次の方法で共有

Microsoft Entra ID でのサインイン診断とは

  • [アーティクル]

サインインが失敗した理由を特定することが、たちまち難しい作業になるおそれがあります。 サインインの試行中に何が起こったかを分析し、問題を解決するために利用できる推奨事項を調査する必要があります。 Microsoft サポートなどの他者を関与させずに問題を解決することが理想です。 このような状況では、Microsoft Entra ID のサインイン診断を使用できます。このツールは、Microsoft Entra ID でのサインインの調査に役立ちます。

この記事ではサインイン診断の概要と、それを使用してサインイン関連のエラーのトラブルシューティングを行う方法について説明します。

前提条件

サインイン診断を使用するには:

  • グローバル閲覧者 以上に権限でサインインしている必要があります。
  • 一部のログイン ログ情報には、条件付きアクセス管理者などの他の役割が必要な場合があります。
  • フラグが設定されたサインイン イベントは、サインイン診断からも確認できます。
    • フラグが設定されたサインイン イベントがキャプチャされるのは、ユーザーがサインイン エクスペリエンス中にフラグ設定を有効にした です。
    • 詳細については、「フラグ付きサインイン」を参照してください。

それはどのように機能しますか?

Microsoft Entra ID では、サインイン試行は次によって制御されます:

  • だれが サインインの試行を実行したか。
  • どのように サインインの試行が実行されたか。

たとえば、条件付きアクセス ポリシーを構成すると、管理者はユーザーが企業ネットワークからサインインする時のテナントのすべての側面を構成することができるようになります。 しかし、同じユーザーが信頼されていないネットワークから同じアカウントにサインインしたときにはブロックされる場合があります。

サインインの試行に応答するシステムの柔軟性が高くなることから、最終的に、サインインのトラブルシューティングが必要なシナリオに行き着く場合があります。サインイン診断ツールは、次の方法でサインインに関する問題の診断を可能にします:

  • サインイン イベントとフラグが設定されたサインインからのデータの分析。
  • 発生したことに関する情報を表示しています。
  • 問題を解決するための推奨事項を示しています。

サインイン診断にアクセスする方法

[Microsoft Entra ID でのサインイン診断] にアクセスする方法は 3 つあります。 タブを選択して、各メソッドについて学習します。

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

サインイン診断は、Microsoft Entra ID の [問題の診断と解決] 領域から開始できます。 [問題の診断と解決] から、フラグが設定されたすべてのサインイン イベントを確認したり、特定のサインイン イベントを検索したりできます。 このプロセスは、[条件付きアクセスの問題の診断と解決] 領域から開始することもできます。

  1. Microsoft Entra 管理センターグローバル閲覧者 以上の権限でサインインします。

  2. 左側のナビゲーションの上部にある [問題の診断と解決] に移動します。

    左側のナビゲーションの [問題の診断と解決] のスクリーンショット。

    • 条件付きアクセス、ユーザー、グループ、ID 保護、多要素認証から [問題の診断と解決] にアクセスすることもできます。

  3. [サインイン診断] タイルの [トラブルシューティング] リンクを選択します。

    [サインイン診断] タイルのスクリーンショット。

  4. [すべてのサインイン イベント] タブを選択して検索を開始します。

    • 場合によっては、このシステムは、フラグ付きサインイン イベントの検索を自動的に開始します。 何も見つからない場合は、[すべてのサインイン イベント] タブにリダイレクトされます。

  5. 検索フィールドにできるだけ多くの詳細を入力します。

    • ユーザー: サインインを試行したユーザーの名前またはメール アドレスを指定します。
    • アプリケーション: アプリケーションの表示名またはアプリケーション ID を指定します。
    • correlationId または requestId: これらの詳細は、エラー レポートまたはサインイン ログの詳細で確認できます。
    • 日付と時刻: 48 時間以内に発生したサインイン イベントを検索するための日時を指定します。

