Azure Active Directory のサインイン ログ
サインイン エラーとパターンを確認すると、ユーザーがアプリケーションやサービスにアクセスする方法について貴重な分析情報を得ることができます。 Azure Active Directory (Azure AD) によって提供されるサインイン ログは、IT 管理者が分析できる強力な種類のアクティビティ ログです。 この記事では、サインイン ログにアクセスして利用する方法について説明します。
テナントの正常性を監視するために、他にも次の 2 つのアクティビティ ログを使用できます。
- 監査 - ユーザーやグループの管理、テナントのリソースに適用された更新など、テナントに適用された変更に関する情報。
- プロビジョニング - ServiceNow でのグループの作成や、Workday からインポートされたユーザーなど、プロビジョニング サービスによって実行されるアクティビティ。
サインイン ログから得られる情報
サインイン ログを見れば、例えば次のことが分かります。
ユーザーのサインインにどのようなパターンがあるか。
1 週間で何人のユーザーがサインインを行ったか。
これらのサインインはどのような状態か。
サインイン ログへのアクセス方法
自分のサインイン履歴には https://mysignins.microsoft.com からいつでもアクセスできます。
テナントのサインイン ログにアクセスするには、次のいずれかのロールが必要です。
- グローバル管理者
- セキュリティ管理者
- セキュリティ閲覧者
- グローバル閲覧者
- レポート閲覧者
サインイン アクティビティ レポートは、Azure AD のすべてのエディションで使用できます。 Azure Active Directory P1 または P2 ライセンスがある場合は、Microsoft Graph API を使用してサインイン アクティビティ レポートにアクセスできます。 Azure Active Directory エディションにアップグレードするには、「Azure Active Directory Premium の概要」を参照してください。 アップグレード前のアクティビティ データがない状態でプレミアム ライセンスにアップグレードした後、データが Graph に表示されるまでには数日間かかります。
Azure AD サインイン ログにアクセスする手順:
適切な最小特権ロールを使用して Azure portal にサインインします。
[Azure Active Directory]>[サインイン ログ] に移動します。
![[サインイン ログ] が強調表示された [監視] サイド メニューのスクリーンショット。](media/concept-sign-ins/side-menu-sign-in-logs.png)
Azure AD の次の領域からサインイン ログにアクセスすることもできます。
- ユーザー
- グループ
- エンタープライズ アプリケーション
サインイン ログを表示する
サインイン ログをより効果的に表示するには、少し時間を取って、ニーズに合うようにビューをカスタマイズします。 含める列を指定し、データをフィルター処理して、表示内容を絞り込むことができます。
レイアウトのカスタマイズ
サインイン ログには既定のビューがありますが、30 を超える列オプションを使用してビューをカスタマイズできます。
- ログの上部にあるメニューで、[列] を選択します。
- 表示する列を選択し、ウィンドウの下部にある [保存] を選択します。
![[列] オプションが強調表示されたサインイン ログ ページのスクリーンショット。](media/concept-sign-ins/sign-in-logs-columns.png)
結果をフィルター処理する
サインイン ログをフィルター処理すると、特定のシナリオに一致するログをすばやく検出するのに役立ちます。 たとえば、一覧をフィルター処理して、特定の地理的な場所、特定のオペレーティング システム、または特定の種類の資格情報から発生したサインインのみを表示できます。
一部のフィルター オプションでは、さらにオプションを選択するように求められます。 プロンプトに従って、フィルター処理に必要な選択を行います。 複数のフィルターを追加できます。
開始するには、テーブルの上部で [フィルターの追加] オプションを選択します。
![[フィルターの追加] オプションが強調表示されたサインイン ログ ページのスクリーンショット。](media/concept-sign-ins/sign-in-logs-filter.png)
選択できるフィルター オプションがいくつかあります。
- ユーザー: 対象のユーザーの "ユーザー プリンシパル名" (UPN)。
- 状態: オプションは、"成功"、"失敗"、"中断" です。
- リソース: サインインに使用されたサービスの名前。
- 条件付きアクセス: 条件付きアクセス (CA) ポリシーの状態。 オプションは次のとおりです。
- "適用されていません:" サインイン時にユーザーおよびアプリケーションに適用されたポリシーはありません。
- "成功:" サインイン時に、ユーザーおよびアプリケーションに 1 つ以上の CA ポリシーが適用されました (ただし、必ずしもその他の条件が適用されたとは限りません)。
