure Monitor ログと統合する
• Azure Monitor を使用してログ アラートを作成、表示、管理する
• Microsoft Entra Connect を使って Microsoft Entra ID による AD FS 信頼を管理する
• Active Directory フェデレーション サービスを保護するためのベスト プラクティス