Azure AD ログを Azure Monitor ログと統合する

Azure Active Directory (Azure AD) の診断設定を使うと、ログと Azure Monitor を統合し、テナントでのサインイン アクティビティと変更の監査証跡を他の Azure データと共に分析できます。

この記事では、Azure Active Directory (Azure AD) のログと Azure Monitor を統合する手順について説明します。

次のタスクを実行するには、Azure AD アクティビティ ログと Azure Monitor の統合を使います。

  • 自分の Azure AD サインイン ログと、Microsoft Defender for Cloud が発行したセキュリティ ログを比較します。

  • Azure Application Insights からのアプリケーション パフォーマンス データを相関させることによって、アプリケーションのサインイン ページでのパフォーマンス ボトルネックのトラブルシューティングを行います。

  • Identity Protection の危険なユーザーとリスク検出ログを分析して、環境内の脅威を検出します。

  • 認証に Active Directory 認証ライブラリ (ADAL) をまだ使っているアプリケーションからのサインインを識別します。 ADAL のサポート終了プランについて確認してください。

Note

Azure Active Directory ログと Azure Monitor を統合すると、Microsoft Sentinel で Azure Active Directory データ コネクタが自動的に有効になります。

この Microsoft Ignite 2018 セッションのビデオでは、実用的なシナリオでの Azure AD ログと Azure Monitor の統合の利点が示されています。

アクセス方法

この機能を使用するには、次が必要です。

  • Azure サブスクリプション。 Azure サブスクリプションを持っていない場合は、無料試用版にサインアップできます。
  • Azure AD Premium P1 または P2 テナント。 自分のテナントのライセンスの種類は、Azure AD の [概要] ページで確認できます。
  • Azure AD テナントに対するグローバル管理者またはセキュリティ管理者のアクセス権。
  • Azure サブスクリプションの Log Analytics ワークスペースLog Analytics ワークスペースの作成方法を確認してください。

ログを Azure Monitor に送信する

Azure Active Directory から Azure Monitor にログを送信するには、次の手順のようにします。 Azure AD の外部で Azure リソース用に Log Analytics ワークスペースを設定する方法を探している場合。 Azure Monitor のリソース ログの収集と表示に関する記事をご覧ください。

  1. セキュリティ管理者またはグローバル管理者として、Azure portal にサインインします。

  2. [Azure Active Directory]>[診断設定] に移動します。 [監査ログ] または [サインイン] ページから [エクスポート設定] を選ぶこともできます。

  3. [+ 診断設定の追加] を選んで新しい統合を作成するか、既存の統合の [設定の編集] を選びます。

  4. 診断設定の名前を入力します。 既存の統合を編集する場合、名前を変更することはできません。

  5. 次のログの一部またはすべてを、Log Analytics ワークスペースに送信できます。 一部のログはパブリック プレビューの可能性がありますが、それでもポータルで表示できます。

    • AuditLogs
    • SignInLogs
    • NonInteractiveUserSignInLogs
    • ServicePrincipalSignInLogs
    • ManagedIdentitySignInLogs
    • ProvisioningLogs
    • ADFSSignInLogs Active Directory フェデレーション サービス (AD FS)
    • RiskyUsers
    • UserRiskEvents
    • RiskyServicePrincipals
    • ServicePrincipalRiskEvents
  6. 次のログはプレビュー段階ですが、Azure AD で表示できます。 現時点では、組織がプレビューに含まれていない限り、これらのオプションを選んでもワークスペースに新しいログは追加されません。

    • EnrichedOffice365AuditLogs
    • MicrosoftGraphActivityLogs
    • NetworkAccessTrafficLogs
  7. ログを送信する場所の [宛先の詳細] を選びます。 次の宛先のいずれかまたはすべてを選びます。 選択内容に応じて、追加のフィールドが表示されます。

    • [Log Analytics ワークスペースへの送信]: 表示されるメニューから適切な詳細を選びます。
    • [ストレージ アカウントへのアーカイブ]: ログ カテゴリの横に表示される [リテンション期間 (日数)] ボックスで、データを保持する日数 を指定します。 表示されるメニューから適切な詳細を選びます。
    • [イベント ハブへのストリーム]: 表示されるメニューから適切な詳細を選びます。
    • [Send to partner solution] (パートナー ソリューションへの送信): 表示されるメニューから適切な詳細を選びます。
  8. [保存] を選択して設定を保存します。

    宛先の詳細が表示されている [診断設定] のスクリーンショット。

15 分経っても選んだ宛先にログが表示されない場合は、いったんサインアウトしてから Azure に戻り、ログを最新の情報に更新します。

次のステップ