この記事では、Microsoft Entra の監視と正常性に関してよく寄せられる質問に回答しています。 詳細については、「Microsoft Entra の監視と正常性の概要」を参照してください。
作業の開始
Premium ライセンスはどうすれば取得できますか。
Microsoft Entra エディションをアップグレードするには、「Microsoft Entra ID ライセンス」を参照してください。
Premium ライセンスを取得した後、どのぐらいの期間でアクティビティ ログ データが表示されるようになりますか?
無料ライセンスのアクティビティ ログ データが既にある場合は、すぐに確認できます。 データがない場合、データがレポートに表示されるまでに最大 3 日かかることがあります。
Microsoft Entra ID P1 または P2 ライセンスを取得した後、先月のデータを確認できますか?
最近 Premium バージョン (試用版を含む) に切り替えた場合、初めは最大 7 日分のデータを確認できます。 データが蓄積されると、過去 30 日間のデータを確認できます。
アクティビティ ログ
Microsoft Entra 管理センターでアクティビティ ログを表示するには、どのようなロールが必要ですか?
監査ログとサインイン ログを表示する
Azure Monitor と統合できるログは何ですか?
サインイン、監査、プロビジョニング、ID 保護、ネットワーク アクセス、およびその他の多くのログは、Azure Monitor やその他の監視およびアラート ツールと統合できます。 B2C 関連の監査イベントは現在含まれていません。 他のエンドポイントと統合できる Microsoft Entra ログの完全な一覧については、「エンドポイントにストリーミングするためのログ オプション
Microsoft Entra 管理センターまたは Azure portal から Microsoft 365 アクティビティ ログ情報を取得できますか?
Microsoft 365 アクティビティ ログと Microsoft Entra アクティビティ ログでは、ディレクトリ リソースの大部分が共有されています。 Microsoft 365 のアクティビティ ログをすべて閲覧する場合は、Microsoft 365 管理センター にアクセスして Office 365 アクティビティ ログ情報を取得する必要があります。 Microsoft 365 用 API については、Microsoft 365 Management API に関する記事を参照してください。
Microsoft Entra 管理センターからダウンロードできるレコードの数は何件ですか?
Microsoft Entra 管理センターからダウンロードできるログの数は、ブラウザーのメモリ サイズ、ネットワーク速度、Microsoft Entra レポート API の負荷など、複数の要因によって決まります。 一般に、監査ログでは 250,000 件未満のデータ セットが、サインイン ログとプロビジョニング ログでは 100,000 件未満のデータ セットが、ブラウザーのダウンロード機能で適切に機能します。 含まれているフィールドの数に応じて、この数は異なる場合があります。 ブラウザーで大量のダウンロードの実行に問題が発生した場合は、レポート API を使用 してデータをダウンロードするか、診断設定を使用してログをエンドポイントに送信します。
ダウンロードできるログの具体的なセットは、ダウンロードを開始するときの Microsoft Entra 管理センターのアクティブなフィルターによって決まります。 たとえば、Microsoft Entra 管理センターで特定のユーザーにフィルタリングすることは、ダウンロードがその特定のユーザーのログをプルすることを意味します。 ダウンロードされたログ内の列は、変更されません。 Microsoft Entra 管理センターでカスタマイズした列に関係なく、出力には監査ログまたはサインイン ログのすべての詳細が含まれます。
Microsoft Entra ID によってアクティビティ ログが格納される期間はどのくらいですか? データの保存期間を教えてください。
ライセンスに応じて、7 日から 30 日間、Microsoft Entra ID にアクティビティ ログが保存されます。 詳細については、「Microsoft Entra レポートのアイテム保持ポリシー」を参照してください。
監査ログ
ユーザーがテナントにライセンスを購入したか、または試用版ライセンスを有効にしたかを確認するにはどうすればよいですか? 監査ログにはこのアクティビティが見当たりません。
現在、ライセンス購入または有効化に対して、監査ログに特定のアクティビティはありません。 しかし、"PIM へのリソースのオンボード" アクティビティを、"リソース管理" カテゴリから、ライセンスの購入または有効化に関連付けることができる場合があります。 このアクティビティは常に利用できるとは限らず、また正確な詳細も提供されないことがあります。
サインイン ログ
signInActivity リソースを使用してユーザーの前回のサインイン時刻を調べましたが、数時間経っても更新されていません。 最新のサインイン時間で更新されるのはいつですか?
