PCの電源をオフにした状態で本番環境へのサインインログが起きるのか。

Question

Azureの本番環境へのサインインログを監査しています。
PCが起動していない日時にてサインインログが出ました。
使用端末やIP、非対話型であることなどでRefreshTokenの再取得などの条件で
セッションの更新が起こったものと推測しているのですが、
完全にPCをシャットダウンしている状況でもセッションの更新は起こるものなのでしょうか。
有識者の方ご意見をいただけないでしょうか。

Answer 1

こんにちは MURASUGI Yuta、Azure のサインインログに関するご質問ですね。

ポイントは、Azure AD のサインインログには「非対話型（バックグラウンドでのトークン取得／更新）」も記録される、という点です。具体的には…

1. Azure AD ではユーザーがアクセス トークンを取得するときだけでなく、 リフレッシュ トークンを用いて新しいアクセストークンやリフレッシュトークンを再発行するタイミングにも「サインインイベント」が発生し、ログに残ります。
2. ブラウザーやモバイルアプリ、Office クライアントといったクライアントがバックグラウンドでトークン更新を自動的に行っている場合、PC が「スリープ」や「ロック」状態でも通信が許可されていればログが残ります。
3. ただし、完全に電源オフ（ネットワーク接続が切れた状態）になっていれば、その端末自身からは更新リクエストは送れません。 → つまり該当ログは、実際には別のクライアント（モバイル、別端末、Azure 上のマネージド ID や自動化ジョブなど）が行ったもの、あるいはブラウザ拡張やサービス側（Office 365 のバックグラウンド更新など）が起こしたものと考えられます。

対策 & 調査手順例

1. サインインログをフィルターで詳細確認
   • クライアント アプリ（Browser, Mobile, Office など）
   • IP アドレス／ロケーション
   • アプリケーション ID / リソース
   • デバイス名
2. 身に覚えのある他デバイス（スマホ Office アプリ、タブレット）や Azure 上のマネージド ID、Logic Apps／Functions、Azure DevOps などの自動化ジョブが該当時刻に動いていないか確認。
3. 必要に応じて Microsoft Entra ID Protection のリスク検出ポリシーを有効化し、疑わしい非対話型サインインをブロック・通知させる

基本的には「端末が完全シャットダウン中はその端末からの通信は不可能」なので、別のクライアントやサービス経由のトークン更新がログに残っているとご理解ください。

───

参考資料

• サインインログのしくみ： https://docs.microsoft.com/azure/active-directory/reports-monitoring/concept-sign-ins
• リスク検出を使ったサインインの保護： https://docs.microsoft.com/azure/active-directory/authentication/tutorial-risk-based-sspr-mfa
• Microsoft Entra ID Protection 概要： https://docs.microsoft.com/azure/active-directory/identity-protection/overview
• サインインログの分析クイックスタート： https://docs.microsoft.com/azure/active-directory/reports-monitoring/quickstart-analyze-sign-in

これらを確認いただくと、正確に発生元を特定しやすくなります。