Microsoft Entra 監査ログとは
Microsoft Entra アクティビティ ログには監査ログが含まれます。これは、Microsoft Entra ID でログに記録されたすべてのイベントに関する包括的なレポートです。 アプリケーション、グループ、ユーザー、ライセンスへの変更はすべて、Microsoft Entra 監査ログにキャプチャされます。
テナントの正常性を監視するには、他にも次の 2 つのアクティビティ ログを使用できます。
- サインイン - サインインとユーザーのリソース使用状況に関する情報。
- プロビジョニング - ServiceNow でのグループの作成や、Workday からインポートされたユーザーなど、プロビジョニング サービスによって実行されるアクティビティ。
この記事では、監査ログの概要 (アクセスするために必要な条件や、提供される情報など) について説明します。
ライセンスとロールの要件
必要なロールとライセンスは、レポートによって異なります。 Microsoft Graph の監視データと正常性データにアクセスするには、個別のアクセス許可が必要です。 ゼロ トラスト ガイダンスに沿うには、最低特権アクセス権を持つ役割を使用することをお勧めします。 ロールの完全な一覧については、「タスク別の特権ロール」を参照してください。
| ログ/レポート | 役割 | ライセンス |
|---|---|---|
| 監査ログ | レポート閲覧者 セキュリティ閲覧者 セキュリティ管理者 |
Microsoft Entra ID のすべてのエディション |
| サインイン ログ | レポート閲覧者 セキュリティ閲覧者 セキュリティ管理者 |
Microsoft Entra ID のすべてのエディション |
| プロビジョニング ログ | レポート閲覧者 セキュリティ閲覧者 アプリケーション管理者 クラウド アプリ管理者 |
Microsoft Entra ID P1 または P2 |
| カスタム セキュリティ属性の監査ログ* | 属性ログ管理者 属性ログ閲覧者 |
Microsoft Entra ID のすべてのエディション |
| 正常性 | レポート閲覧者 セキュリティ閲覧者 ヘルプデスク管理者 |
Microsoft Entra ID P1 または P2 |
| Microsoft Entra ID 保護** | セキュリティ管理者 セキュリティ オペレーター セキュリティ閲覧者 グローバル閲覧者 |
Microsoft Entra ID Free Microsoft 365 Apps Microsoft Entra ID P1 または P2 |
| Microsoft Graph アクティビティ ログ | セキュリティ管理者 対応するログ保存先のデータにアクセスするアクセス許可 |
Microsoft Entra ID P1 または P2 |
| 使用状況と分析情報 | レポート閲覧者 セキュリティ閲覧者 セキュリティ管理者 |
Microsoft Entra ID P1 または P2 |
*監査ログでカスタム セキュリティ属性を表示するか、カスタム セキュリティ属性の診断設定を作成するには、いずれかの属性ログの役割が必要です。 標準の監査ログを閲覧するための適切な役割も必要です。
**Microsoft Entra ID 保護のアクセス レベルと機能は、役割とライセンスによって異なります。 詳細については、「ID 保護のライセンス要件」を参照してください。
監査ログでできること
Microsoft Entra ID の監査ログを使用して、コンプライアンス検証に必要となることが多いシステム アクティビティ履歴にアクセスできます。 ユーザー、グループ、アプリケーションに関連する質問への答えが得られます。
ユーザー:
- ユーザーに最近適用された変更の種類は何ですか?
- 何人のユーザーが変更されましたか?
- 何個のパスワードが変更されましたか?
グループ:
- 最近どんなグループが追加されましたか?
- グループの所有者は変更されましたか?
- グループやユーザーにはどんなライセンスが付与されていますか?
アプリケーション:
- どんなアプリケーションが更新または削除されましたか?
- アプリケーションのサービス プリンシパルは変更されましたか?
- アプリケーション名前は変更されましたか?
カスタム セキュリティ属性:
- カスタム セキュリティ属性 の定義または割り当てにどのような変更が行われましたか?
- 属性セットに対してどのような更新が行われましたか?
- どのようなカスタム属性値がユーザーに割り当てられましたか?
注意
監査ログのエントリはシステムによって生成されるため、変更または削除することはできません。
ログに表示される情報の種類
監査ログは既定で [ディレクトリ] タブに設定され、次の情報が表示されます:
- 発生した日時
- 発生をログに記録したサービス
- アクティビティの名前とカテゴリ (何を)
- アクティビティの状態 (成功または失敗)
[カスタム セキュリティ] の 2 番目のタブには、カスタム セキュリティ属性の監査ログが表示されます。 このタブでデータを表示するには、属性ログ管理者 または 属性ログ閲覧者 のロールが必要です。 この監査ログには、カスタム セキュリティ属性に関連するすべてのアクティビティが表示されます。 詳細については、「カスタム セキュリティ属性とは」を参照してください。
![[ディレクトリ] タブと [カスタム セキュリティ] タブが強調表示されている監査ログのスクリーンショット。](media/concept-audit-logs/audit-log-tabs.png)
Microsoft 365 のアクティビティ ログ
Microsoft 365 のアクティビティ ログは、Microsoft 365 管理センターから確認できます。 Microsoft 365 のアクティビティ ログと Microsoft Entra のアクティビティ ログでは多くのディレクトリ リソースが共有されていますが、Microsoft 365 のアクティビティ ログがすべて表示されるのは、Microsoft 365 管理センターのみです。
また、Office 365 Management API を使用すると、Microsoft 365 のアクティビティ ログにプログラムからアクセスすることもできます。
ほとんどのスタンドアロンまたはバンドルされた Microsoft 365 サブスクリプションには、Microsoft 365 データセンターの境界内の一部のサブシステムとのバックエンド依存関係があります。 この依存関係には、ディレクトリの同期を維持するため、そして基本的には Exchange Online のサブスクリプション オプトインで手間のかからないオンボーディングを有効にできるようにするために情報の書き戻しが必要です。 これらの書き戻しについて、監査ログ エントリには、"Microsoft Substrate Management" によって実行されたアクションが表示されます。 これらの監査ログ エントリでは、Exchange Online によって Microsoft Entra ID に対して実行された作成、更新、削除の各操作を参照します。 ログのエントリはあくまで情報を提供するものであり、アクションをとる必要ありません。