signInActivity リソースは、しばらくサインインしていない非アクティブなユーザーを見つけるために使用されます。 ほぼリアルタイムでは更新されません。 より早くユーザーの前回のサインイン アクティビティを見つける必要がある場合は、Microsoft Entra サインイン ログを使用して、すべてのユーザーの準リアルタイムのサインイン アクティビティを確認できます。
[Microsoft Entra サインイン ログ] からダウンロードできる CSV ファイルには、どのようなデータが含まれていますか?
CSV には、選択されているサインインの種類のサインイン ログが含まれています。 サインイン ログの Microsoft Graph API で、入れ子にされた配列として表されるデータは含まれていません。 たとえば、条件付きアクセス ポリシーとレポートのみの情報は含まれません。 サインイン ログに含まれるすべての情報をエクスポートする必要がある場合は、[データ設定のエクスポート] 機能を使用してください。
また、Microsoft Entra 管理センターで列をカスタマイズした場合でも、ダウンロードしたログに含まれる列は変更されない点に注意することも重要です。
IP アドレスの一部に .XXX が表示され、サインイン ログのユーザーのデバイスの詳細に "PII Removed" が表示されます。 なぜでしょうか。
Microsoft Entra ID は、次のシナリオでユーザーのプライバシーを保護するために、サインイン ログの一部を編集する場合があります。
- CSP 技術者が CSP が管理するテナントにサインインするときなど、テナント間のサインイン中。
- ログを表示しているテナントにユーザーが所属していることを、Microsoft のサービスが、そのユーザーの ID により十分な確度で判断できなかった場合。
- Microsoft Entra ID は、顧客データを保護するために、テナントに属していないデバイスにより生成された個人を特定できる情報 (PII) を削除します。 PII が、ユーザーとデータ所有者の同意なしにテナントの境界を超えて広がることはありません。
1 つの requestID に重複するサインイン エントリまたは複数のサインイン イベントが表示されます。 なぜでしょうか。
サインイン エントリがログで重複する理由はいくつかあり得ます。
- サインインでリスクが特定された場合は、その直後にほぼ同じ別のイベントが発行され、リスクが含まれます。
- サインインに関連する MFA イベントを受信すると、関連するすべてのイベントが元のサインインに集計されます。
- Kusto への発行など、サインイン イベントのパートナー発行が失敗した場合、イベントのバッチ全体が再試行および再発行され、この結果として重複が発生することがあります。
- 複数の条件付きアクセス ポリシーが関与するサインイン イベントが複数のイベントに分割されるような場合には、結果として、サインイン イベントごとに少なくとも 2 つのイベントが発生することがあり得ます。
Log Analytics を使ってサインイン イベントを調査中ですが、TimeGenerated の時刻がサインインの実際の時刻と一致しません。 なぜでしょうか。
Log Analytics の TimeGenerated フィールドは、Log Analytics がエントリを受信して公開した時刻です。 Log Analytics にログを表示するには、Log Analytics ワークスペースにログを送信するための診断設定を構成する必要があります。 このプロセスには時間がかかるため、TimeGenerated フィールドはサインインの実際の時刻と一致しない可能性があります。
日付と時刻がサインインと一致することを確認するには、Log Analytics の結果の少し下にある CreatedDateTime
フィールドを探します。
AuthenticationDetails
フィールドを展開して、サインインの正確な時刻を表示することもできます。 Log Analytics の時刻は UTC で表示されますが、Microsoft Entra 管理センターのサインイン ログの時刻は現地時刻で表示されるため、調整が必要になる場合があります。
危険なサインイン イベントにも、実際のサインイン時間とは異なる TimeGenerated 時間があります。 危険なサインインの TimeGenerated 時間は、サインインの時刻ではなく、リスクが検出された時刻です。 危険なサインイン イベント自体で、サインインの実際の時刻であるアクティビティ時間を確認します。
対話型以外のサインインが同じタイム スタンプを持っているように見えるのはなぜですか。
非対話型サインインでは、1 時間ごとに大量のイベントがトリガーされる可能性があるため、ログではグループ化されます。
