Microsoft Entra 監査ログとは
Microsoft Entra アクティビティ ログには監査ログが含まれます。これは、Microsoft Entra ID でログに記録されたすべてのイベントに関する包括的なレポートです。 アプリケーション、グループ、ユーザー、ライセンスへの変更はすべて、Microsoft Entra 監査ログにキャプチャされます。
テナントの正常性を監視するには、他にも次の 2 つのアクティビティ ログを使用できます。
- サインイン - サインインとユーザーのリソース使用状況に関する情報。
- プロビジョニング - ServiceNow でのグループの作成や、Workday からインポートされたユーザーなど、プロビジョニング サービスによって実行されるアクティビティ。
この記事では、監査ログで提供される情報や、回答される質問の種類などの概要について説明します。
監査ログでできること
Microsoft Entra ID の監査ログを使用して、コンプライアンスに必要となることが多い、システム アクティビティ レコードにアクセスできます。 ユーザー、グループ、アプリケーションに関連する質問の回答を確認できます。
Users:
- ユーザーに最近適用された変更の種類は何ですか?
- 何人のユーザーが変更されたか。
- 何個のパスワードが変更されたか。
[グループ]:
- 最近追加されたグループは何ですか?
- グループの所有者は変更されたか。
- グループまたはユーザーに対するライセンスとは何ですか?
アプリケーション:
- 更新または削除されたアプリケーションは何ですか?
- アプリケーションのサービス プリンシパルは変更されたか。
- アプリケーションの名前は変更されたか。
カスタム セキュリティ属性:
- カスタム セキュリティ属性の定義または割り当てにどのような変更が行われましたか?
- 属性セットに対してどのような更新が行われましたか?
- どのカスタム属性値がユーザーに割り当てられましたか?
Note
監査ログのエントリはシステムによって生成されるため、変更または削除することはできません。
ログに表示される情報
監査ログは既定で [ディレクトリ] タブに設定され、次の情報が表示されます。
- 発生した日時
- 発生をログに記録したサービス
- アクティビティの名前とカテゴリ ("何")
- アクティビティの状態 (成功または失敗)
[カスタム セキュリティ] の 2 番目のタブには、カスタム セキュリティ属性の監査ログが表示されます。 このタブでデータを表示するには、属性ログ管理者または属性ログ閲覧者のロールが必要です。 この監査ログには、カスタム セキュリティ属性に関連するすべてのアクティビティが表示されます。 詳細については、「カスタム セキュリティ属性とは」を参照してください。
Microsoft 365 のアクティビティ ログ
Microsoft 365 のアクティビティ ログは、Microsoft 365 管理センターから確認できます。 Microsoft 365 のアクティビティ ログと Microsoft Entra のアクティビティ ログでは多くのディレクトリ リソースが共有されていますが、Microsoft 365 のアクティビティ ログがすべて表示されるのは、Microsoft 365 管理センターのみです。
また、Office 365 Management API を使用すると、Microsoft 365 のアクティビティ ログにプログラムでアクセスすることもできます。
ほとんどのスタンドアロンまたはバンドルされた Microsoft 365 サブスクリプションには、Microsoft 365 データセンターの境界内の一部のサブシステムへのバックエンド依存関係があります。 この依存関係には、ディレクトリの同期を維持するため、および基本的に Exchange Online のサブスクリプション オプトインで手間のかからないオンボーディングを有効にできるようにするために情報の書き戻しが必要です。 これらの書き戻しの場合、監査ログ エントリには、"Microsoft Substrate Management" によって実行されたアクションが表示されます。 これらの監査ログ エントリでは、Exchange Online によって Microsoft Entra ID に対して実行された作成、更新、削除の各操作を参照します。 エントリは情報を提供するものであり、アクションは必要ありません。