- "失敗:" サインインは少なくとも 1 つの CA ポリシーのユーザーおよびアプリケーションの条件を満たしましたが、許可コントロールが満たされていないか、アクセスをブロックするように設定されています。
- IP アドレス: IP アドレスと、そのアドレスを持つコンピューターが物理的に配置されている場所の間に明確な関連性がありません。 モバイル プロバイダーや VPN は、多くの場合、クライアント デバイスが実際に使用されている場所から遠く離れたところにある中央プールから IP アドレスを発行します。 現時点では、トレース、レジストリ データ、逆引きなどの情報に基づいて IP アドレスを物理的な場所に変換するのがいいでしょう。
次の表は、[クライアント アプリ] フィルター オプションのオプションと説明を示しています。
注意
プライバシーに関するコミットメントにより、テナント間のシナリオの場合、Azure AD によってこのフィールドがホーム テナントに設定されることはありません。
| 名前 | 先進認証 | 説明 |
|---|---|---|
| 認証済み SMTP | 電子メール メッセージを送信するために POP および IMAP のクライアントで使用されます。 | |
| 自動検出 | Exchange Online でメールボックスを検索して接続するために Outlook および EAS のクライアントで使用されます。 | |
| Exchange ActiveSync | このフィルターは、EAS プロトコルが試行されたすべてのサインイン試行を表示します。 | |
| Browser |  |
Web ブラウザーを使用したユーザーのすべてのサインイン試行を表示します |
| Exchange ActiveSync | Exchange ActiveSync を使用して Exchange Online に接続するクライアント アプリでのユーザーのすべてのサインイン試行を表示します | |
| Exchange Online PowerShell | リモート PowerShell を使用して Exchange Online に接続するために使用されます。 Exchange Online PowerShell の基本認証をブロックする場合は、Exchange Online PowerShell モジュールを使用して接続する必要があります。 手順については、「多要素認証を使用して Exchange Online PowerShell に接続する」を参照してください。 | |
| Exchange Web サービス | Outlook、Outlook for Mac、およびサードパーティ製アプリによって使用されるプログラミング インターフェイスです。 | |
| IMAP4 | IMAP を使用して電子メールを取得する従来のメール クライアント。 | |
| MAPI over HTTP | Outlook 2010 以降で使用されます。 | |
| モバイル アプリとデスクトップ クライアント | |
モバイル アプリとデスクトップ クライアントを使用したユーザーのすべてのサインイン試行を表示します。 |
| オフライン アドレス帳 | Outlook によってダウンロードおよび使用されるアドレス一覧コレクションのコピーです。 | |
| Outlook Anywhere (RPC over HTTP) | Outlook 2016 以前で使用されます。 | |
| Outlook サービス | Windows 10 用のメール/カレンダー アプリで使用されます。 | |
| POP3 | POP3 を使用して電子メールを取得する従来のメール クライアント。 | |
| レポート Web サービス | Exchange Online でレポート データを取得するために使用されます。 | |
| その他のクライアント | クライアント アプリが含まれていないまたは不明である、ユーザーによるサインインの試行をすべて表示します。 |
サインイン ログを分析する
サインイン ログ テーブルが適切に書式設定されたので、データをより効果的に分析できるようになりました。 ここでは、いくつかの一般的なシナリオについて説明しますが、サインイン データを分析する方法はそれらだけではありません。 ログを他のツールにエクスポートすると、サインイン データを詳細に分析したり、保持したりすることができます。
サインインのエラー コード
サインインに失敗した場合は、関連するログ項目の [基本情報] セクションで、理由に関する詳細情報を取得できます。 エラー コードと関連する失敗の理由が詳細に表示されます。 一部の Azure AD 環境は複雑であるため、発生する可能性のあるすべてのエラー コードと解決策を記載することはできません。 一部のエラーについては、問題を解決するためにサポート リクエストの送信が必要な場合があります。
Azure AD 認証と認可に関連するエラー コードの一覧については、記事「Azure AD 認証と承認のエラー コード」を参照してください。 場合によっては、サインイン エラー検索ツールによって修復手順が提供されることがあります。 サインイン ログの詳細で提供されるエラー コードをツールに入力し、[Submit] (送信) ボタンを選択します。
