条件付きアクセスに関する分析情報とレポート
条件付きアクセスに関する分析情報とレポートのブックを使用すると、自分の組織内での一定期間にわたる条件付きアクセス ポリシーの影響を把握できます。 サインイン時に 1 つまたは複数の条件付きアクセス ポリシーが適用されて、特定の許可の制御が満たされた場合はアクセスが許可され、そうでない場合はアクセスが拒否されます。 各サインインで複数の条件付きアクセス ポリシーが評価される可能性があるため、分析情報とレポート ブックを使用すると、個々のポリシーまたはすべてのポリシーのサブセットの影響を調べることができます。
前提条件
分析情報とレポート ブックを有効にするには、テナントに以下のものが必要です。
- サインイン ログ データを保持する Log Analytics ワークスペース。
- 条件付きアクセスを使用するための Microsoft Entra ID P1 ライセンス。
ユーザーには、少なくともセキュリティ閲覧者ロールが割り当てられ、Log Analytics ワークスペースの共同作成者ロールが割り当てられている必要があります。
Microsoft Entra ID から Azure Monitor ログにサインイン ログをストリーム配信する
Microsoft Entra ログを Azure Monitor ログと統合していない場合は、ブックを読み込む前に以下の手順を実行する必要があります。
動作方法
分析情報とレポートのブックにアクセスするには、次の手順に従います。
- Microsoft Entra 管理センターにセキュリティ閲覧者以上としてサインインします。
- [保護]>[条件付きアクセス]>[分析情報とレポート] に移動します。
作業を開始しましょう。パラメーターを選択する
分析情報とレポートのダッシュボードを使用すると、指定した期間にわたる 1 つ以上の条件付きアクセス ポリシーの影響を確認できます。 最初に、ブックの先頭の各パラメーターを設定します。
条件付きアクセス ポリシー: 組み合わせによる影響を確認するには、1 つ以上の条件付きアクセス ポリシーを選択します。 ポリシーは、次の 2 つのグループに分けることができます。有効になっているポリシーとレポート専用ポリシーです。 既定では、有効になっているすべてのポリシーが選択されています。 これらの有効になっているポリシーは、テナントに現在適用されているポリシーです。
[時間範囲] : 4 時間から 90 日前までの時間の範囲を選択します。 Microsoft Entra ログを Azure Monitor と統合した時点よりも前の時間の範囲を選択した場合、表示されるのは統合時以降のサインインだけです。
[ユーザー] :既定では、ダッシュボードには、すべてのユーザーに対する選択したポリシーの影響が表示されます。 個々のユーザーでフィルター処理を行うには、テキスト フィールドにユーザーの名前を入力します。 すべてのユーザーでフィルター処理を行うには、テキスト フィールドに 「すべてのユーザー」 と入力するか、パラメーターを空のままにします。
[アプリ] : 既定では、ダッシュボードには、すべてのアプリに対する、選択したポリシーの影響が表示されます。 個々のアプリでフィルター処理を行うには、テキスト フィールドにアプリの名前を入力します。 すべてのアプリでフィルター処理を行うには、テキスト フィールドに 「すべてのアプリ」 と入力するか、パラメーターを空のままにします。
データ ビュー: ユーザー数とサインイン数のどちらの観点でダッシュボードに結果を表示したいかを選択します。個々のユーザーは、特定の時間の範囲内に多数のアプリに対して何百回もサインインを行い、その結果はさまざまである可能性があります。 ユーザー数のデータ ビューを選択すると、ユーザーが成功と失敗の両方のカウントに含まれる可能性があります。 たとえば、10 人のユーザーがいて、そのうちの 8 人が過去 30 日間に成功したことがあり、そのうちの 9 人が過去 30 日以内に失敗したことがあるかもしれません。
影響の概要
パラメーターが設定されると、影響の概要が読み込まれます。 概要には、選択したポリシーが評価されたときに、特定の時間の範囲内にどのくらいの数のユーザーまたはサインインが 成功、失敗、ユーザー アクションが必要です、または 適用されていません になったかが表示されます。
Total: 期間内に、選択したポリシーのうち少なくとも 1 つが評価されたユーザーまたはサインインの数。
成功:期間内に、選択したポリシーの結合結果が 成功 または レポート専用: 成功であったユーザーまたはサインインの数。
失敗:期間内に、選択したポリシーのうち少なくとも 1 つの結果が 失敗または レポート専用: 失敗 であったユーザーまたはサインインの数。
ユーザー アクションが必要です: 期間内に、選択したポリシーの結合結果が レポート専用: ユーザー操作が必要ですであったユーザーまたはサインインの数。 多要素認証などの対話型の許可制御が必要な場合は、ユーザー操作が必要です。 対話型の許可制御はレポート専用のポリシーによって強制されないため、成功または失敗を判断できません。
適用されていません:期間内に、選択したポリシーのいずれも適用されなかったユーザーまたはサインインの数。
影響の理解
