次の方法で共有

エンタイトルメント管理でレポートとログを表示する

  • [アーティクル]

エンタイトルメント管理レポートと Microsoft Entra 監査ログは、ユーザーがアクセス権を持っているリソースに関する、より詳細な情報を提供します。 管理者は、ユーザーのアクセス パッケージやリソースの割り当てを表示できるほか、監査目的で要求ログを表示したり、ユーザーの要求の状態を確認したりできます。 この記事では、エンタイトルメント管理レポートや Microsoft Entra 監査ログを使用する方法について説明します。

この記事では、エンタイトルメント管理で現在のオブジェクトに関するレポートを表示する方法について説明します。 ユーザーやアプリケーション ロールの割り当てなど、Microsoft Entra オブジェクトの履歴を保持して報告するには、Microsoft Entra IDのデータを使用して、Azure Data Explorer (ADX) でカスタマイズされたレポートを する方法に関するページを参照してください。

次のビデオを視聴して、エンタイトルメント管理でユーザーがアクセス権を持っているリソースを表示する方法について学ぶことができます。

アクセス パッケージに割り当てられているユーザーを表示する

このレポートを使用すると、アクセス パッケージに割り当てられているすべてのユーザーを一覧表示できます。

  1. 少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。

  2. ID ガバナンス>権限管理>アクセスパッケージ を参照します。

  3. [アクセス パッケージ] ページで、目的のアクセス パッケージを選択します。

  4. 左側のメニューで、[ 割り当て] を選択し、[ ダウンロード] を選択します。

  5. ファイル名を確認し、[ ダウンロード] を選択します。

ユーザーのアクセス パッケージを表示する

このレポートを使用すると、ユーザーが要求できるすべてのアクセス パッケージと、現在そのユーザーに割り当てられているアクセス パッケージを一覧表示できます。

  1. 少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。

  2. ID ガバナンス>特権管理>レポート を参照します。

  3. ユーザーのアクセス パッケージを選択します

  4. [ ユーザーの選択 ] を選択して、[ユーザーの選択] ウィンドウを開きます。

  5. 一覧からユーザーを検索し、[選択] を 選択します。

    [ 要求可能] タブには、ユーザーが要求できるアクセス パッケージの一覧が表示されます。 この一覧は、アクセス パッケージに定義 されている要求ポリシー によって決まります。

    ユーザーのアクセス パッケージ

  6. アクセス パッケージに 1 つ以上のリソースのロールやポリシーがある場合、そのリソースのロールまたはポリシーのエントリーを選択して選択内容の詳細を確認してください。

  7. [ 割り当て済み ] タブを選択すると、ユーザーに現在割り当てられているアクセス パッケージの一覧が表示されます。 アクセス パッケージがユーザーに割り当てられていると、そのユーザーがそのアクセス パッケージ内のすべてのリソースのロールにアクセスできることを意味します。

ユーザーのリソースの割り当てを表示する

このレポートでは、エンタイトルメント管理でユーザーに現在割り当てられているリソースを一覧表示できます。 このレポートは、エンタイトルメント管理で管理されているリソースを対象としています。 ユーザーは、エンタイトルメント管理の外部にあるディレクトリ内の他のリソースにアクセスできる可能性があります。

  1. 少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。

  2. ID ガバナンス>権限管理>レポート に移動します。

  3. ユーザーのリソース割り当てを選択します

  4. [ ユーザーの選択 ] を選択して、[ユーザーの選択] ウィンドウを開きます。

  5. 一覧からユーザーを検索し、[選択] を 選択します。

    ユーザーに現在割り当てられているリソースの一覧が表示されます。 また、この一覧には、アクセスの開始日と終了日と共に、リソースのロールの取得元のアクセス パッケージとポリシーも表示されます。

    ユーザーが 2 つ以上のパッケージ内の同じリソースへのアクセスを得ている場合は、矢印を選択して各パッケージやポリシーを確認できます。

    ユーザーのリソース割り当て

ユーザーの要求のステータスを確認します。

アクセスするパッケージへのアクセス権を、どのようにユーザーが要求し受け取ったかの追加の詳細については、Microsoft Entra 監査ログを使い確認できます。 具体的には、EntitlementManagementUserManagement のカテゴリ内のログ記録を使用すると、各要求の処理手順における、より詳細な情報を取得できます。

  1. 少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。

  2. ID ガバナンス>エンタイトルメント管理>監査ログを参照します。

  3. 上部で、探している監査レコードに応じて、 カテゴリEntitlementManagement または UserManagement に変更します。

  4. [ 適用] を選択します。

  5. ログをダウンロードするには、[ ダウンロード] を選択します。

Microsoft Entra ID は、新しい要求を受け取ると監査レコードを書き込みます。このレコードには 、カテゴリEntitlementManagement され、 アクティビティ は通常 User requests access package assignment。 Microsoft Entra 管理センターで直接割り当てが作成された場合、監査レコードの [アクティビティ ] フィールドが Administrator directly assigns user to access packageされ、割り当てを実行しているユーザーが ActorUserPrincipalName によって識別されます。

