Microsoft Entra サインイン ログ内の適用された条件付きアクセス ポリシーを表示する
条件付きアクセス ポリシーを使用すると、ユーザーがどのように Azure テナントのリソースにアクセスできるかを制御できます。 テナント管理者は、条件付きアクセス ポリシーがテナントへのサインインに与える影響を判断し、必要に応じてアクションを実行できるようにする必要があります。
Microsoft Entra ID のサインイン ログは、ポリシーの影響を評価するために必要な情報を提供します。 この記事では、これらのログで適用された条件付きアクセス ポリシーを表示する方法について説明します。
前提条件
サインイン ログ内の適用された条件付きアクセス ポリシーを表示するには、管理者がログとポリシーの "両方" を表示するアクセス許可を持っている必要があります。 "両方" のアクセス許可を付与する最小特権の組み込みロールは、"セキュリティ閲覧者" です。 ベスト プラクティスとして、全体管理者は、関連する管理者アカウントにセキュリティ閲覧者ロールを追加する必要があります。
次の組み込みロールは、"条件付きアクセス ポリシーを読み取る" ためのアクセス許可を付与します。
- Security Reader
- グローバル閲覧者
- セキュリティ管理者
- 条件付きアクセス管理者
次の組み込みロールは、"サインイン ログを表示する" ためのアクセス許可を付与します。
- レポート閲覧者
- セキュリティ閲覧者
- グローバル閲覧者
- セキュリティ管理者
クライアント アプリのアクセス許可
クライアント アプリを使用して Microsoft Graph からサインイン ログをプルする場合、そのアプリには、Microsoft Graph から appliedConditionalAccessPolicy
リソースを受け取るアクセス許可が必要です。 ベスト プラクティスとして Policy.Read.ConditionalAccess
を割り当てます。これが最小特権のアクセス許可であるためです。
クライアント アプリで Microsoft Graph を介してサインイン ログ内の適用された条件付きアクセス ポリシーにアクセスするには、次のいずれかのアクセス許可で十分です。
Policy.Read.ConditionalAccess
Policy.ReadWrite.ConditionalAccess
Policy.Read.All
PowerShell のアクセス許可
他のクライアント アプリと同様に、Microsoft Graph PowerShell モジュールには、サインイン ログ内の適用された条件付きアクセス ポリシーにアクセスするためのクライアント アクセス許可が必要です。 サインイン ログ内の適用された条件付きアクセス ポリシーを正常にプルするには、Microsoft Graph PowerShell の管理者アカウントを使用して必要なアクセス許可に同意する必要があります。 ベスト プラクティスとして、以下に同意してください。
Policy.Read.ConditionalAccess
AuditLog.Read.All
Directory.Read.All
以下のアクセス許可は、必要なアクセス権を持つ最小特権のアクセス許可です。
- 必要なアクセス許可に同意するには:
Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All
- サインイン ログを表示するには:
Get-MgAuditLogSignIn
このコマンドレットの詳細については、「Get-MgAuditLogSignIn」を参照してください。
条件付きアクセスとサインイン ログのシナリオ
Microsoft Entra 管理者は、サインイン ログを使用して以下を行うことができます。
- サインインに関する問題のトラブルシューティング。
- 機能のパフォーマンスの確認。
- テナントのセキュリティの評価。
一部のシナリオでは、条件付きアクセス ポリシーがどのようにサインイン イベントに適用されたかを理解することが求められます。 たとえば、次のような場合です。
ヘルプデスク管理者が、ユーザーが開いたチケットの根本原因がポリシーであるかどうかを把握するために、適用された条件付きアクセス ポリシーを確認する必要がある場合。
"テナント管理者" が、テナントのユーザーに条件付きアクセス ポリシーが意図した影響を与えていることを確認する必要がある場合。
サインイン ログにアクセスするには、Microsoft Entra 管理センター、Azure portal、Microsoft Graph、PowerShell を使用します。
Microsoft Entra サインイン ログ内の条件付きアクセス ポリシーを表示する
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
サインイン ログのアクティビティの詳細には、いくつかのタブが含まれています。 [条件付きアクセス] タブには、そのサインイン イベントに適用された条件付きアクセス ポリシーの一覧が表示されます。
- Microsoft Entra 管理センターにグローバル閲覧者以上としてサインインします。
- [ID]>[監視と正常性]>[サインイン ログ] の順に移動します。
- テーブルからサインイン項目を選択して、サインインの詳細ウィンドウを表示します。
- [条件付きアクセス] タブを選択します。
条件付きアクセス ポリシーが表示されない場合は、サインイン ログと条件付きアクセス ポリシーの両方へのアクセスを提供するロールを使用していることを確認します。