Azure Active Directory の監査ログ

Azure Active Directory (Azure AD) アクティビティ ログには監査ログが含まれます。これは、Azure AD でログに記録されたすべてのイベントに関する包括的なレポートです。 アプリケーション、グループ、ユーザー、ライセンスへの変更はすべて、Azure AD 監査ログにキャプチャされます。

テナントの正常性を監視するために、他にも次の 2 つのアクティビティ ログを使用できます。

  • サインイン - サインインとユーザーのリソース使用状況に関する情報。
  • プロビジョニング - ServiceNow でのグループの作成や、Workday からインポートされたユーザーなど、プロビジョニング サービスによって実行されるアクティビティ。

この記事では、監査ログの概要について説明します。

紹介

Azure AD の監査ログを使用して、コンプライアンスに必要となることが多い、システム アクティビティ レコードにアクセスできます。 このログは、ユーザー、グループ、アプリケーション管理によって分類されます。

ユーザー中心のビューを使用すると、次のような疑問に対する答えを得ることができます。

  • どの種類の更新プログラムがユーザーによって適用されているか。

  • 何人のユーザーが変更されたか。

  • 何個のパスワードが変更されたか。

  • 管理者がディレクトリで何を行ったか。

グループ中心のビューを使用すると、次のような疑問に対する答えを得ることができます。

  • 追加されたのはどのグループか。

  • メンバーシップが変更されたグループはあるか。

  • グループの所有者は変更されたか。

  • グループまたはユーザーにどのライセンスが割り当てられているか。

アプリケーション中心のビューを使用すると、次のような疑問に対する答えを得ることができます。

  • どのアプリケーションが追加または更新されたか。

  • どのアプリケーションが削除されたか。

  • アプリケーションのサービス プリンシパルは変更されたか。

  • アプリケーションの名前は変更されたか。

  • アプリケーションに同意したのはだれか。

アクセス方法

監査アクティビティ レポートは、Azure AD のすべてのエディションで使用できます。 監査ログにアクセスするには、次のいずれかのロールが必要です。

  • レポート閲覧者
  • セキュリティ閲覧者
  • セキュリティ管理者
  • グローバル閲覧者
  • グローバル管理者

Azure portal にサインインし、Azure AD に移動して、[監視] セクションから [監査ログ] を選択します。

Microsoft Graph API を使用して、監査ログにアクセスすることもできます。

ログに表示される情報

監査ログには、以下を示す既定のリスト ビューがあります。

  • 発生した日時
  • 発生をログに記録したサービス
  • アクティビティの名前とカテゴリ ("")
  • アクティビティの状態 (成功または失敗)
  • 移行先
  • アクティビティのイニシエーターまたはアクター (誰)

ツール バーの [列] ボタンをクリックすることで、リスト ビューをカスタマイズおよびフィルター処理できます。 列を編集すると、ビューでフィールドの追加または削除を行うことができます。

使用可能なフィールドのスクリーンショット。

監査ログのフィルター処理

監査データは、日付範囲、サービス、カテゴリ、アクティビティなど、一覧に表示されるオプションを使用してフィルター処理できます。

サービス フィルターのスクリーンショット。

  • サービス: 使用可能なすべてのサービスが既定で設定されますが、ドロップダウン リストからオプションを選択して一覧をフィルター処理し、1 つまたは複数にすることができます。

  • カテゴリ: すべてのカテゴリが既定で設定されますが、フィルター処理して、ポリシーの変更や対象となる Azure AD ロールのアクティブ化といったアクティビティのカテゴリを表示できます。

  • アクティビティ: ご自身で行ったカテゴリとアクティビティ リソースの種類の選択に基づきます。 参照する特定のアクティビティを選択することも、すべてを選択することもできます。

    Graph API を使用して、すべての監査アクティビティの一覧を取得できます。https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

  • 状態: アクティビティが成功、失敗のどちらであったかに基づいて結果を確認できます。

  • ターゲット: アクティビティのターゲットまたは受信者を検索できます。 名前またはユーザー プリンシパル名 (UPN) の最初の数文字で検索します。 ターゲット名と UPN では大文字小文字を区別します。

  • 開始ユーザー: 名前または UPN の最初の数文字を使用して、アクティビティを開始したユーザーで検索できます。 名前と UPN では大文字小文字を区別します。

  • 日付の範囲: 返されるデータの期間を定義できます。 過去 7 日間、24 時間、またはカスタム範囲を検索できます。 カスタムの期間を選択すると、開始時刻と終了時刻を構成できます。

    また、 [ダウンロード] ボタンを選択して、フィルターされたデータ (最大 250,000 個のレコード) をダウンロードすることもできます。 CSV 形式または JSON 形式でログをダウンロードできます。 ダウンロードできるレコードの数は、Azure Active Directory レポートの保持ポリシーによって制限されます。

    データのダウンロード オプションのスクリーンショット。

Microsoft 365 のアクティビティ ログ

Microsoft 365 のアクティビティ ログは、Microsoft 365 管理センターから確認できます。 Microsoft 365 のアクティビティ ログと Azure AD のアクティビティ ログでは多くのディレクトリ リソースが共有されていますが、Microsoft 365 のアクティビティ ログがすべて表示されるのは、Microsoft 365 管理センターのみです。

また、Office 365 Management API を使用すると、Microsoft 365 のアクティビティ ログにプログラムでアクセスすることもできます。

注意

ほとんどのスタンドアロンまたはバンドルされた Microsoft 365 サブスクリプションには、Microsoft 365 データセンターの境界内の一部のサブシステムへのバックエンド依存関係があります。 この依存関係には、ディレクトリの同期を維持するため、および基本的に Exchange Online のサブスクリプション オプトインで手間のかからないオンボーディングを有効にできるようにするために情報の書き戻しが必要です。 これらの書き戻しの場合、監査ログ エントリには、"Microsoft Substrate Management" によって実行されたアクションが表示されます。 これらの監査ログ エントリでは、Exchange Online によって Azure AD に対して実行された作成、更新、削除の各操作を参照します。 エントリは情報を提供するものであり、アクションは必要ありません。

次のステップ