Microsoft Entra アクティビティ ログ内の適用された条件付きアクセスの詳細を表示する

条件付きアクセス ポリシーを使用すると、ユーザーがどのように Azure および Microsoft Entra のリソースにアクセスできるかを制御できます。 テナント管理者は、条件付きアクセス ポリシーがテナントへのサインインに与える影響を判断し、必要に応じてアクションを実行できるようにする必要があります。 また、条件付きアクセス ポリシーに最近加えられた変更について監査ログを表示する必要がある場合があります。

この記事では、Microsoft Entra アクティビティ ログで適用された条件付きアクセス ポリシーを表示する方法について説明します。

前提条件

ログ内の適用された条件付きアクセス ポリシーを表示するには、管理者がログとポリシーの "両方" を表示するアクセス許可を持っている必要があります。 "両方" のアクセス許可を付与する最小特権の組み込みロールは、"セキュリティ閲覧者" です。 ベスト プラクティスとして、関連する管理者アカウントにセキュリティ閲覧者ロールを追加する必要があります。

次の組み込みロールは、"条件付きアクセス ポリシーを読み取る" ためのアクセス許可を付与します。

• セキュリティ閲覧者
• セキュリティ管理者
• 条件付きアクセス管理者

次の組み込みロールは、"アクティビティ ログを表示する" ためのアクセス許可を付与します。

• レポート閲覧者
• セキュリティ閲覧者
• セキュリティ管理者

アクセス許可

クライアント アプリまたは Microsoft Graph PowerShell モジュールを使用して Microsoft Graph からログをプルする場合、そのアプリには、Microsoft Graph から appliedConditionalAccessPolicy リソースを受け取るアクセス許可が必要です。 ベスト プラクティスとして Policy.Read.ConditionalAccess を割り当てます。これが最小特権のアクセス許可であるためです。

次のアクセス許可を使用すると、クライアント アプリは、Microsoft Graph を介してログ内のアクティビティ ログと適用された条件付きアクセス ポリシーにアクセスできます。

• Policy.Read.ConditionalAccess
• Policy.ReadWrite.ConditionalAccess
• Policy.Read.All
• AuditLog.Read.All
• Directory.Read.All

Microsoft Graph PowerShell モジュールを使用するには、必要なアクセス権を持つ次の最小限の特権アクセス許可も必要です。

• 必要なアクセス許可に同意するには: Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All
• サインイン ログを表示するには: Get-MgAuditLogSignIn
• 監査ログを表示するには: Get-MgAuditLogDirectoryAudit

詳細については、「Get-MgAuditLogSignIn」および「Get-MgAuditLogDirectoryAudit」を参照してください。

条件付きアクセスとサインイン ログのシナリオ

Microsoft Entra 管理者は、サインイン ログを使用して以下を行うことができます。

• サインインに関する問題のトラブルシューティング。
• 機能のパフォーマンスの確認。
• テナントのセキュリティの評価。

一部のシナリオでは、条件付きアクセス ポリシーがどのようにサインイン イベントに適用されたかを理解することが求められます。 たとえば、次のような場合です。

• ヘルプデスク管理者が、ユーザーが開いたチケットの根本原因がポリシーであるかどうかを把握するために、適用された条件付きアクセス ポリシーを確認する必要がある場合。
• "テナント管理者" が、テナントのユーザーに条件付きアクセス ポリシーが意図した影響を与えていることを確認する必要がある場合。

サインイン ログにアクセスするには、Microsoft Entra 管理センター、Azure portal、Microsoft Graph、PowerShell を使用します。

条件付きアクセス ポリシーを表示する方法

Microsoft Entra 管理センター

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

サインイン ログのアクティビティの詳細には、いくつかのタブが含まれています。 [条件付きアクセス] タブには、そのサインイン イベントに適用された条件付きアクセス ポリシーの一覧が表示されます。

1. Microsoft Entra 管理センターにレポート閲覧者以上でサインインしてください。
2. [ID]>[監視と正常性]>[サインイン ログ] の順に移動します。
3. テーブルからサインイン項目を選択して、サインインの詳細ウィンドウを表示します。
4. [条件付きアクセス] タブを選択します。

