Global Secure Access (プレビュー) のエンリッチされた Microsoft 365 ログを使用する方法

Microsoft Entra プライベート インターネット サービスを通過する Microsoft 365 トラフィックを使用すると、組織が使用する Microsoft 365 アプリのパフォーマンス、エクスペリエンス、可用性に関する分析情報を取得できます。 エンリッチされた Microsoft 365 ログは、これらの分析情報を得るために必要な情報を提供します。 ログをサードパーティのセキュリティ情報イベント管理 (SIEM) ツールと統合して、さらに詳細な分析を行うことができます。

この記事では、ログ内の情報とそのエクスポート方法について説明します。

前提条件

エンリッチされたログを使用するには、次のロール、構成、およびサブスクリプションが必要です。

ロールと権限

• エンリッチされた Microsoft 365 ログを有効にするには、グローバル管理者ロールが必要です。
• プレビューには、Microsoft Entra ID P1 ライセンスが必要です。 必要な場合は、こちらでライセンスを購入するか試用版ライセンスを取得できます。
• Microsoft 365 トラフィック転送プロファイルのご使用には、Microsoft 365 E3 ライセンスをお勧めします。

構成

• Microsoft 365 プロファイル - Microsoft 365 プロファイルが有効になっていることを確認します。 Microsoft Entra Internet Access は、ログ エンリッチメントの基本である Microsoft 365 サービスに送信されるトラフィックをキャプチャするために必要です。
• Microsoft 365 Common および Office Online トラフィック ポリシー - ログ エンリッチメントに必要です。 有効になっていることを確認します。
• テナントからのデータの送信 - 転送プロファイルで構成されているトラフィックが、グローバル セキュア アクセス サービスに正確にトンネリングされていることを確認します。
• 診断設定の構成 - ログを Log Analytics ワークスペースなどの指定されたエンドポイントにチャネル化するように Microsoft Entra 診断設定を設定します。 各エンドポイントの要件は異なり、この記事の「診断設定の構成」セクションで概説されています。

サブスクリプション

• Microsoft Entra ID P1 ライセンス - プレビュー アクセスに必要です。 必要に応じて、試用版ライセンスを購入または取得することもできます。
• Microsoft 365 E3 ライセンス - Microsoft 365 トラフィック転送プロファイルを使用する場合に推奨されます。

診断設定を構成する前に、ログをルーティングする場所のエンドポイントを構成する必要があります。 各エンドポイントの要件は異なり、「診断設定の構成」セクションで説明されています。

ログで提供される内容

エンリッチされた Microsoft 365 ログは、Microsoft 365 ワークロードに関する情報を提供するため、Microsoft 365 アプリに関連するネットワーク診断データ、パフォーマンス データ、およびセキュリティ イベントを確認できます。 たとえば、組織内のあるユーザーに対して Microsoft 365 へのアクセスがブロックされている場合は、そのユーザーのデバイスがどのようにネットワークに接続しているかを視認できる必要があります。

これらのログでもたらされる内容は次のとおりです。

• 待ち時間の短縮
• 元のログに追加された追加情報
• 正確な IP アドレス

これらのログは、Microsoft 365 監査ログで使用できるログのサブセットです。 ログは、デバイス ID、オペレーティング システム、元の IP アドレスなどの追加情報でエンリッチされます。 エンリッチされた SharePoint ログは、ダウンロード、アップロード、削除、変更、またはリサイクルされたファイルに関する情報を提供します。 削除またはリサイクルされたリスト アイテムも、エンリッチされたログに含まれます。

ログを表示する方法

エンリッチされた Microsoft 365 ログの表示は、2 段階のプロセスです。 まず、Global Secure Access からログ エンリッチメントを有効にする必要があります。 次に、Log Analytics ワークスペースなどのエンドポイントにログをルーティングするために、Microsoft Entra 診断設定を構成する必要があります。

Note

現時点では、ログ エンリッチメントに使用できるのは SharePoint Online ログのみです。

ログ エンリッチメントを有効にする

エンリッチされた Microsoft 365 ログを有効にするには、次の手順を実行してください。

1. Microsoft Entra 管理センターにグローバル管理者としてサインインします。

2. [Global Secure Access (プレビュー)]>[グローバル設定]>[ログ記録] に移動します。

3. 有効にする Microsoft 365 ログの種類を選択します。

4. [保存] を選択します。

   

エンリッチされたログは、サービスと完全に統合されるまでに最大 72 時間かかります。

診断設定を構成する

エンリッチされた Microsoft 365 ログを表示するには、Log Analytics ワークスペースや SIEM ツールなどのエンドポイントにログをエクスポートまたはストリーミングする必要があります。 診断設定を構成するには、エンドポイントを構成する必要があります。

エンドポイントを構成する

• ログを Log Analytics と統合するには、Log Analytics ワークスペースが必要です。

  • Log Analytics ワークスペースを作成します。
  • Log Analytics とログを統合する

• SIEM ツールにログをストリーミングするには、Azure イベント ハブとイベント ハブ名前空間を作成する必要があります。

  • Event Hubs 名前空間とイベント ハブをセットアップします。
  • イベント ハブにログをストリーム配信する

• ログをストレージ アカウントにアーカイブするには、ListKeys アクセス許可を持つ Azure ストレージ アカウントが必要です。

  • Azure Storage アカウントを作成します。
  • ログをストレージ アカウントにアーカイブする

エンドポイントにログを送信する

エンドポイントを作成したら、診断設定を構成できます。

1. セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。

2. [Identity] (ID)>[監視と正常性]>[診断設定] の順に移動します。

3. [診断設定を追加する] を選びます。

4. 診断設定に名前を付けます。

5. [EnrichedOffice365AuditLogs] を選択します。

6. ログを送信する場所の [宛先の詳細] を選びます。 次の宛先のいずれかまたはすべてを選びます。 選択内容に応じて、追加のフィールドが表示されます。

   • [Log Analytics ワークスペースへの送信]: 表示されるメニューから適切な詳細を選びます。
   • [ストレージ アカウントへのアーカイブ]: ログ カテゴリの横に表示される [リテンション期間 (日数)] ボックスで、データを保持する日数 を指定します。 表示されるメニューから適切な詳細を選びます。
   • [イベント ハブへのストリーム]: 表示されるメニューから適切な詳細を選びます。
   • [Send to partner solution] (パートナー ソリューションへの送信): 表示されるメニューから適切な詳細を選びます。

次の例は、エンリッチされたログを Log Analytics ワークスペースに送信しています。これは、表示されるメニューから [サブスクリプション] と [Log Analytics ワークスペース] を選択することを必要とします。

利用条件

Microsoft Entra Private Access と Microsoft Entra Internet Access のプレビュー エクスペリエンスおよび機能の使用は、お客様がサービスを取得した契約のプレビュー オンライン サービス使用条件によって管理されます。 オンライン サービスのユニバーサル ライセンス条項、Microsoft 製品とサービスのデータ保護補遺 (“DPA”)、プレビューで提供されるその他の通知で説明されているように、プレビューでは、セキュリティ、コンプライアンス、プライバシーに関するコミットメントが限定されるか、異なる場合があります。

次のステップ

• Global Secure Access のログと監視オプションを調べる
• Global Secure Access 監査ログについて学習する
• エンリッチされた Microsoft 365 監査ログ