多くの場合、非対話型サインインは、サインインの日時を除き、すべて同じ特性を持ちます。 時間集計が 24 時間に設定されている場合、ログには同時刻のサインインが表示されます。 これらのグループ化された各行を展開して、正確なタイム スタンプを表示できます。
サインイン ログのユーザー名フィールドにユーザー ID / オブジェクトID / GUID が表示されます。 パフォーマンスが低下しているのはなぜですか。
サインイン エントリがユーザー名フィールドにユーザー ID、オブジェクト ID、または GUID を表示するのには、いくつかの理由かあります。
- パスワードレス認証では、ユーザー ID がユーザー名として表示されます。 このシナリオを確認するには、問題のサインイン イベントの詳細を確認します。 authenticationDetail フィールドは "パスワードレス" と表示されます。
- ユーザーは認証されていますが、まだサインインしていません。 確認するために、中断に関連付ける "エラー コード 50058" があります。
- ユーザー名フィールドに 000000-00000-0000-0000 などの類似した内容が表示されている場合は、テナントによる制限があり、ユーザーが選択したテナントにサインインできない可能性があります。
- 多要素認証のサインイン試行は、複数のデータ エントリで集約されるため、正しく表示されるまでに時間がかかることがあります。 データが完全に集計されるまでに、最大で 2 時間かかることもありますが、それほど長くかかることはほとんどありません。
サインイン ログに 90025 エラーが表示されています。 これは、ユーザーがサインインに失敗したことを意味しまするのですか。 テナントが調整制限に達したのですか。
いいえ。一般的な 90025 エラーは自動再試行で解決されるので、ユーザーはエラーに気づきません。 このエラーは、内部の Microsoft Entra サブサービスが再試行の許容回数に達し、テナントが調整されていることを示していない場合に発生する可能性があります。 これらのエラーは通常、Microsoft Entra ID によって内部で解決されます。 このエラーが原因でユーザーがサインインできない場合は、手動でもう一度試すと問題が解決されるはずです。
サービス プリンシパルのサインイン ログで、サービス プリンシパル ID またはリソース サービス プリンシパル ID が "00000000-0000-0000-0000-000000000000" または "" となっている場合、どのような意味がありますか?
サービス プリンシパル ID の値が "0000000-0000-0000-0000-000000000000" の場合は、その認証インスタンスにクライアント アプリケーションのサービス プリンシパルはありません。 Microsoft Entra では、いくつかの Microsoft 製および他社製アプリケーションを除き、クライアント サービス プリンシパルなしのアクセス トークンは発行していません。
リソース サービス プリンシパル ID に値 "0000000-0000-0000-0000-000000000000" が含まれる場合は、その認証インスタンスにリソース アプリケーションのサービス プリンシパルは存在しません。
この動作は現在、限られた数のリソース アプリに対してのみ許可されています。
テナント内のクライアントまたはリソース サービス プリンシパルを使用せずに認証のインスタンスを照会することができます。
- クライアント サービス プリンシパルがないテナントのサインイン ログのインスタンスを検索するには、次のクエリを使用します。
https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
- リソース サービス プリンシパルがないテナントのサインイン ログのインスタンスを検索するには、次のクエリを使用します。
https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
次に示す Microsoft Entra 管理センターのサインイン ログを確認することもできます。
- Microsoft Entra 管理センターにサインインします。
- [ID]>[監視と正常性]>[サインイン ログ] の順に移動します。
- [サービス プリンシパルのサインイン] を選択してください。
- [日付] フィールドで適切な概算時間 (過去 24 時間、7 日間など) を選択します。
- フィルターを追加し、[サービス プリンシパル ID] を選択し、値 '00000000-0000-0000-0000-000000000000' を指定して、クライアント サービス プリンシパルのない認証のインスタンスを取得します。
サービス プリンシパルのサインイン ログに表示されるさまざまなアプリのサインイン (認証) を制限するにはどうすればよいですか?
