テナント間アクセス アクティビティ ブック

  • [アーティクル]

IT 管理者は、自分のユーザーが他の組織とどのように共同作業しているかに関する分析情報を必要とします。 テナント間アクセス アクティビティ ブックを使用すると、自分の組織内のリソースにアクセスしている外部ユーザーと、 どの組織のリソースに自分のユーザーがアクセスしているかを把握できます。 このブックでは、組織のすべての受信と送信のコラボレーションが 1 つのビューに結合されます。

この記事では、テナント間アクセス アクティビティ ブックの概要について説明します。

前提条件

Microsoft Entra ID 用の Azure Workbooks を使用するには、次のものが必要です。

  • Premium P1 ライセンスがある Microsoft Entra テナント
  • Log Analytics ワークスペース および そのワークスペースへのアクセス
  • Azure Monitor Microsoft Entra ID の適切なロール

Log Analytics ワークスペース

Microsoft Entra ブックを使用する "前" に、Log Analytics ワークスペースを作成する必要があります。 Log Analytics ワークスペースへのアクセスは、いくつかの要因によって決まります。 ワークスペース データを送信するリソースに適したロールが必要です。

詳細については、「Log Analytics ワークスペースへのアクセスを管理する」を参照してください。

Azure Monitor ロール

Azure Monitor には、監視データを表示し、監視設定を編集するための 2 つの組み込みロール が用意されています。 Azure ロールベースのアクセス制御 (RBAC) には、同様のアクセス権を付与する 2 つの Log Analytics 組み込みロールも用意されています。

  • [表示]:

    • Monitoring Reader
    • Log Analytics 閲覧者

  • 設定を表示および変更する:

    • Monitoring Contributor
    • Log Analytics 共同作成者

Microsoft Entra ロール

読み取り専用アクセスを使用すると、ブック内の Microsoft Entra ID ログ データの表示、Log Analytics からのデータのクエリ、または Microsoft Entra 管理センターでのログの読み取りを行うことができます。 更新アクセスにより、診断設定を作成および編集して、Microsoft Entra データを Log Analytics ワークスペースに送信する機能が追加されます。

  • [読み取り]:

    • レポート閲覧者
    • セキュリティ閲覧者
    • グローバル閲覧者

  • 更新:

    • セキュリティ管理者

Microsoft Entra の組み込みロールの詳細については、「Microsoft Entra 組み込みロール」を参照してください。

Log Analytics RBAC ロールの詳細については、「Azure 組み込みロール」を参照してください。

説明

Image showing this workbook is found under the Usage category

テナント間アクセスを制御するポリシーに変更を加えるテナント管理者は、ポリシーを変更する前に、このブックを使用して既存のアクセス アクティビティ パターンを視覚化および確認できます。 たとえば、自分のユーザーが外部の組織内でアクセスしているアプリを特定して、重要なビジネス プロセスを誤ってブロックしないようにすることができます。 外部ユーザーがご自分のテナント内のリソースにアクセスする (受信アクセス) 方法と、そのテナント内のユーザーが外部テナントのリソースにアクセスする (発信アクセス) 方法を理解すると、適切なテナント間ポリシーを確実に設定できます。

詳細については、Microsoft Entra 外部 ID のドキュメントを参照してください。

ブックにアクセスする方法

  1. 適切なロールの組み合わせを使って Microsoft Entra 管理センターにサインインします。

  2. [ID]>[監視と正常性]>[ブック] の順に移動します。

  3. [使用状況] セクションから [Cross-tenant access activity]\(テナント間アクセス アクティビティ\) ブックを選択します。

ブックのセクション

このブックには、次の 4 つのセクションがあります。

  • テナント ID 別のすべての受信および送信アクティビティ

  • 受信と送信のコラボレーションを目的としたサインインの状態の概要 (テナント ID 別)

  • 受信と送信のコラボレーションを目的としてアクセスされたアプリケーション (テナント ID 別)

  • 受信と送信のコラボレーション用の個々のユーザー (テナント ID 別)

テナントに対するクロステナント アクセス アクティビティを行った外部テナントの総数がブックの上部に表示されます。

Screenshot of the first section of the workbook.

[External Tenant]\(外部テナント\) の一覧に、テナントに対して受信または送信アクティビティを行ったすべてのテナントが表示されます。 テーブルで外部テナントを選択すると、テーブルの後のセクションに、そのテナントの送信および受信アクティビティに関する情報が表示されます。

Screenshot of the external tenant list.

一覧から送信アクティビティのある外部テナントを選択すると、関連付けられている詳細が [Outbound activity]\(送信アクティビティ\) テーブルに表示されます。 受信アクティビティのある外部テナントを選択する場合も同様です。 [Inbound activity]\(受信アクティビティ\) タブを選択して、受信アクティビティのある外部テナントの詳細を表示します。

Screenshot of the outbound and inbound activity, with the outbound and inbound options highlighted.

送信アクティビティのある外部テナントを表示すると、後続の 2 つのテーブルにアプリケーションの詳細が表示され、ユーザー アクティビティが表示されます。 受信アクティビティのある外部テナントを表示する場合、同じテーブルに受信アプリケーションとユーザー アクティビティが表示されます。 これらのテーブルは動的であり、以前に選択されたものに基づいているため、正しいテナントとアクティビティが表示されていることを確認するようにしてください。

フィルター

このブックでは、複数のフィルターがサポートされています。

  • 時間の範囲 (最大 90 日間)

  • 外部テナント ID

  • ユーザー プリンシパル名

  • Application

  • サインインの状態 (成功または失敗)

Screenshot showing workbook filters

ベスト プラクティス

このブックを使用して次のことを行います。

  • 正当なコラボレーションを損なうことなく、テナント間アクセス設定を効果的に管理するために必要な情報を取得する

  • 外部の Microsoft Entra 組織からのすべての受信サインインを識別する

  • 外部の Microsoft Entra 組織への自分のユーザーによるすべての送信サインインを識別する