Microsoft Entra 監査ログとは

  • [アーティクル]

Microsoft Entra アクティビティ ログには監査ログが含まれます。これは、Microsoft Entra ID でログに記録されたすべてのイベントに関する包括的なレポートです。 アプリケーション、グループ、ユーザー、ライセンスへの変更はすべて、Microsoft Entra 監査ログにキャプチャされます。

テナントの正常性を監視するには、他にも次の 2 つのアクティビティ ログを使用できます。

  • サインイン - サインインとユーザーのリソース使用状況に関する情報。
  • プロビジョニング - ServiceNow でのグループの作成や、Workday からインポートされたユーザーなど、プロビジョニング サービスによって実行されるアクティビティ。

この記事では、監査ログの概要について説明します。

監査ログでできること

Microsoft Entra ID の監査ログを使用して、コンプライアンスに必要となることが多い、システム アクティビティ レコードにアクセスできます。 ユーザー、グループ、アプリケーションに関連する質問の回答を確認できます。

Users:

  • ユーザーに最近適用された変更の種類は何ですか?
  • 何人のユーザーが変更されたか。
  • 何個のパスワードが変更されたか。

[グループ]:

  • 最近追加されたグループは何ですか?
  • グループの所有者は変更されたか。
  • グループまたはユーザーにどのライセンスが割り当てられているか。

アプリケーション:

  • 追加、更新または削除されたアプリケーションは何ですか?
  • アプリケーションのサービス プリンシパルは変更されたか。
  • アプリケーションの名前は変更されたか。

Note

監査ログのエントリはシステムによって生成されるため、変更または削除することはできません。

ログに表示される情報

監査ログには、以下を示す既定のリスト ビューがあります。

  • 発生した日時
  • 発生をログに記録したサービス
  • アクティビティの名前とカテゴリ ("")
  • アクティビティの状態 (成功または失敗)
  • 移行先
  • アクティビティのイニシエーターまたはアクター (“対象者”)

監査ログのフィルター処理

ツール バーの [列] ボタンをクリックすることで、リスト ビューをカスタマイズおよびフィルター処理できます。 列を編集すると、ビューでフィールドの追加または削除を行うことができます。

日付範囲、サービス、カテゴリ、アクティビティなど、一覧に表示されるオプションを使用して監査データをフィルター処理します。 監査ログ フィルターの詳細については、「ID ログをカスタマイズおよびフィルター処理する方法」を参照してください。

Screenshot of the service filter.

監査ログのアーカイブ化と分析

データ保持用にログを保存するか、分析ツールにログをルーティングする必要がある場合は、利用できるいくつかのオプションがあります。 各オプションの詳細については、「アクティビティ ログへのアクセス方法」の記事を参照してください。

[ダウンロード] ボタンを選択することで、Microsoft Entra 管理センターから最大 250,000 レコードの監査ログをダウンロードできます。 レコードの正確な数は、[ダウンロード] ボタンを選択したときにビューに含まれているフィールドの数によって異なります。 CSV 形式または JSON 形式でログをダウンロードできます。 ダウンロードできるレコードの数は、Microsoft Entra レポートの保持ポリシーによって制限されます。

Screenshot of the download data option.

Microsoft 365 のアクティビティ ログ

Microsoft 365 のアクティビティ ログは、Microsoft 365 管理センターから確認できます。 Microsoft 365 のアクティビティ ログと Microsoft Entra のアクティビティ ログでは多くのディレクトリ リソースが共有されていますが、Microsoft 365 のアクティビティ ログがすべて表示されるのは、Microsoft 365 管理センターのみです。

また、Office 365 Management API を使用すると、Microsoft 365 のアクティビティ ログにプログラムでアクセスすることもできます。

ほとんどのスタンドアロンまたはバンドルされた Microsoft 365 サブスクリプションには、Microsoft 365 データセンターの境界内の一部のサブシステムへのバックエンド依存関係があります。 この依存関係には、ディレクトリの同期を維持するため、および基本的に Exchange Online のサブスクリプション オプトインで手間のかからないオンボーディングを有効にできるようにするために情報の書き戻しが必要です。 これらの書き戻しの場合、監査ログ エントリには、"Microsoft Substrate Management" によって実行されたアクションが表示されます。 これらの監査ログ エントリでは、Exchange Online によって Microsoft Entra ID に対して実行された作成、更新、削除の各操作を参照します。 エントリは情報を提供するものであり、アクションは必要ありません。