特定のクライアントまたはリソース アプリのテナントで認証がどのように機能するかを制御する場合は、「Microsoft Entra アプリを一連のユーザーに制限する」の記事の手順に従ってください。
技術的に非対話型のサインインが対話型のサインイン ログに表示されるのはなぜですか?
一部の非対話型サインインは、非対話型サインイン ログがパブリック プレビューで利用可能になる前に利用可能になりました。 これらの非対話型サインインは対話型サインイン ログに含まれ、非対話型ログが使用可能になった後も対話型サインイン ログに残りました。 FIDO2 キーを使用したサインインは、対話型サインイン ログに表示される非対話型サインインの例です。 現在、これらの非対話型ログは常に対話型サインイン ログに含まれます。
資格情報の漏洩や匿名 IP アドレスからのサインインなど、Identity Protection のリスク検出にはどのレポート API を使用すればよいですか?
Identity Protection リスク検出 API を使用すると、Microsoft Graph を通じてセキュリティの検出にアクセスできます。 この API には、高度なフィルター処理、フィールドの選択が含まれており、リスク検出が 1 つのタイプに標準化されるため、SIEM などのデータ コレクション ツールに簡単に統合できます。
条件付きアクセス
サインイン ログに表示できる条件付きアクセスの詳細は何ですか。
すべてのサインイン ログで、条件付きアクセス ポリシーのトラブルシューティングを実行できます。 条件付きアクセスの状態を確認し、サインインに適用されたポリシーの詳細と各ポリシーの結果を調べることができます。
作業を開始するには:
- Microsoft Entra 管理センターにサインインします。
- [ID]>[監視と正常性]>[サインイン ログ] の順に移動します。
- トラブルシューティングを行うサインインを選択します。
- [条件付きアクセス] タブを選択し、サインインに影響を与えたすべてのポリシーと、各ポリシーの結果を表示します。
条件付きアクセスの状態として表示されるすべての値を教えてください。
条件付きアクセスの状態には、次の値が表示される可能性があります。
- 未適用: スコープ内にユーザーとアプリがある条件付きアクセス ポリシーがなかったことを意味します。
- 成功: スコープ内にユーザーとアプリがある条件付きアクセス ポリシーがあり、条件付きアクセス ポリシーが正常に満たされます。
- 失敗:サインインによって少なくとも 1 つの条件付きアクセス ポリシーのユーザーとアプリケーションの条件が満たされたうえで、制御の許可が満たされていないか、またはアクセスをブロックするように設定されています。
条件付きアクセス ポリシーの結果として表示されるすべての値を教えてください。
条件付きアクセス ポリシーには、次の結果が表示される可能性があります。
- 成功:ポリシーは正常に満たされました。
- 失敗: ポリシーは満たされませんでした。
- 適用されていません: ポリシー条件が満たされていない可能性があります。
- 有効化されていません: ポリシーが無効状態になっている可能性があります。
サインイン ログのポリシー名が条件付きアクセスのポリシー名と一致しません。 なぜですか?
サインイン ログのポリシー名は、サインイン時の条件付きアクセス ポリシー名に基づいています。 この名前は、サインイン後にポリシー名を更新した場合、条件付きアクセスのポリシー名と一致しなくなることがあります。
条件付きアクセス ポリシーのためにサインインがブロックされましたが、サインイン ログにはサインインは成功したと表示されています。 なぜですか?
