Microsoft Entra ログを Azure Monitor ログと統合する

Microsoft Entra ID の診断設定を使うと、ログと Azure Monitor を統合し、テナントでのサインインアクティビティと変更の監査証跡を他の Azure データと共に分析できます。

この記事では、Microsoft Entra ログと Azure Monitor を統合する手順について説明します。

次のタスクを実行するには、Microsoft Entra アクティビティログと Azure Monitor の統合を使います。

自分の Microsoft Entra サインインログと、Microsoft Defender for Cloud が発行したセキュリティログを比較します。
Azure Application Insights からのアプリケーションパフォーマンスデータを相関させることによって、アプリケーションのサインインページでのパフォーマンスボトルネックのトラブルシューティングを行います。
Identity Protection の危険なユーザーとリスク検出ログを分析して、環境内の脅威を検出します。
認証に Active Directory 認証ライブラリ (ADAL) をまだ使っているアプリケーションからのサインインを識別します。 ADAL のサポート終了プランについて確認してください。

Note

Microsoft Entra ログと Azure Monitor を統合すると、Microsoft Sentinel 内で Microsoft Entra データコネクタが自動的に有効になります。

前提条件

この機能を使用するには、次が必要です。

Azure サブスクリプションの Log Analytics ワークスペース。 Log Analytics ワークスペースの作成方法を確認してください。

Log Analytics ワークスペース内のデータにアクセスするためのアクセス許可。各種のアクセス許可オプションについて、およびアクセス許可の構成方法について詳しくは、「Azure Monitor でログデータとワークスペースへのアクセスを管理する」を参照してください。

Log Analytics ワークスペースを使用すると、データの地理的な場所、サブスクリプションの境界、リソースへのアクセスなど、さまざまな要件に基づいてデータを収集できます。 Log Analytics ワークスペースの作成方法を確認してください。

Microsoft Entra ID の外部で Azure リソースの Log Analytics ワークスペースを設定する方法については、Azure Monitor のリソースログの収集と表示に関する記事を参照してください。

次の手順を使用して Microsoft Entra ID から Azure Monitor ログにログを送信します。

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。
[Identity] (ID)>[監視と正常性]>[診断設定] の順に移動します。 [監査ログ] または [サインイン] ページから [エクスポート設定] を選ぶこともできます。
[+ 診断設定の追加] を選んで新しい統合を作成するか、既存の統合の [設定の編集] を選びます。
診断設定の名前を入力します。既存の統合を編集する場合、名前を変更することはできません。
ストリーミングするログカテゴリを選択します。各ログカテゴリの説明については、エンドポイントにストリーミングできる ID ログに関する記事を参照してください。
[宛先の詳細] で、[Log Analytics ワークスペースに送信する] チェックボックスをオンにします。
メニューから適切なサブスクリプションと Log Analytics ワークスペースを選択します。
[保存] ボタンを選択します。

15 分経っても選択した宛先にログが表示されない場合は、Microsoft Entra 管理センターからサインアウトして再度サインインしてログを更新します。