準拠またはマネージド デバイスを必要とするサインインのアラートを調査する方法

Microsoft Entra Health の監視には、監視可能な一連のテナントレベルの正常性メトリックが用意されており、潜在的な問題または障害の状態が検出されたときにアラートが生成されます。 デバイスに関連する 2 つのものを含め、監視できる複数の正常性シナリオがあります。

• 条件付きアクセスで準拠デバイスを必要とするサインイン
• 条件付きアクセスでマネージド デバイスを必要とするサインイン

これらのシナリオでは、準拠またはマネージド デバイスからのサインインを必要とする条件付きアクセス ポリシーを満たすユーザー認証を監視して、それに関するアラートを受け取ることができます。 Microsoft Entra Health のしくみについて詳しくは、以下をご覧ください。

• Microsoft Entra Health とは
• Microsoft Entra の稼働状況の監視のシグナルとアラートを使用する方法

この記事では、準拠およびマネージド デバイスに関連する正常性メトリックと、アラートを受け取ったときに潜在的な問題のトラブルシューティングを行う方法について説明します。

前提条件

稼働状況の監視シグナルを表示し、アラートの構成と受信を行うための、さまざまなロール、アクセス許可、ライセンス要件があります。 ゼロ トラスト ガイダンスに沿うには、最低特権アクセス権を持つ役割を使用することをお勧めします。

• Microsoft Entra Health のシナリオ監視シグナルを "表示" するには、Microsoft Entra P1 または P2 ライセンスを持つテナントが必要です。
• "アラートを表示" し、"アラート通知を受信する" には、Microsoft Entra P1 または P2 ライセンス "および" 少なくとも 100 人の月間アクティブ ユーザーの両方を持つテナントが必要です。
• レポート閲覧者ロールは、"シナリオ監視シグナル、アラート、アラート構成を表示する" ために必要な最小限の特権ロールです。
• ヘルプデスク管理者は、"アラートの更新" と "アラート通知構成の更新" に必要な最小限の特権ロールです。
• "Microsoft Graph API を使用してアラートを表示する" には、HealthMonitoringAlert.Read.All のアクセス許可が必要です。
• "Microsoft Graph API を使用してアラートの表示と変更を行う" には、HealthMonitoringAlert.ReadWrite.All のアクセス許可が必要です。
• ロールの詳細な一覧については、「タスク別の最小特権ロール」を参照してください。

アラートとシグナルを調査する

アラートの調査は、データの収集から始まります。

1. シグナルの詳細と影響の概要を収集します。
   • Microsoft Entra 管理センターでシグナルを表示して、パターンを理解し、異常を特定します。
   • テナントに対するすべてのアラートを取得するには、アラート一覧取得 API を実行します。
   • 特定のアラートの詳細を取得するには、アラート取得 API を実行します。
2. Intune デバイスのコンプライアンス ポリシーを確認します。
   • 詳しくは、Intune デバイスのコンプライアンスの概要に関する記事をご覧ください。
   • デバイスのコンプライアンス ポリシーを監視する方法を確認します。
   • Intune を使っていない場合は、デバイス管理ソリューションのコンプライアンス ポリシーを確認します。
3. 条件付きアクセスに関する一般的な問題を調べます。
   • 条件付きアクセスのデバイス コンプライアンス ポリシーのトラブルシューティングを行います。
   • 条件付きアクセスでのサインインの問題のトラブルシューティングを行います。
4. サインイン ログを確認します。
   • サインイン ログの詳細を確認します。
   • サインインがブロックされていて、"かつ"、準拠デバイス ポリシーが適用されているユーザーを探します。
5. 監査ログで、最近のポリシーの変更を調べます。
   • 監査ログを使用して条件付きアクセス ポリシーの変更をトラブルシューティングします。

一般的な問題を軽減する

次の一般的な問題により、準拠またはマネージド デバイスを必要とするサインインが急増する可能性があります。 この一覧がすべてではありませんが、調査の開始点となります。

多くのユーザーが既知のデバイスからのサインインをブロックされる

大きなユーザー グループが既知のデバイスへのサインインをブロックされている場合、急増は、これらのデバイスがコンプライアンスから外れたことを示している可能性があります。

調査方法:

• 影響の概要で、resourceType が "user" であり、impactedCount の値で組織のユーザーの大きな割合が示されている場合は、広い範囲で問題が発生している可能性があります。
• Intune デバイスのコンプライアンス ポリシーを調べます。
• 条件付きアクセスのデバイス コンプライアンス ポリシーを調べます。

ユーザーが不明なデバイスからのサインインをブロックされる

増加しているサインインのブロックが不明なデバイスからのものである場合、その急増は、攻撃者がユーザーの資格情報を取得し、そのような攻撃に使われるデバイスからサインインしようとしていることを示している可能性があります。

調査方法:

• 影響の概要で、resourceType が "user" であり、impactedCount の値がユーザーの小さなサブセットを示している場合、その問題はユーザー固有である可能性があります。
• サインイン ログを確認します。
• Microsoft Entra ID 保護でリスクを調べます。
  • 注: Microsoft Entra ID 保護には、Microsoft Entra P2 ライセンスが必要です。

ネットワークの問題

多数のユーザーが同時にサインインする必要があるリージョンで、システム停止が発生している可能性があります。

調査方法:

• 影響の概要で、resourceType が "user" であり、impactedCount の値が組織のユーザーの大きな割合を示している場合は、広い範囲で問題が発生している可能性があります。
• システムとネットワークの正常性を確認して、停止または更新の期間が異常と一致するかを確認します。

次のステップ

• Microsoft Intune でコンプライアンス ポリシーを作成する
• 条件付きアクセスと Intune の詳細
• Microsoft Entra 参加済みデバイスについて理解する
• デバイス管理とは
• 条件付きアクセスと Intune の詳細
• Microsoft Entra ハイブリッド参加済みデバイスについて理解する