現在、条件付きアクセスが適用されている場合は、サインイン ログに表示される Exchange ActiveSync シナリオの結果が、正確ではないことがあります。 レポートのサインイン結果にサインインの成功と表示されても、ポリシーのために実際にはサインインが失敗している場合があります。
サインイン ログの詳細の [条件付きアクセス] タブに、Windows サインインまたは Windows Hello for Business が "スコープ外" または "適用できません" と表示されるのはなぜですか?
条件付きアクセス ポリシーは、Windows サインインまたは Windows Hello for Business には適用されません。 条件付きアクセス ポリシーにより、Windows サインイン プロセスではなく、クラウド リソースへのサインイン試行が保護されます。
Microsoft Graph API
現在 `https://graph.windows.net/<tenant-name>/reports/` エンドポイント API を使用しており、プログラムによってレポート システムに Microsoft Entra の監査レポートと統合されたアプリケーションの使用状況レポートを取り込んでいます。 何に切り替える必要がありますか。
API リファレンスを参照して、API を使用してアクティビティ ログにアクセスできる方法を確認してください。 このエンドポイントには 2 つのレポート (監査ととサインイン) があり、旧 API エンドポイントで取得したすべてのデータが提供されます。 この新しいエンドポイントには、アプリの使用状況、デバイスの使用状況、およびユーザー サインイン情報の取得に使用できる Microsoft Entra ID P1 または P2 ライセンスによるサインイン レポートもあります。
現在 `https://graph.windows.net/<tenant-name>/reports/` エンドポイント API を使用しており、プログラムによってレポート システムに Microsoft Entra セキュリティ レポート (漏洩した資格情報や匿名 IP アドレスからのサインインなどの、特定の種類の検出) を取り込んでいます。 何に切り替える必要がありますか。
Identity Protection リスク検出 API を使用すると、Microsoft Graph を通じてセキュリティの検出にアクセスできます。 この新しい形式により、データのクエリの実行方法がより柔軟になります。 この形式には、高度なフィルター処理、フィールドの選択が用意されており、リスク検出が 1 つのタイプに標準化されるため、SIEM などのデータ コレクション ツールにより簡単に統合できます。 データの形式が異なるため、古いクエリの代わりに新しいクエリを使うことはできません。 ただし、新しい API は Microsoft 365 や Microsoft Entra ID のような API 向けの Microsoft 標準である Microsoft Graph を使用します。 そのため、作業が必要になれば、現在の Microsoft Graph への投資を拡大するか、または、この新しい標準プラットフォームへの移行開始を促すことができます。
クエリの実行時にアクセス許可エラーが発生し続けます。 私は適切な役割を持っていると思っていました。
その場合、Microsoft Entra 管理センターとは別に Microsoft Graph にサインインする必要があります。 右上隅にあるプロファイル アイコンを選択し、右側のディレクトリにサインインします。 アクセス許可のないクエリを実行しようとしている可能性があります。 [アクセス許可の変更] を選択し、[同意] ボタンを選択します。 サインイン プロンプトに従います。
サービス プリンシパルのサインインに関連しない "MicrosoftGraphActivityLogs" イベントが存在するのはなぜですか?
トークンを使用して Microsoft Graph エンドポイントを呼び出すたびに、その呼び出しで MicrosoftGraphActivityLogs
が更新されます。 これらの呼び出しの一部はファースト パーティのアプリ専用呼び出しであり、サービス プリンシパルのサインイン ログには発行されません。 サインイン ログで見つからない MicrosoftGraphActivityLogs
が uniqueTokenIdentifier
に表示されている場合、トークン識別子はファースト パーティのアプリ専用トークンを参照しています。
推奨事項
"完了" した推奨事項が "アクティブ" に戻ったのはなぜですか?
"完了" とマークされたものの推奨事項に関するアクティビティがサービスによって検出されると、それは自動的に "アクティブ" に戻ります。