認証の詳細
サインイン ログの詳細にある [認証の詳細] タブには、各認証の試行に関する次の情報が表示されます。
- 適用された認証ポリシーの一覧 (条件付きアクセス、セキュリティの既定値群など)。
- 適用されたセッション有効期間ポリシーの一覧 (サインインの頻度、MFA の記憶など)。
- サインインに使用された認証方法のシーケンス。
- 認証の試行が成功したかどうかとその理由。
この情報を使用すると、ユーザーのサインインの各ステップをトラブルシューティングできます。 これらの詳細を使用して、次の情報を追跡します。
- MFA によって保護されたサインインの回数。
- セッション有効期間ポリシーに基づく認証プロンプトの理由。
- 各認証方法の使用状況と成功率。
- パスワードレス認証方法 (パスワードレス電話サインイン、FIDO2、Windows Hello for Business など) の使用状況。
- トークン クレームによって認証要件が満たされる頻度 (ユーザーが対話形式でパスワードの入力や SMS OTP の入力を求められない場合など)。
サインイン ログを表示している状態で、サインイン イベントを選択し、[認証の詳細] タブを選択します。
![[認証の詳細] タブのスクリーンショット](media/concept-sign-ins/authentication-details-tab.png)
認証の詳細を分析する場合、次の詳細を書き留めます。
- OATH 検証コードは、OATH ハードウェア トークンとソフトウェア トークン (Microsoft Authenticator アプリの認証など) の両方で認証方法として記録されます。
- [認証の詳細] タブでは、ログ情報が完全に集計されるまで、最初のうちは不完全または不正確なデータが表示されることがあります。 たとえば、次のような場合が確認されています。
- サインイン イベントが最初にログに記録された場合、 [トークンの要求によって満たされました] というメッセージが正しく表示されません。
- [プライマリ認証] の行が最初はログに記録されません。
- ログの詳細がわからない場合は、要求 ID と関連付け ID を収集して、さらなる分析またはトラブルシューティングに使います。
MFA サインインに関する考慮事項
ユーザーが MFA を使用してサインインすると、複数の個別の MFA イベントが実際に発生します。 たとえば、ユーザーが間違った検証コードを入力した場合、または時間内に応答しなかった場合、サインイン試行の最新の状態を反映する追加の MFA イベントが送信されます。 これらのサインイン イベントは、Azure AD サインイン ログに 1 つの行項目として表示されます。 ただし、Azure Monitor で同じサインイン イベントは、複数の行項目として表示されます。 これらのイベントにはすべて同じ correlationId があります。
他のサービスで使用されるサインイン データ
サインイン データは、危険なサインインを監視し、アプリケーションの使用状況に関する分析情報を提供するために、Azure の複数のサービスによって使用されます。
Azure AD Identity Protection の危険なサインイン データ
危険なサインインに関連するサインイン ログ データの可視化は、次のデータを使用する Azure AD Identity Protection の概要で利用できます。
- 危険なユーザー
- 危険なユーザーのサインイン
- 危険なサービス プリンシパル
- 危険なサービス プリンシパルのサインイン
Azure AD Identity Protection ツールの詳細については、Azure AD Identity Protection の概要に関する記事を参照してください。
Azure AD アプリケーションと認証サインイン アクティビティ
アプリケーション固有のサインイン データを表示するには、Azure AD に移動し、[監視] セクションで [使用状況と分析情報] を選択します。 これらのレポートでは、Azure AD アプリケーション アクティビティと AD FS アプリケーション アクティビティのサインインを詳細に確認できます。 詳細については、Azure AD の使用状況と分析情報に関する記事を参照してください。
Azure AD の [使用状況と分析情報] では、[認証方法のアクティビティ] レポートも提供されます。これは、使用された方法別に認証を分類します。 このレポートを使用して、MFA またはパスワードレス認証が設定されているユーザーの数を確認します。
Microsoft 365 のアクティビティ ログ
Microsoft 365 のアクティビティ ログは、Microsoft 365 管理センターから確認できます。 Microsoft 365 アクティビティと Azure AD アクティビティのログでは、数多くのディレクトリ リソースが共有されます。 Microsoft 365 のアクティビティ ログがすべて表示されるのは、Microsoft 365 管理センターだけです。
Microsoft 365 アクティビティ ログには、Office 365 Management API を使用してプログラムでアクセスすることができます。