次の方法で共有


ID アクティビティ ログをカスタマイズしてフィルター処理する方法

サインイン ログは、ユーザー アクセスの問題をトラブルシューティングし、危険なサインイン アクティビティを調査するためによく使用されるツールです。 監査ログは、Microsoft Entra ID でログに記録されたすべてのイベントを収集し、環境の変更を調査するために使用できます。 Microsoft Entra 管理センターでサインイン ログのビューをカスタマイズするために選択できる列は 30 以上あります。 監査ログとプロビジョニング ログは、ニーズに合わせてカスタマイズおよびフィルター処理することもできます。

この記事では、列をカスタマイズし、ログをフィルター処理して、必要な情報をより効率的に見つける方法について説明します。

前提条件

Microsoft Entra管理センターでアクティビティ ログにアクセスする方法

自身のサインイン履歴には、https://mysignins.microsoft.com でいつでもアクセスできます。 Microsoft Entra ID の [ユーザー] および [エンタープライズ アプリケーション] からサインイン ログにアクセスすることもできます。

  1. Microsoft Entra 管理センターレポート閲覧者以上でサインインしてください。
  2. [ID]>[監視と正常性]>[監査ログ]/[サインイン ログ]/[プロビジョニング ログ] に移動します。

Microsoft Entra 監査ログの情報を使用すると、コンプライアンスのためのシステム アクティビティのレコードにアクセスできます。 監査ログには、すべてのカテゴリとアクティビティを並べ替えてフィルター処理できる、Microsoft Entra ID の [監視と正常性] セクションからアクセスできます。 調査中のサービスの管理センターの領域の監査ログにアクセスすることもできます。

サイド メニューの監査ログ オプションのスクリーンショット。

たとえば、Microsoft Entra グループの変更を調べている場合は、[Microsoft Entra ID]>[グループ] から監査ログにアクセスできます。 サービスから監査ログにアクセスすると、サービスに応じてフィルターが自動的に調整されます。

グループ メニューの監査ログ オプションのスクリーンショット。

監査ログのレイアウトをカスタマイズする

監査ログの列をカスタマイズして、必要な情報のみを表示することができます。 [サービス][カテゴリ]、および [アクティビティ] 列は相互に関連しているため、これらの列は常に表示する必要があります。

監査ログの列ボタンのスクリーンショット。

監査ログをフィルター処理する

[サービス] でログをフィルター処理すると、[カテゴリ][アクティビティ] の詳細が自動的に変更されます。 場合によっては、[カテゴリ] または [アクティビティ] が 1 つだけ存在する場合があります。 これらの詳細のすべての潜在的な組み合わせの詳細な表については、「監査アクティビティ」を参照してください。

サービスとしての条件付きアクセスを使用した監査ログ フィルターのスクリーンショット。

  • サービス: 使用可能なすべてのサービスが既定で設定されますが、ドロップダウン リストからオプションを選択して一覧をフィルター処理し、1 つまたは複数にすることができます。

  • カテゴリ: すべてのカテゴリが既定で設定されますが、フィルター処理して、ポリシーの変更や対象となる Microsoft Entra ロールのアクティブ化といったアクティビティのカテゴリを表示できます。

  • アクティビティ: ご自身で行ったカテゴリとアクティビティ リソースの種類の選択に基づきます。 参照する特定のアクティビティを選択することも、すべてを選択することもできます。

    Microsoft Graph API を使用して、すべての監査アクティビティの一覧を取得できます: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

  • 状態: アクティビティが成功、失敗のどちらであったかに基づいて結果を確認できます。

  • ターゲット: アクティビティのターゲットまたは受信者を検索できます。 名前またはユーザー プリンシパル名 (UPN) の最初の数文字で検索します。 ターゲット名と UPN では大文字小文字を区別します。

  • 開始ユーザー: 名前または UPN の最初の数文字を使用して、アクティビティを開始したユーザーで検索できます。 名前と UPN では大文字小文字を区別します。

  • 日付の範囲: 返されるデータの期間を定義できます。 過去 7 日間、24 時間、またはカスタム範囲を検索できます。 カスタムの期間を選択すると、開始時刻と終了時刻を構成できます。