次の方法で共有


継続的アクセス評価の監視とトラブルシューティング

管理者は、継続的アクセス評価 (CAE) を複数の方法で適用して、サインイン イベントの監視とトラブルシューティングを行うことができます。

継続的アクセス評価のサインイン レポート

管理者は、継続的アクセス評価 (CAE) が適用されているユーザー サインインを監視できます。 この情報は、Microsoft Entra サインイン ログにあります。

  1. Microsoft Entra 管理センターセキュリティ閲覧者以上としてサインインします。
  2. [ID]>[監視と正常性]>[サインイン ログ] の順に移動します。
  3. [Is CAE Token](CAE トークンである) フィルターを適用します。

サインイン ログにフィルターを追加して、CAE が適用されている場所を確認する方法を示すスクリーンショット。

ここでは、管理者にユーザーのサインイン イベントに関する情報が表示されます。 サインインを選択すると、適用されている条件付きアクセス ポリシーや、CAE が有効になっているかなど、セッションの詳細が表示されます。

認証ごとに複数のサインイン要求が存在します。 対話型タブにあるものと、非対話型タブにあるものがあります。CAE は、対話型タブまたは非対話型タブで使用できる要求の 1 つに対してのみ true とマークされます。管理者は両方のタブを確認して、ユーザーの認証で CAE が有効かどうかを確認する必要があります。

特定のサインイン試行の検索

サインイン ログには、成功イベントと失敗イベントの情報が含まれています。 検索を絞り込むにはフィルターを使用します。 たとえば、ユーザーが Teams にサインインした場合は、[アプリケーション] フィルターを使用して Teams に設定します。 管理者は、特定のサインインを見つけるために、対話型タブと非対話型タブの両方でサインインを調べることが必要な場合があります。 検索をさらに絞り込むには、複数のフィルターを適用できます。

継続的アクセス評価ブック

継続的アクセス評価分析情報ブックを使用すると、管理者はテナントの CAE 使用状況の分析情報を表示および監視できます。 テーブルには、IP の不一致を含む認証試行が表示されます。 このブックは、[条件付きアクセス] カテゴリの下のテンプレートとして見つかります。

CAE ブック テンプレートへのアクセス

ブックを表示する前に、Log Analytics の統合を完了する必要があります。 Microsoft Entra サインイン ログを Log Analytics ワークスペースにストリーミングする方法の詳細については、「Microsoft Entra ログを Azure Monitor ログと統合する」を参照してください。

  1. Microsoft Entra 管理センターセキュリティ閲覧者以上としてサインインします。
  2. [ID]>[監視と正常性]>[ワークブック] の順に移動します。
  3. [Public Templates](パブリック テンプレート) で、 [Continuous access evaluation insights](継続的アクセス評価の分析情報) を検索します。

継続的アクセス評価分析情報ブックには、以下のテーブルが含まれています。

Microsoft Entra ID とリソース プロバイダーの間で IP アドレスの不一致の可能性

Microsoft Entra ID とリソース プロバイダーの間で IP アドレスの不一致の可能性テーブルを使用すると、管理者は、Microsoft Entra ID によって検出された IP アドレスがリソース プロバイダーによって検出された IP アドレスと一致しないセッションを調査できます。

このブック テーブルでは、それぞれの IP アドレスと、セッションの間に CAE トークンが発行されたかどうかが表示されて、これらのシナリオが明らかになります。

サインインごとの継続的アクセス評価の分析情報

ブックのサインインごとの継続的アクセス評価の分析情報ページでは、サインイン ログから複数の要求を接続し、CAE トークンが発行された 1 つの要求を表示します。

このブックは、たとえば、ユーザーがデスクトップで Outlook を開き、Exchange Online 内のリソースにアクセスしようとする場合に便利です。 このサインイン アクションは、ログ内の複数の対話型および非対話型サインイン要求にマップされ、問題の診断が困難になる場合があります。

IP アドレスの構成

ID プロバイダーとリソース プロバイダーがそれぞれ異なる IP アドレスを認識する場合があります。 この不一致が発生する原因の例は次のとおりです。

  • ネットワークで分割トンネリングが実装されています。
  • リソース プロバイダーでは IPv6 アドレスが使用されていて、Microsoft Entra ID では IPv4 アドレスが使用されています。
  • ネットワークの構成により、Microsoft Entra ID とリソース プロバイダーで認識されているクライアントの IP アドレスが異なります。

環境内にこのシナリオが存在する場合、無限ループを回避するために、Microsoft Entra ID から 1 時間の CAE トークンが発行され、その 1 時間はクライアントの場所の変更が適用されません。 この場合でも、従来の 1 時間のトークンと比較してセキュリティは向上します。これは、クライアントの場所の変更イベント以外に他のイベントも評価されるためです。

管理者は、時間範囲とアプリケーションでフィルター処理されたレコードを表示できます。 管理者は、指定した期間中に検出された不一致の IPS の数と、サインインの総数を比較できます。

管理者は、ユーザーのブロックを解除するために、信頼できる名前付きの場所に特定の IP アドレスを追加できます。

  1. 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [保護]>[条件付きアクセス]>[ネームド ロケーション] の順に移動します。 ここでは、信頼できる IP の場所を作成または更新できます。

注意

信頼できる名前付きの場所として IP アドレスを追加する前に、その IP アドレスが実際に目的の組織に属していることを確認します。

名前付きの場所の詳細については、場所条件の使用に関する記事を参照してください。