  6. [次へ] ボタンを選択します。

  7. 結果を調べて、必要に応じてアクションを実行します。

診断結果の使用方法

サインイン診断がその検索を完了すると、次のように画面にいくつかのものが表示されます。

[認証の概要] には、指定した詳細に一致するすべてのイベントが一覧表示されます。 概要の右上隅にある [列の表示] オプションを選択して、表示される列を変更します。

認証の概要リストを示すスクリーンショット。

[診断結果] には、サインイン イベント中に何が起こったかが示されます。

  • シナリオには、条件付きアクセス ポリシーからの MFA の要求、条件付きアクセス ポリシーを適用する必要があるサインイン イベント、または過去 48 時間内の多数のサインイン試行の失敗などが含まれる可能性があります。

  • 関連するコンテンツとトラブルシューティング ツールへのリンクが提供される場合があります。

  • 結果を読み取り、実行できるアクションをすべて特定します。

  • 必ずしも追加の支援なしで問題を解決できるとは限らないため、サポート チケットを開くことが推奨される手順となる場合もあります。

    あるシナリオに対する診断結果のスクリーンショット。

一般的なシナリオ

ログイン診断が役立つトラブルシューティング情報を提供できる一般的なシナリオについては、次のセクションのヒントを確認してください。

条件付きアクセス

条件付きアクセス ポリシーを使用して、必要に応じて適切なアクセス制御を適用して組織のセキュリティを維持できます。 条件付きアクセス ポリシーを使用してリソースへのアクセスを許可またはブロックできるため、これらは多くの場合、サインイン診断に表示されます。

多要素認証

ログイン診断ツールを使用してトラブルシューティングできる多要素認証 (MFA) 関連のイベントがいくつかあります。

  • 他の要件による MFA: 結果に条件付きアクセス以外の要件で MFA が表示された場合、ユーザーごとに MFA が有効になっている可能性があります。 ユーザーごとの個別 MFA から条件付きアクセスに移行することをお勧めします。 サインイン診断では、MFA の中断の原因と、やり取りの結果に関する詳細が提供されます。

  • MFA の「プルーフアップ」: MFA がログイン試行を中断したため、診断結果に「プルーフアップ」に関する情報が記載されます。 このエラーは、ユーザーが初めて MFA を設定してセットアップを完了しなかったか、あるいは構成が事前に設定されていない場合に表示されます。

    MFA のプルーフアップに関する診断結果のスクリーンショット。

  • 正しいまたは誤った認証情報: ユーザーが間違った認証情報を入力する場合があります。 サインイン診断ツールは、ヒューマン エラーとその他の問題を区別するのに役立ちます。

  • 正常なログイン: 場合によっては、条件付きアクセスまたは MFA によってログイン イベントが中断されていないかどうかを確認したいときがありますが、実際には中断されます。 サインイン診断ツールでは、中断されるべきであったが実際には中断されなかったサインイン イベントに関する詳細が提供されます。

  • ロックされたアカウント: あるユーザーが誤った認証情報でログインを何度も試行しました。 診断結果は、ログイン試行の発信元の特定、ならびに正当なユーザーのログイン試行であるかどうかを判断するための情報を提示します。 アプリ、試行回数、使用されたデバイス、オペレーティング システム、IP アドレスに関する詳細が提供されます。 詳細については、「Microsoft Entra のスマート ロックアウト」を参照してください。

  • 無効なユーザー名またはパスワード: ユーザーが無効なユーザー名またはパスワードを使用してログインを試行すると、ログイン診断はアプリ、試行回数、使用されたデバイス、オペレーティング システム、IP アドレスに関する詳細を提供します。 この情報は、ユーザーが誤った認証情報を入力したかどうか、あるいはアプリケーションが古いパスワードをキャッシュして再送信しているかどうかを判断するための参考になります。

エンタープライズ アプリ

エンタープライズ アプリケーションでは、ID プロバイダー (Microsoft Entra ID) アプリケーションの構成またはサービス プロバイダー (SaaS アプリケーションとも呼ばれるアプリケーション サービス) の構成で問題が発生する可能性があります。

