Privileged Identity Management で Azure リソース ロールのアクティビティおよび監査履歴を表示する

  • [アーティクル]

Microsoft Entra ID の Privileged Identity Management (PIM) を使用すると、組織内の Azure リソース ロールのアクティビティ、アクティブ化、監査履歴を表示できます。 対象には、サブスクリプション、リソース グループ、さらに仮想マシンも含まれます。 Azure のロールベースのアクセス制御機能を利用する Microsoft Entra 管理センター内のすべてのリソースで、Privileged Identity Management のセキュリティとライフサイクル管理機能を利用できます。 監査データを既定の保有期間よりも長く保持するには、Azure Monitor を使用して Azure ストレージ アカウントにルーティングします。 詳細については、「Microsoft Entra のログを Azure ストレージ アカウントにアーカイブする」を参照してください。

Note

組織で、Azure Lighthouse を使用するサービス プロバイダーに管理機能を外部委託している場合、そのサービス プロバイダーによって承認されているロールの割り当てはここに表示されません。

アクティビティとアクティブ化を表示する

各リソースに対して特定のユーザーが行った操作を確認する場合、指定したアクティブ化期間に関連付けられている Azure リソース アクティビティを表示することができます。

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. [Identity Governance]>[Privileged Identity Management]>[Azure リソース] の順に移動します。

  3. アクティビティとアクティブ化を表示するリソースを選択します。

  4. [ロール] または [メンバー] をクリックします。

  5. ユーザーを選択します。

    日付ごとの Azure リソースに対するユーザー操作の概要が表示されます。 その同じ期間での最近のロールのアクティブ化も表示されます。

    リソース アクティビティの概要とロールのアクティブ化を含むユーザーの詳細のスクリーンショット。

  6. 特定のロールのアクティブ化を選択すると、そのユーザーがアクティブだったときに発生した詳細と対応する Azure リソース アクティビティが表示されます。

    選択されたロールのアクティブ化とアクティビティの詳細のスクリーンショット。

子を含むロールの割り当てをエクスポートする

コンプライアンス要件により、ロールの割り当ての完全な一覧を監査担当者に提供しなければならない場合があります。 Privileged Identity Management を使用すると、特定のリソースでロールの割り当て (すべての子リソースのロールの割り当てを含む) のクエリを実行できます。 以前は、管理者がサブスクリプションに対するロールの割り当ての完全な一覧を取得するのは困難で、特定のリソースごとにロールの割り当てをエクスポートする必要がありました。 Privileged Identity Management を使用すると、サブスクリプション内のアクティブかつ資格のあるすべてのロールの割り当て (すべてのリソース グループとリソースに対するロールの割り当てを含む) についてクエリを実行できます。

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. [Identity Governance]>[Privileged Identity Management]>[Azure リソース] の順に移動します。

  3. サブスクリプションなど、ロールの割り当てをエクスポートするリソースを選択します。

  4. [割り当て] を選択します。

  5. [エクスポート] を選択して [メンバーシップのエクスポート] ウィンドウを開きます。

    すべてのメンバーをエクスポートする [メンバーシップのエクスポート] ペインを示すスクリーンショット。

  6. [すべてのメンバー エクスポート] を選択して、CSV ファイル内のすべてのロールの割り当てをエクスポートします。

    エクスポートされたロールの割り当てが CSV ファイルで Excel に表示されているところを示すスクリーンショット。

リソースの監査履歴を表示する

リソースの監査では、リソースのすべてのロール アクティビティのビューが提供されます。

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. [Identity Governance]>[Privileged Identity Management]>[Azure リソース] の順に移動します。

  3. 監査履歴を表示するリソースを選択します。

  4. [リソースの監査] を選択します。

  5. 定義済みの日付またはカスタム範囲を使用して履歴をフィルター処理します。

    フィルターを使ったリソース監査リストを示すスクリーンショット。

  6. [監査の種類][アクティブ化 (割り当て済み + アクティブ化済み)] を選択します。

    [監査の種類のアクティブ化] でフィルター処理されたリソース監査リストを示すスクリーンショット。

  7. アクション(アクティビティ) を選択して、ユーザーのアクティビティの詳細を Azure リソースに表示します。

    特定のアクションに対するユーザーのアクティビティの詳細を示すスクリーンショット。

自分の監査を表示する

自分の監査を使用すると、個人のロール アクティビティを表示できます。

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. [Identity Governance]>[Privileged Identity Management]>[Azure リソース] の順に移動します。

  3. 監査履歴を表示するリソースを選択します。

  4. [自分の監査] を選択します。

  5. 定義済みの日付またはカスタムの範囲を使用して履歴をフィルターします。

    現在のユーザーの監査リストを示すスクリーンショット。

Note

監査履歴にアクセスするには、全体管理者ロールまたは特権ロールを持った管理者ロールが必要です。

承認イベントの理由、承認者、およびチケット番号を取得する

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. [ID]>[監視と正常性]>[監査ログ] の順に移動します。

  3. [サービス] フィルターを使用して、Privileged Identity Management サービスの監査イベントのみを表示します。 [監査ログ] ページでは、次のことを実行できます。

    • [状態の理由] 列で監査イベントの理由を確認します。
    • 「ロールへのメンバーの追加要求が承認されました」イベントの [開始者 (アクター)] 列で承認者を確認します。

    PIM サービスの監査ログのフィルター処理を示すスクリーンショット。

  4. 監査ログ イベントを選択すると、 [詳細] ウィンドウの [アクティビティ] タブにチケット番号が表示されます。

    監査イベントのチケット番号を示すスクリーンショット。

  5. 監査イベントの [詳細] ウィンドウの [ターゲット] タブに、要求者 (ロールをアクティブにしているユーザー) を表示できます。 Azure リソース ロールには、次の 3 種類のターゲットがあります。

    • ロール (Type = Role)
    • 要求者 (Type = Other)
    • 承認者 (Type = User)

    ターゲットの種類を確認する方法を示すスクリーンショット。

通常、承認イベントのすぐ上にあるログ イベントは、開始者 (アクター) が要求者である「ロールへのメンバーの追加が完了しました」のイベントです。 ほとんどの場合、監査の観点から承認要求で要求者を検索する必要はありません。

次のステップ