エンドポイントにストリーミングできる ID ログとは?
Microsoft Entra ID 診断設定を使用し、長期保持とデータ分析情報のために、アクティビティ ログを複数のエンドポイントにルーティングできます。 ルーティングするログを選択し、エンドポイントを選択します。
この記事では、Microsoft Entra 診断設定を使用し、エンドポイントにルーティングできるログについて説明します。
ログ ストリーミングの要件とオプション
イベント ハブやストレージ アカウントなどのエンドポイントを設定するには、異なるロールやライセンスが必要な場合があります。 新しい診断設定を作成または編集するには、Microsoft Entra テナントのセキュリティ管理者であるユーザーが必要です。
最適なログ ルーティング オプションを決定するには、「アクティビティ ログにアクセスする方法」を参照してください。 全体的なプロセスと各エンドポイントの要件については、次の記事を参照してください。
- ログを Log Analytics ワークスペースに送信して Azure Monitor ログと統合する
- ログをストレージ アカウントにアーカイブする
- イベント ハブにログをストリーム配信する
- パートナー ソリューションに送信する
アクティビティ ログ オプション
次のログは、ストレージ、分析、または監視のためにエンドポイントにルーティングできます。
監査ログ
AuditLogs レポートには、Microsoft Entra テナント内のアプリケーション、グループ、ユーザー、ライセンスに対する変更がキャプチャされています。 監査ログをルーティングしたら、日付/時刻、イベントをログしたサービス、変更を行ったユーザー別にフィルター処理または分析することができます。 詳細については、「監査ログ」を参照してください。
サインイン ログ
SignInLogs は、対話型のサインインのログを送信します。これは、ユーザーによるサインインによって生成されるログです。 サインイン ログは、ユーザーが Microsoft Entra サインイン画面でユーザー名とパスワードを入力したとき、または MFA チャレンジに合格したときに生成されます。 詳細については、「対話型のユーザー サインイン」を参照してください。
非対話型サインイン
NonInteractiveUserSIgnInLogs は、ユーザーに代わって (たとえば、クライアント アプリによって) 行われるサインインです。 デバイスまたはクライアントでは、ユーザーに代わって、トークンまたはコードを使用してリソースの認証またはアクセスが行われます。 詳細については、「非対話型のユーザー サインイン」を参照してください。
サービス プリンシパルのサインイン ログ
アプリまたはサービス プリンシパルのサインイン アクティビティを確認する必要がある場合、ServicePrincipalSignInLogs が適切なオプションである可能性があります。 これらのシナリオでは、認証に証明書またはシークレットが使用されます。 詳細については、「サービス プリンシパルのサインイン」を参照してください。
マネージド ID のサインイン ログ
ManagedIdentitySignInLogs では、サービス プリンシパルのサインイン ログと同様に分析情報が提供されますが、マネージド ID の場合、シークレットが Azure によって管理されます。 詳細については、マネージド ID によるサインインに関するページを参照してください。
プロビジョニング ログ
組織が、Workday や ServiceNow などの Microsoft 以外のアプリケーションを通じてユーザーのプロビジョニングを行う場合、ProvisioningLogs レポートをエクスポートすることができます。 詳細については、「プロビジョニング ログ」を参照してください。
AD FS サインイン ログ
Active Directory フェデレーション サービス (AD FS) アプリケーションのサインイン アクティビティは、この使用状況と分析情報のレポートにキャプチャされます。 ADFSSignInLogs レポートをエクスポートして、AD FS アプリケーションのサインイン アクティビティを監視できます。 詳細については、AD FS サインイン ログに関するページを参照してください。
危険なユーザー
RiskyUsers ログでは、サインイン アクティビティに基づいて危険な状態のユーザーが特定されます。 このレポートは、Microsoft Entra ID Protection の一部であり、Microsoft Entra ID からのサインイン データを使っています。 詳細については、Microsoft Entra ID Protection の概要に関する記事を参照してください。
ユーザー リスク イベント
UserRiskEvents ログは、Microsoft Entra ID Protection の一部です。 このログでは、危険なサインイン イベントに関する詳細がキャプチャされます。 詳細については、リスクの調査方法に関するページを参照してください。