  • エンタープライズ アプリのサービス プロバイダー: ログイン フローでサービス プロバイダー (アプリケーション) 側の問題が原因でログインに失敗した場合、アプリケーション サービスの問題を修正することで問題が解決されます。 他のサービスにログインし、診断ガイダンスに従って構成を一部変更する必要があります。

  • エンタープライズ アプリの構成: アプリケーションの Microsoft Entra ID 側の構成問題が原因でログインに失敗した場合、エンタープライズ アプリケーションでアプリケーションの構成を確認して更新する必要があります。

セキュリティのデフォルト設定

サインイン イベントは、セキュリティのデフォルト設定により中断される可能性があります。 セキュリティのデフォルト設定は、組織にベスト プラクティスのセキュリティを適用します。 1 つのベスト プラクティスは、パスワード スプレー、リプレイ攻撃、フィッシングの試行が成功しないように MFA を構成および使用することです。

詳細については、「セキュリティのデフォルト設定とは」を参照してください。

エラー コードの分析情報

サインイン診断でイベントにコンテキスト分析が含まれていない場合、更新されたエラー コードの説明と関連する内容が表示されることがあります。 エラー コードの分析情報には、シナリオに関する詳しいテキスト、問題の修復方法、問題に関するコンテンツなどが含まれています。

レガシ認証

このシナリオには、クライアントがレガシ (または Basic) 認証を使用しようとしたためにブロックまたは中断されたサインイン イベントが含まれます。

セキュリティのベスト プラクティスとして、レガシ認証によるサインインは避けることをお勧めします。 POP、SMTP、IMAP、MAPI などのレガシ認証プロトコルでは、MFA を適用することができず、攻撃者による組織の攻撃において恰好のエントリ ポイントになります。

詳細については、「条件付きアクセスを使用して Microsoft Entra ID へのレガシ認証をブロックする方法」を参照してください。

条件付きアクセスが原因でブロックされた B2B サインイン

この診断シナリオでは、別の組織からのユーザーが原因でブロックまたは中断されたサインインを検出します。 たとえば、B2B サインインの場合、条件付きアクセス ポリシーでは、クライアントのデバイスがリソース テナントに参加している必要があります。

詳細については、「B2B コラボレーション ユーザーの条件付きアクセス」を参照してください。

リスク ポリシーによるブロック

このシナリオでは、ログイン試行がリスクとして判別されたため、リスクベースの条件付きアクセス ポリシーによってログイン試行がブロックされます。

詳細については、リスク ポリシーを構成して有効にする方法に関するページを参照してください。

パススルー認証

パススルー認証はオンプレミスとクラウド認証のテクノロジを統合したものであるため、問題がある場所を特定することが困難な場合があります。 この診断は、これらのシナリオを簡単に診断して解決できるようにすることを目的としています。

この診断シナリオでは、使用されている認証方法がパススルー認証 (PTA) であり、PTA 固有のエラーがある場合に、ユーザー固有のサインインの問題を識別します。 他の問題が原因のエラー (PTA 認証が使用されている場合でも) も正しく診断されます。

診断結果には、エラーとユーザーのサインインに関するコンテキスト情報が表示されます。 結果には、サインインに失敗したその他の理由や、管理者が問題を解決するために実行できる推奨アクションが表示される可能性があります。 詳細については、「Microsoft Entra Connect: パススルー認証のトラブルシューティング」を参照してください。

シームレス シングル サインオン

シームレスなシングル サインオンでは、Kerberos 認証とクラウド認証が統合されます。 このシナリオには 2 つの認証プロトコルが関与するため、サインインの問題が発生したときに、障害点の把握が困難な場合があります。 この診断は、これらのシナリオを簡単に診断して解決できるようにすることを目的としています。

この診断シナリオでは、サインイン エラーのコンテキストと特定のエラーの原因を調べます。 診断結果には、サインイン試行に関するコンテキスト情報と、管理者が実行できる推奨アクションが含まれる可能性があります。 詳細については、「Microsoft Entra シームレス シングル サインオンのトラブルシューティング」を参照してください。

関連するコンテンツ