条件ごとのユーザーまたはサインインの内訳を確認できます。 ブックの上部にある [概要] タイルでの選択により、特定の結果 (成功や失敗など) のサインインをフィルター処理可能です。 条件付きアクセスの条件 (デバイスの状態、デバイス プラットフォーム、クライアント アプリ、場所、アプリケーション、サインイン リスクなど) ごとに、サインインの内訳を確認できます。
サインインの詳細
また、ダッシュボードの下部でサインインを検索して、特定のユーザーのサインインを調査することもできます。 クエリでは、頻度が最も高いユーザーが表示されます。 ユーザーを選択すると、クエリがフィルター処理されます。
Note
サインイン ログをダウンロードする場合は、条件付きアクセスの レポート専用の結果データを含めるための JSON 形式を選択します。
レポートのみモードで条件付きアクセス ポリシーを構成する
レポートのみモードで条件付きアクセス ポリシーを構成するには:
- 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
- [保護]>[条件付きアクセス]>[ポリシー] に移動します。
- 既存のポリシーを選択するか、新しいポリシーを作成します。
- [ポリシーの有効化] の下で、トグルを [レポートのみ] モードに設定します。
- [保存] を選びます。
ヒント
既存のポリシーの [ポリシーの有効化] の状態を [オン] から [レポート専用] に編集すると、既存のポリシーの適用が無効になります。
トラブルシューティング
アクセス許可エラーに起因してクエリに失敗するのはなぜですか。
ブックにアクセスするには、Microsoft Entra ID と Log Analytics で適切なアクセス許可が必要です。 サンプルのログ分析クエリを実行し、適切なワークスペース アクセス許可が与えられているかどうかをテストするには:
- Microsoft Entra 管理センターにセキュリティ閲覧者以上としてサインインします。
- [ID]>[監視と正常性]>[Log Analytics] に移動します。
- クエリ ボックスに「
SigninLogs
」と入力し、 [実行] を選択します。 - クエリから何の結果も返されない場合、ワークスペースが正しく構成されていない可能性があります。
Microsoft Entra サインイン ログを Log Analytics ワークスペースにストリーミングする方法の詳細については、「Microsoft Entra ログを Azure Monitor ログと統合する」を参照してください。
ブック内のクエリがエラーになるのはなぜですか?
お客様の報告によると、誤ったワークスペースや複数のワークスペースがブックに関連付けられていると、クエリがエラーになる場合があります。 この問題を解決するには、ブックの最上部にある [編集] を選択して、設定の歯車をクリックします。 ブックに関連付けられていないワークスペースを選択して削除します。 各ブックに関連付けられているワークスペースは 1 つだけになります。
条件付きアクセス ポリシー パラメーターが空であるのはなぜですか。
ポリシーの一覧は、最も新しいサインイン イベントに対して評価されたポリシーを調べることで生成されます。 テナントに最近のサインインがない場合は、条件付きアクセス ポリシーの一覧がブックに読み込まれるまで数分待つ必要があるかもしれません。 空の結果は Log Analytics を構成した直後、あるいは、テナントに最近、サインイン アクティビティがない場合にありえることです。
ブックの読み込みに長い時間がかかるのはなぜですか。
選択した時間の範囲とテナントのサイズによっては、ブックが膨大な数のサインイン イベントを評価している可能性があります。 大きなテナントの場合、サインインのボリュームが Log Analytics のクエリ処理能力を超える可能性があります。 時間の範囲を 4 時間に短縮してみて、ブックが読み込まれるかどうかを確認してください。
数分の読み込み後に、ブックから結果が 1 件も返されないのはなぜですか。
サインインの回数が Log Analytics のクエリ処理能力を超えると、ブックから結果が 1 件も返されません。 時間の範囲を 4 時間に短縮してみて、ブックが読み込まれるかどうかを確認してください。
パラメーターの選択を保存することはできますか。
ブックの上部にあるパラメーターの選択を保存するには、[ID]>[監視と正常性]>[ブック]>[条件付きアクセスの分析情報とレポート] の順に移動します。 ここにはブック テンプレートがあり、ブックを編集したり、パラメーターの選択も含めたコピーをワークスペースの [個人用レポート] または [共有レポート] に保存したりすることができます。
追加のクエリを使用してブックを編集およびカスタマイズすることはできますか。
ブックを編集してカスタマイズするには、[ID]>[監視と正常性]>[ブック]>[条件付きアクセスの分析情報とレポート] の順に移動します。 ここにはブック テンプレートがあり、ブックを編集したり、パラメーターの選択も含めたコピーをワークスペースの [個人用レポート] または [共有レポート] に保存したりすることができます。 クエリの編集を開始するには、ブックの上部にある [編集] を選択します。
関連するコンテンツ
Microsoft Entra ブックの詳細については、「Microsoft Entra レポートに Azure Monitor ブックを使用する方法」を参照してください。
Conditional Access common policies (条件付きアクセスの一般的なポリシー)