ネットワーク アクセス トラフィック ログ
NetworkAccessTrafficLogs は、Microsoft Entra Internet Access と Microsoft Entra Private Access に関連付けられます。 このログは Microsoft Entra ID に表示されますが、組織が Microsoft Entra Internet Access と Microsoft Entra Private Access を使って企業リソースへのアクセスをセキュリティで保護していない限り、このオプションを選択してもワークスペースに新しいログは追加されません。 詳細については、「Global Secure Access とは」を参照してください。
危険なサービス プリンシパル
RiskyServicePrincipals ログを使うと、Microsoft Entra ID Protection でリスクとして検出されたサービス プリンシパルに関する情報が提供されます。 サービス プリンシパル リスクは、ID またはアカウントが侵害されているおそれがあることを表します。 これらのリスクは、Microsoft の内部および外部の脅威インテリジェンス ソースからのデータとパターンを使用して非同期で計算されます。 このようなソースには、セキュリティ研究者、法執行の専門家、Microsoft のセキュリティ チームが含まれる可能性があります。 詳細については、「ワークロード ID をセキュリティで保護する」を参照してください。
サービス プリンシパル リスク イベント
ServicePrincipalRiskEvents では、サービス プリンシパルの危険なサインイン イベントに関する詳細が提供されます。 これらのログには、サービス プリンシパル アカウントに関連し、疑わしいとして特定されたイベントが含まれる場合があります。 詳細については、「ワークロード ID をセキュリティで保護する」を参照してください。
エンリッチされた Microsoft 365 監査ログ
EnrichedOffice365AuditLogs は、Microsoft Entra Internet Access に対して有効にすることができるエンリッチされたログに関連付けられます。 組織が Microsoft Entra Internet を使用して Microsoft 365 トラフィックへのアクセスをセキュリティで保護しており、"かつ" エンリッチされたログを有効にしていない限り、このオプションを選択しても、ワークスペースに新しいログは追加されません。 詳細については、Global Secure Access でエンリッチされた Microsoft 365 ログを使用する方法に関するページを参照してください。
Microsoft Graph アクティビティ ログ
MicrosoftGraphActivityLogs を使うと、管理者は、Microsoft Graph API 経由でテナントのリソースにアクセスしている HTTP 要求をすべて完全に可視化できます。 これらのログを使うと、侵害されたユーザー アカウントがテナントで実行したアクティビティの特定や、クライアント アプリケーションでの問題のある動作や予期しない動作 (過剰な呼び出しボリュームなど) の調査を行うことができます。 SignInLogs を使ってこれらのログを同じ Log Analytics ワークスペースにルーティングし、サインイン ログのトークン要求の詳細を相互参照します。 詳細については、「Microsoft Graph アクティビティ ログにアクセスする (プレビュー)」を参照してください。
リモート ネットワークの正常性ログ
RemoteNetworkHealthLogs は、グローバル セキュア アクセスを介して構成されたリモート ネットワークの正常性に関する分析情報を提供します。 組織が Microsoft Entra Internet Access と Microsoft Entra Private Access を使用して、企業リソースへのアクセスをセキュリティで保護していない限り、このオプションを選んでもワークスペースに新しいログは追加されません。 詳細については、「リモート ネットワークの正常性ログ」を参照してください。
カスタム セキュリティ属性の監査ログ
CustomSecurityAttributeAuditLogs は、診断設定の [カスタム セキュリティ属性] セクションで構成されます。 これらのログには、Microsoft Entra テナントのカスタム セキュリティ属性への変更が取り込まれます。 Microsoft Entra 監査ログでこれらのログを表示するには、属性ログ閲覧者ロールが必要です。 これらのログをエンドポイントにルーティングするには、属性ログ管理者ロールとセキュリティ管理者が必要です。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示