次の方法で共有

テナント間アクセス アクティビティ ブック

  • [アーティクル]

IT 管理者は、自分のユーザーが他の組織とどのように共同作業しているかに関する分析情報を必要とします。 テナント間アクセス アクティビティ ブックを使用すると、自分の組織内のリソースにアクセスしている外部ユーザーと、 どの組織のリソースに自分のユーザーがアクセスしているかを把握できます。 このブックでは、組織のすべての受信と送信のコラボレーションが 1 つのビューに結合されます。

この記事では、テナント間アクセス アクティビティ ブックの概要について説明します。

前提条件

Microsoft Entra ID 用の Azure Workbooks を使用するには、次のものが必要です。

  • Premium P1 ライセンスがある Microsoft Entra テナント
  • Log Analytics ワークスペース および そのワークスペースへのアクセス
  • Azure Monitor Microsoft Entra ID の適切なロール

Log Analytics ワークスペース

Microsoft Entra ブックを使用するには、その "前" に Log Analytics ワークスペースを作成する必要があります。 Log Analytics ワークスペースへのアクセスは、いくつかの要因によって決まります。 ワークスペース データを送信するリソースに適したロールが必要です。

詳細については、「Log Analytics ワークスペースへのアクセスを管理する」を参照してください。

Azure Monitor ロール

Azure Monitor には、監視データを表示し、監視設定を編集するための 2 つの組み込みロール が用意されています。 Azure ロールベースのアクセス制御 (RBAC) には、同様のアクセス権を付与する 2 つの Log Analytics 組み込みロールも用意されています。

  • [表示]:

    • Monitoring Reader
    • Log Analytics 閲覧者

  • 設定を表示および変更する:

    • Monitoring Contributor
    • Log Analytics 共同作成者

Microsoft Entra ロール

読み取り専用アクセスを使用すると、ブック内の Microsoft Entra ID ログ データの表示、Log Analytics からのデータのクエリ、または Microsoft Entra 管理センターでのログの読み取りを行うことができます。 更新アクセスにより、診断設定を作成および編集して、Microsoft Entra データを Log Analytics ワークスペースに送信する機能が追加されます。

  • [読み取り]:

    • レポート閲覧者
    • セキュリティ閲覧者
    • グローバル閲覧者

  • 更新:

    • セキュリティ管理者

Microsoft Entra の組み込みロールの詳細については、「Microsoft Entra 組み込みロール」を参照してください。

Log Analytics RBAC ロールの詳細については、「Azure 組み込みロール」を参照してください。

説明

このブックが [使用状況] カテゴリにあることを示す画像

テナント間アクセスを制御するポリシーに変更を加えるテナント管理者は、ポリシーを変更する前に、このブックを使用して既存のアクセス アクティビティ パターンを視覚化および確認できます。 たとえば、外部の組織内のユーザーがアクセスしているアプリを特定して、重要なビジネス プロセスを誤ってブロックしないようにすることができます。 外部ユーザーがどのように自分のテナント内のリソースにアクセスしているか (インバウンド アクセス) と、自分のテナント内のユーザーがどのように外部テナント内のリソースにアクセスしているか (アウトバウンド アクセス) を理解することは、適切なテナント間ポリシーを設定できるようにする上で役に立ちます。

詳細については、Microsoft Entra 外部 ID のドキュメントを参照してください。

ブックにアクセスする方法

  1. 適切なロールの組み合わせを使って Microsoft Entra 管理センターにサインインします。

  2. [ID]>[監視と正常性]>[ブック] の順に移動します。

  3. [使用状況] セクションから [Cross-tenant access activity]\(テナント間アクセス アクティビティ\) ブックを選択します。

ブックのセクション

このブックには、次の 4 つのセクションがあります。

  • テナント ID 別のすべての受信および送信アクティビティ

  • 受信と送信のコラボレーションを目的としたサインインの状態の概要 (テナント ID 別)

  • 受信と送信のコラボレーションを目的としてアクセスされたアプリケーション (テナント ID 別)

  • 受信と送信のコラボレーション用の個々のユーザー (テナント ID 別)

テナントに対するクテナント間アクセス アクティビティを行った外部テナントの総数がブックの上部に表示されます。

ブックの最初のセクションのスクリーンショット。

[外部テナント] リストには、自分のテナントに関するインバウンドまたはアウトバウンド アクティビティを行ったすべてのテナントが表示されます。 テーブルで外部テナントを選択すると、テーブルの後のセクションに、そのテナントの送信および受信アクティビティに関する情報が表示されます。

外部テナントの一覧のスクリーンショット。

一覧から送信アクティビティのある外部テナントを選択すると、関連付けられている詳細が [Outbound activity]\(送信アクティビティ\) テーブルに表示されます。 受信アクティビティのある外部テナントを選択する場合も同様です。 [Inbound activity]\(受信アクティビティ\) タブを選択して、受信アクティビティのある外部テナントの詳細を表示します。

送信と受信のオプションが強調表示されている、送信および受信アクティビティのスクリーンショット。

送信アクティビティのある外部テナントを表示すると、後続の 2 つのテーブルにアプリケーションの詳細が表示され、ユーザー アクティビティが表示されます。 受信アクティビティのある外部テナントを表示すると、同じテーブルに受信アプリケーションとユーザー アクティビティが表示されます。 これらのテーブルは動的であり、以前に選択されたものに基づいているため、正しいテナントとアクティビティが表示されていることを確認するようにしてください。

フィルター

このブックでは、複数のフィルターがサポートされています。

  • 時間の範囲 (最大 90 日間)

  • 外部テナント ID

  • ユーザー プリンシパル名

  • Application

  • サインインの状態 (成功または失敗)

ブック フィルターを示すスクリーンショット

ベスト プラクティス

このブックを使用して次のことを行います。

  • 正当なコラボレーションを損なうことなく、テナント間アクセス設定を効果的に管理するために必要な情報を取得する

  • 外部の Microsoft Entra 組織からのすべての受信サインインを識別する

  • 外部の Microsoft Entra 組織への自分のユーザーによるすべての送信サインインを識別する

関連するコンテンツ