サインイン ログは、ユーザー アクセスの問題をトラブルシューティングし、危険なサインイン アクティビティを調査するためによく使用されるツールです。 監査ログは、Microsoft Entra ID でログに記録されたすべてのイベントを収集し、環境の変更を調査するために使用できます。 Microsoft Entra 管理センターでサインイン ログのビューをカスタマイズするために選択できる列は 30 以上あります。 監査ログとプロビジョニング ログは、ニーズに合わせてカスタマイズおよびフィルター処理することもできます。
Microsoft Entra 監査ログの情報を使用すると、コンプライアンスのためのシステム アクティビティのレコードにアクセスできます。 監査ログには、すべてのカテゴリとアクティビティを並べ替えてフィルター処理できる、Microsoft Entra ID の [監視と正常性] セクションからアクセスできます。 調査中のサービスの管理センターの領域の監査ログにアクセスすることもできます。
たとえば、Microsoft Entra グループの変更を調べている場合は、[Microsoft Entra ID]>[グループ] から監査ログにアクセスできます。 サービスから監査ログにアクセスすると、サービスに応じてフィルターが自動的に調整されます。
監査ログのレイアウトをカスタマイズする
監査ログの列をカスタマイズして、必要な情報のみを表示することができます。 [サービス]、[カテゴリ]、および [アクティビティ] 列は相互に関連しているため、これらの列は常に表示する必要があります。
監査ログをフィルター処理する
[サービス] でログをフィルター処理すると、[カテゴリ] と [アクティビティ] の詳細が自動的に変更されます。 場合によっては、[カテゴリ] または [アクティビティ] が 1 つだけ存在する場合があります。 これらの詳細のすべての潜在的な組み合わせの詳細な表については、「監査アクティビティ」を参照してください。
サービス: 使用可能なすべてのサービスが既定で設定されますが、ドロップダウン リストからオプションを選択して一覧をフィルター処理し、1 つまたは複数にすることができます。
カテゴリ: すべてのカテゴリが既定で設定されますが、フィルター処理して、ポリシーの変更や対象となる Microsoft Entra ロールのアクティブ化といったアクティビティのカテゴリを表示できます。
アクティビティ: ご自身で行ったカテゴリとアクティビティ リソースの種類の選択に基づきます。 参照する特定のアクティビティを選択することも、すべてを選択することもできます。
Microsoft Graph API を使用して、すべての監査アクティビティの一覧を取得できます: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta
状態: アクティビティが成功、失敗のどちらであったかに基づいて結果を確認できます。
ターゲット: アクティビティのターゲットまたは受信者を検索できます。 名前またはユーザー プリンシパル名 (UPN) の最初の数文字で検索します。 ターゲット名と UPN では大文字小文字を区別します。
開始ユーザー: 名前または UPN の最初の数文字を使用して、アクティビティを開始したユーザーで検索できます。 名前と UPN では大文字小文字を区別します。
日付の範囲: 返されるデータの期間を定義できます。 過去 7 日間、24 時間、またはカスタム範囲を検索できます。 カスタムの期間を選択すると、開始時刻と終了時刻を構成できます。
[サインイン ログ] ページで、4 種類のサインイン ログの間の切り替えができます。
サインイン ログのレイアウトをカスタマイズする
対話型ユーザー サインイン ログの列は、30 以上の列オプションを使用してカスタマイズできます。 サインイン ログをより効果的に表示するには、少し時間を取って、ニーズに合うようにビューをカスタマイズします。
- ログの上部にあるメニューで、[列] を選択します。
- 表示する列を選択し、ウィンドウの下部にある [保存] を選択します。
![[列] オプションが強調表示されたサインイン ログ ページのスクリーンショット。](media/howto-customize-filter-logs/sign-in-logs-columns.png)
サインイン ログをフィルター処理する
サインイン ログをフィルター処理すると、特定のシナリオに一致するログをすばやく検出するのに役立ちます。 たとえば、一覧をフィルター処理して、特定の地理的な場所、特定のオペレーティング システム、または特定の種類の資格情報から発生したサインインのみを表示できます。
一部のフィルター オプションでは、さらにオプションを選択するように求められます。 プロンプトに従って、フィルター処理に必要な選択を行います。 複数のフィルターを追加できます。
[フィルターの追加] ボタンを選択し、フィルター オプションを選択して [適用] を選択します。