条件付きアクセス ポリシーが表示されない場合は、サインイン ログと条件付きアクセス ポリシーの両方へのアクセスを提供するロールを使用していることを確認します。

Microsoft Graph API

Graph Explorer で Microsoft Graph API を使用して条件付きアクセス ポリシーとログの詳細を表示するには、次の手順に従います。

1. Graph エクスプローラーにサインインします。

2. ドロップダウンから HTTP メソッドとして [GET] を選択します。

3. API バージョンとして [v1.0] を選択します。

4. 特定の期間に条件付きアクセスが失敗したサインイン試行を取得するには、次のクエリを追加し、[クエリの実行] を選択します。

   GET https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=(createdDateTime ge 2024-11-01T14:13:32Z and createdDateTime le 2024-11-10T17:43:26Z) and conditionalAccessStatus eq 'failure'
   

5. 特定の条件付きアクセス ポリシーを表示するには、ポリシー ID を追加します。

   GET https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies/{id}
   

詳細については、次のリソースを確認してください。

• conditionalAccessPolicy リソースの種類
• signIn リソースの種類

Microsoft Graph PowerShell

PowerShell を使用して Microsoft Entra ロールを一覧表示するには、次の手順を実行します。

1. PowerShell ウィンドウを開きます。 必要に応じて、[Install-Module] を使用して Microsoft Graph PowerShell をインストールします。 詳細については、PowerShell または Graph エクスプローラーを使用するための前提条件に関するページを参照してください。

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. PowerShell ウィンドウで、Connect-MgGraph を使用して、自分のテナントにサインインします。

   Connect-MgGraph -Scopes "Policy.Read.All", "Policy.Read.ConditionalAccess"
   

3. Get-MgIdentityConditionalAccessPolicy を使用して、すべての条件付きアクセス ポリシーを取得します。

   Get-MgIdentityConditionalAccessPolicy
   

4. 結果を一覧として書式設定するには、次のコマンドを使用します。

   Get-MgIdentityConditionalAccessPolicy |Format-List
   

次のコマンドを使用すると、サインインログを CSV ファイルにエクスポートできます。このファイルは、条件付きアクセスに関連する詳細を強調表示するように書式設定されています。

1. 出力 CSV ファイルのパスを定義します。

   $PathCsv = "C:\\temp\\ConditionalAccessSignInLogs.csv"
   

2. 指定した日付からフィルター処理されたログを取得し、CSV ファイルにエクスポートします。

   $SignInLogs = Get-MgAuditLogSignIn -Filter "createdDateTime gt 2024-11-10T05:30:00.0Z" | Select-Object `
   @{Name="ResourceName";Expression={$_.ResourceDisplayName}}, `
   @{Name="User";Expression={$_.UserDisplayName}}, `
   @{Name="IPv4";Expression={$_.IPAddress}}, `
   @{Name="Location";Expression={$_.Location.City}}, `
   @{Name="NamedLocation";Expression={$_.ConditionalAccessLocations}}, `
   @{Name="Success/Failure/ReportOnly";Expression={$_.ConditionalAccessStatus}}, `
   @{Name="FailureReason";Expression={$_.FailureReason}}, `
   @{Name="Details";Expression={$_.ConditionalAccessDetails}}, `
   @{Name="DeviceName";Expression={$_.DeviceDetail.DeviceDisplayName}}, `
   @{Name="ClientApp";Expression={$_.ClientAppUsed}} | 
   Export-Csv -Path $PathCsv -NoTypeInformation
   
   Write-Host "Conditional Access SignInLogs exported to $PathCsv"
   

条件付きアクセスと監査ログのシナリオ

Microsoft Entra 監査ログには、条件付きアクセス ポリシーの変更に関する情報が含まれています。 監査ログを使用して、ポリシーが作成、更新、または削除された期間を確認できます。

既存の条件付きアクセス ポリシーが更新された期間を確認するには、次の操作を行います。

1. Microsoft Entra 管理センターにレポート閲覧者以上でサインインしてください。
2. [ID]>[監視と正常性]>[監査ログ] の順にアクセスします。
3. [サービス] フィルターを [条件付きアクセス] に設定します。
4. [カテゴリ] フィルターを [ポリシー] に設定します。
5. [アクティビティ] フィルターを [条件付きアクセス ポリシーを更新する] に設定します。

探している変更点を確認するには、日付を調整する必要がある場合があります。 [ターゲット] 列には、更新された条件付きアクセス ポリシーの名前が表示されます。

現在のポリシーと以前のポリシーを比較するには、監査ログ エントリを選択し、[変更されたプロパティ] タブを選択します。

関連するコンテンツ

• 条件付きアクセスでのサインインに関する問題のトラブルシューティング
• 条件付きアクセスのサインイン ログに関する FAQ を確認する
• サインイン ログの詳細