次の方法で共有


Microsoft Entra の対話型ユーザー サインインとは

Microsoft Entra の監視と正常性には、テナントの正常性を監視するのに役立ついくつかの種類のサインイン ログが用意されています。 対話型ユーザー サインインは、Microsoft Entra 管理センターの既定のビューです。

対話型ユーザー サインインとは

対話型サインインは、ユーザー "によって" 実行されます。 これにより Microsoft Entra ID に認証要素が提供されます。 その認証要素は、Microsoft Authenticator アプリなどのヘルパー アプリと連携することもできます。 ユーザーは、Microsoft Entra ID またはヘルパー アプリに対して、パスワード、MFA チャレンジへの応答、生体認証要素、または QR コードを提供できます。 このログには、Microsoft Entra ID と連携している ID プロバイダーによるフェデレーション サインインも含まれます。

対話型ユーザー サインイン ログのスクリーンショット。

ログの詳細

レポート サイズ:
例:

  • ユーザーが Microsoft Entra サインイン画面でユーザー名とパスワードを入力する。
  • ユーザーが SMS MFA チャレンジを渡します。
  • ユーザーが、Windows Hello for Business で Windows PC のロックを解除するための生体認証ジェスチャを提供します。
  • ユーザーが AD FS SAML アサーションを使用して Microsoft Entra ID にフェデレーションする。

対話型サインイン ログでは、既定の欄に加えて次のものを表示します。

  • サインインの場所
  • 条件付きアクセスが適用されたかどうか

Note

サインイン ログのエントリはシステムによって生成されるため、変更または削除することはできません。

特別な注意事項

対話型サインイン ログでの非対話型サインイン

以前は、Microsoft Exchange クライアントからの一部の非対話型サインインは、可視性を向上するために対話型ユーザー サインイン ログに含まれていました。 2020 年 11 月に非対話型ユーザー サインイン ログが導入される前は、この可視性の向上が必要でした。 ただし、FIDO2 キーを使用するものなど、一部の非対話型サインインは、個別の非対話型ログが導入される前にシステムが設定されていたため、依然として対話型としてマークされる可能性があることに注意してください。 これらのサインインでは、技術的には非対話型サインインであっても、クライアント資格情報の種類やブラウザー情報などの対話型の詳細が表示される場合があります。

パススルー サインイン

Microsoft Entra ID により、認証と認可のためのトークンが発行されます。 状況によっては、Contoso テナントにサインインしているユーザーが、アクセス権のない Fabrikam テナント内のリソースにアクセスしようとする場合があります。 パススルー トークンと呼ばれる承認なしトークンが Fabrikam テナントに発行されます。 パススルー トークンでは、ユーザーがリソースにアクセスすることはできません。

以前は、この状況のログを確認すると、ホーム テナント (このシナリオでは Contoso) のサインイン ログには、サインイン試行は表示されませんでした。これは、"トークンがクレームを使用してリソースへのアクセスを許可していなかった" ためです。 サインイン トークンは、適切なエラー メッセージを表示するためにのみ使用されました。

パススルー サインインの試行が、ホーム テナントのサインイン ログと関連するテナント制限のサインイン ログに表示されるようになりました。 この更新により、ユーザーからのユーザー サインイン試行の可視性が向上し、テナント制限ポリシーに関するより深い分析情報が得られます。

crossTenantAccessType プロパティには、パススルー サインインを区別するための passthrough が表示されるようになり、Microsoft Entra 管理センターと Microsoft Graph で使用できます。

ファーストパーティーのアプリ専用サービス プリンシパル サインイン

サービス プリンシパル サインイン ログには、ファーストパーティーのアプリ専用サインイン アクティビティは含まれません。 この種類のアクティビティは、ファーストパーティー アプリで、ユーザーからの指示やコンテキストがない内部 Microsoft ジョブのトークンを取得するときに発生します。 これらのログは除外されるため、テナント内の内部 Microsoft トークンに関連するログに対して料金を支払うことはありません。

SignInLogs を使用して MicrosoftGraphActivityLogs を同じ Log Analytics ワークスペースにルーティングする場合、サービス プリンシパル サインインに関連しない Microsoft Graph イベントが特定される可能性があります。 この統合により、Microsoft Graph API 呼び出しのために発行されたトークンをサインイン アクティビティと相互参照できるようになります。 サインイン ログの UniqueTokenIdentifier と Microsoft Graph アクティビティ ログの SignInActivityId は、サービス プリンシパル サインイン ログにはありません。

条件付きアクセス

条件付きアクセスのサインインに、[適用されていません] が示される場合、その意味を解釈するのは困難な場合があります。 サインインが中断された場合、そのサインインはログに表示されますが、条件付きアクセスの [適用されていません] が表示されます。 もう 1 つのよくあるシナリオは、Windows Hello for Business へのサインインです。 ユーザーが条件付きアクセスによって保護されているクラウド リソースではなく、デバイスにサインインしているため、このサインインには条件付きアクセスが適用されません。