![[フィルターの追加] オプションが強調表示されたサインイン ログ ページのスクリーンショット。](media/howto-customize-filter-logs/sign-in-logs-add-filters.png)
特定の詳細 (要求 ID など) を入力するか、別のフィルター オプションを選択します。
いくつかの詳細をフィルター処理できます。 次の表では、一般的に使用されるフィルターについて説明します。 "すべてのフィルター オプションが説明されているわけではありません。"
| フィルター |
説明 |
| 要求 ID |
サインイン要求の一意識別子 |
| 関連付け ID |
シングル サインイン試行の一部であるすべてのサインイン要求の一意識別子 |
| User |
ユーザーのユーザー プリンシパル名 (UPN)。 |
| アプリケーション |
サインイン要求の対象となるアプリケーション |
| Status |
オプションは、成功、失敗、中断です |
| リソース |
サインインに使用されたサービスの名前。 |
| IP アドレス |
サインインに使用されるクライアントの IP アドレス |
| 条件付きアクセス |
オプションには、[適用されていません]、[成功]、および [失敗] があります |
サインイン ログ テーブルが必要に応じて書式設定されたので、データをより効果的に分析できるようになりました。 ログを他のツールにエクスポートすると、サインイン データを詳細に分析したり、保持したりすることができます。
列をカスタマイズし、フィルターを調整すると、同様の特性を持つログを確認するのに役立ちます。 サインインの詳細を確認するには、テーブル内の行を選択して [アクティビティの詳細] パネルを開きます。 パネルには、確認するタブがいくつかあります。 詳細については、「サインイン ログ アクティビティの詳細」を参照してください。
クライアント アプリ フィルター
サインインの実行元を確認する際は、[クライアント アプリ] フィルターを使用することが必要になる場合があります。 [クライアント アプリ] には、[Modern authentication clients] (先進認証クライアント) と [Legacy authentication clients] (レガシ認証クライアント) の 2 つのサブカテゴリがあります。 [Modern authentication clients] (先進認証クライアント) にはさらに、[ブラウザー] と [モバイル アプリとデスクトップ クライアント] という 2 つのサブカテゴリがあります。 [Legacy authentication clients] (レガシ認証クライアント) にはいくつかのサブカテゴリがあり、レガシ認証クライアントの詳細の表で定義されています。
![[クライアント アプリ] フィルターが選択され、カテゴリが強調表示されているスクリーンショット。](media/howto-customize-filter-logs/client-app-filter.png)
[ブラウザー] のサインインには、Web ブラウザーからのサインイン試行がすべて含まれます。 ブラウザーからサインインの詳細を表示すると、[基本情報] タブに [クライアント アプリ: ブラウザー] と表示されます。
[Device info] (デバイス情報) タブの [ブラウザー] に Web ブラウザーの詳細が表示されます。 ブラウザーの種類とバージョンが示されますが、場合によっては、ブラウザーの名前とバージョンは表示されません。 リッチ クライアント 4.0.0.0 のように表示される場合があります。
レガシ認証クライアントの詳細
次の表に、"レガシ認証クライアント" の各オプションの詳細を示します。
| 名前 |
説明 |
| 認証済み SMTP |
電子メール メッセージを送信するために POP および IMAP のクライアントによって使用されます。 |
| 自動検出 |
Exchange Online でメールボックスを検索して接続するために Outlook および EAS のクライアントで使用されます。 |
| Exchange ActiveSync |
このフィルターは、EAS プロトコルが試行されたすべてのサインイン試行を表示します。 |
| Exchange ActiveSync |
Exchange ActiveSync を使用して Exchange Online に接続するクライアント アプリでのユーザーのすべてのサインイン試行を表示します |
| Exchange Online PowerShell |
リモート PowerShell を使用して Exchange Online に接続するために使用されます。 Exchange Online PowerShell の基本認証をブロックする場合は、Exchange Online PowerShell モジュールを使用して接続する必要があります。 手順については、「多要素認証をConnect PowerShell Exchange Onlineする方法」を参照してください。 |