Microsoft Entra ID は、要求の処理中に、以下を含む追加の監査レコードを書き込みます。

カテゴリ アクティビティ 要求の状態
EntitlementManagement Auto approve access package assignment request 要求に承認は必要ありません
UserManagement Create request approval 要求には承認が必要
UserManagement Add approver to request approval 要求には承認が必要
EntitlementManagement Approve access package assignment request 要求が承認されました
EntitlementManagement Ready to fulfill access package assignment request 要求が承認されました、または承認は必要ありません

ユーザーにアクセス権が割り当てられると、Microsoft Entra ID は ActivityFulfill access package assignment を使用してEntitlementManagement カテゴリの監査レコードを書き込みます。 アクセス権を受け取ったユーザーは、 ActorUserPrincipalName フィールドによって識別されます。

アクセスが割り当てられなかった場合、Microsoft Entra ID は、要求が承認者によって拒否された場合はDeny access package assignment request、承認者が承認する前に要求がタイムアウトした場合はAccess package assignment request timed out (no approver action taken)アクティビティを含むEntitlementManagement カテゴリの監査レコードを書き込みます。

ユーザーのアクセス パッケージの割り当てが期限切れになったり、ユーザーによって取り消されたり、管理者によって削除されたりすると、Microsoft Entra ID は、Remove access package assignmentのアクティビティを含むEntitlementManagement カテゴリの監査レコードを書き込みます。

接続されている組織の一覧をダウンロードする

  1. 少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。

  2. 次の項目を参照します: ID ガバナンス>権限管理>接続された組織

  3. [接続されている組織] ページで、[ ダウンロード] を選択します。

職務分離に反するアクセスを持つ、または持つことになるユーザーを特定する

アクセス パッケージの職務設定を分離することで、セキュリティ グループのメンバーであるユーザー、または既に 1 つのアクセス パッケージに割り当てられているユーザーが、互換性のないパッケージとしてマークすることで、別のアクセス パッケージを要求できないことを構成できます。 その後、互換性のないとして構成されているアクセス パッケージを表示 し、別のアクセス パッケージに互換性のないアクセス権を持つユーザーを一覧表示 。 Microsoft Entra 管理センターで、Microsoft Graph または PowerShell使用して別のアクセス パッケージへの互換性のないアクセス権を既に持っているユーザーを一覧表示することもできます。

アクセス パッケージのイベントを表示する

Azure Monitor に監査ログ イベントを送信するように構成している場合は、組み込みのブックとカスタム ブックを使用して、Azure Monitor に保持されている監査ログを表示できます。

アクセス パッケージのイベントを表示するには、基になる Azure Monitor ワークスペース (詳細については、 Azure Monitor のログ データとワークスペースへのアクセスの管理 に関するページを参照) と、次のいずれかのロールにアクセスできる必要があります。

  • グローバル管理者
  • セキュリティ管理者
  • セキュリティ閲覧者
  • レポート閲覧者
  • アプリケーション管理者

  1. Microsoft Entra 管理センターに、少なくともレポート閲覧者としてサインインします。 Azure Monitor ワークスペースが含まれているリソース グループにアクセスできることを確認します。

  2. Entra ID>監視およびヘルス>ワークブック に移動します。

  3. 複数のサブスクリプションがある場合は、ワークスペースが含まれているサブスクリプションを選択します。

  4. サブスクリプションを選択した後、またはサブスクリプションが 1 つしかない場合は、 Access Package Activity という名前のブックを選択します。

  5. そのブックで、時間範囲 (不明な場合 は [すべて ] に変更) を選択し、その期間中にアクティビティを持っていたすべてのアクセス パッケージのドロップダウン リストからアクセス パッケージ ID を選択します。 選択した時間範囲内に発生したアクセスパッケージに関連のあるイベントが表示されます。

    アクセス パッケージ イベントを表示する

    各行には、時刻、アクセス パッケージ ID、操作の名前、オブジェクト ID、UPN、操作を開始したユーザーの表示名が含まれます。 この他の詳細は JSON に含まれています。

エンタイトルメント管理によって行われなかったアプリケーション ロールの割り当ての履歴を表示する

Azure Monitor に監査ログ イベントを送信するように構成している場合は、組み込みのブックとカスタム ブックを使用して、Azure Monitor に保持されている監査ログを表示できます。

アプリケーションのロール割り当てアクティビティ に関する ブックには、グローバル管理者がユーザーを直接アプリケーション ロールに割り当てた場合など、アクセス パッケージの割り当てによるものでないアプリケーション ロールの割り当て変更があるかどうかを示します。

  1. Microsoft Entra 管理センターに、少なくともレポート閲覧者としてサインインします。 Azure Monitor ワークスペースが含まれているリソース グループにアクセスできることを確認します。

  2. Entra ID>にアクセスし、Monitoring & health>Workbooks を開きます。

  3. 複数のサブスクリプションがある場合は、ワークスペースが含まれているサブスクリプションを選択します。

  4. サブスクリプションを選択した後、またはサブスクリプションが 1 つしかない場合は、 Access Package Activity という名前のブックを選択します。

    アプリ ロールの割り当てを表示する

  5. エンタイトルメント アクティビティを省略することを選択した場合は、エンタイトルメント管理によって行われなかったアプリケーション ロールに対する変更のみが表示されます。 たとえば、グローバル管理者がアプリケーション ロールにユーザーを直接割り当てた場合、行が表示されます。

次のステップ