| Exchange Web サービス |
Outlook、Outlook for Mac、および Microsoft 以外のアプリによって使用されるプログラミング インターフェイスです。 |
| IMAP4 |
IMAP を使用して電子メールを取得する従来のメール クライアント。 |
| MAPI over HTTP |
Outlook 2010 以降で使用されます。 |
| オフライン アドレス帳 |
Outlook によってダウンロードおよび使用されるアドレス一覧コレクションのコピーです。 |
| Outlook Anywhere (RPC over HTTP) |
Outlook 2016 以前で使用されます。 |
| Outlook サービス |
Windows 10 用のメール/カレンダー アプリで使用されます。 |
| POP3 |
POP3 を使用して電子メールを取得する従来のメール クライアント。 |
| レポート Web サービス |
Exchange Online でレポート データを取得するために使用されます。 |
| その他のクライアント |
クライアント アプリが含まれていないまたは不明である、ユーザーによるサインインの試行をすべて表示します。 |
プロビジョニング ログをより効果的に表示するには、少し時間を取って、ニーズに合うようにビューをカスタマイズします。 含める列を指定し、データをフィルター処理して、表示内容を絞り込むことができます。
レイアウトのカスタマイズ
プロビジョニング ログには既定のビューがありますが、列をカスタマイズできます。
- ログの上部にあるメニューで、[列] を選択します。
- 表示する列を選択し、ウィンドウの下部にある [保存] を選択します。
結果をフィルター処理する
プロビジョニング データをフィルター処理する場合、一部のフィルター値はテナントに基づいて動的に入力されます。 たとえば、テナントに "作成" イベントがない場合は、[作成] のフィルター オプションは使用できません。
ID フィルターを使用すると、関心のある名前または ID を指定できます。 この ID は、ユーザー、グループ、ロール、またはその他のオブジェクトの場合があります。
オブジェクトの名前または ID で検索できます。 ID はシナリオによって異なります。
- Microsoft Entra ID から SalesForce にオブジェクトをプロビジョニングする場合、ソース ID は Microsoft Entra ID 内のユーザーのオブジェクト ID です。 ターゲット ID は Salesforce のユーザーの ID です。
- Workday から Microsoft Entra ID にプロビジョニングする場合、ソース ID は Workday ワーカーの従業員 ID です。 ターゲット ID は、Microsoft Entra ID のユーザーの ID です。
- テナント間同期のためにユーザーをプロビジョニングする場合、ソース ID はソース テナント内のユーザーの ID です。 ターゲット ID は、ターゲット テナント内のユーザーの ID です。
注意
ユーザーの名前が必ずしも ID 列に存在するとは限りません。 常に 1 つの ID が存在します。
[日付] フィルターでは、返されるデータの期間を定義できます。 次のいずれかの値になります。
- 1 か月
- 7 日間
- 30 日
- 24 時間
- カスタム時間間隔 (開始日と終了日を構成する)
[状態] フィルターでは、次のいずれかを選択できます。
[アクション] フィルターでは、これらのアクションをフィルター処理できます。
既定のビューのフィルターに加えて、次のフィルターを設定できます。
ジョブ ID: プロビジョニングを有効にした各アプリケーションに、一意のジョブ ID が関連付けられます。
サイクル ID: サイクル ID は、プロビジョニング サイクルを一意に識別します。 この ID を製品サポートと共有して、このイベントが発生したサイクルを調べることができます。
変更 ID:変更 ID は、プロビジョニング イベントの一意の識別子です。 この ID を製品サポートと共有して、プロビジョニング イベントを調べることができます。
ソース システム:ID のプロビジョニング元となる場所を指定できます。 たとえば、Microsoft Entra ID から ServiceNow にオブジェクトをプロビジョニングする場合、ソース システムは Microsoft Entra ID です。
ターゲット システム:ID のプロビジョニング先となる場所を指定できます。 たとえば、Microsoft Entra ID から ServiceNow にオブジェクトをプロビジョニングする場合、ターゲット システムは ServiceNow です。
アプリケーション: 特定の文字列が含まれている表示名またはオブジェクト ID を持つアプリケーションのレコードのみを表示できます。 テナント間同期 の場合は、アプリケーション ID ではなく、構成のオブジェクト ID を使用します。
