サインイン ログのアクティビティの詳細について

Microsoft Entra では、コンプライアンス上の目的のために Azure テナントへのすべてのサインインがログに記録されます。 IT 管理者は、ログの値を正しく解釈できるように、サインイン ログの値の意味を把握しておく必要があります。

• サインイン ログの詳細を確認する
• サインイン ログをカスタマイズおよびフィルター処理する

この記事では、サインイン ログに記録される値について説明します。 これらの値を確認することで、サインイン エラーのトラブルシューティングに役立つ情報が得られます。

サインイン アクティビティの各種コンポーネント

Microsoft Entra ID のサインイン アクティビティは、以下の 3 つの主要コンポーネントで構成されます。

• 対象者: サインインを実行する本人 (ユーザー)。
• 方法: アクセスに使用されるクライアント (アプリケーション)。
• 内容: 本人によってアクセスされるターゲット (リソース)。

サインインを調査する際は、これら 3 つのコンポーネントを中心に検索範囲を絞り込むことで、詳細すべてを確認する必要がなくなります。 これら 3 つのコンポーネントには、それぞれ関連する識別子があり、その識別子からさらに詳しいことがわかる場合があります。 また、各サインインには、サインインの試行を付随アクティビティに関連付ける一意の識別子も含まれています。

担当者

以下の詳細情報がユーザーに関連付けられています。

• ユーザー
• Username
• User ID
• サインイン識別子
• ユーザー タイプ

どのように

以下の詳細情報を確認することで、ユーザーのサインイン方法を特定できます。

• 認証の要件
• クライアント アプリ
• クライアント資格情報の種類
• 継続的アクセス評価

対象

以下の詳細情報を確認することで、ユーザーがアクセスしようとしているリソースを特定できます。

• Application
• アプリケーション ID
• リソース
• リソースID
• リソース テナント ID
• リソース サービス プリンシパル ID

一意識別子

サインイン ログには、サインインの試行に関する詳細な分析情報を確認できる一意の識別子もいくつか含まれています。

• 関連付け ID: 関連付け ID は、同じサインイン セッションからのサインインをグループにします。 この値はクライアントから渡されるパラメーターに基づいているため、Microsoft Entra ID では正確さを保証できません。
• 要求 ID: 発行されたトークンに対応する識別子です。 特定のトークンを使用したサインインを探す場合は、まず、トークンから要求 ID を抽出する必要があります。
• 一意のトークン識別子: サインイン時に渡されるトークンの一意の識別子です。 この識別子は、サインインとトークン要求を関連付けるために使用されます。

サインイン アクティビティの詳細

サインインの試行ごとに、これら 3 つの主要コンポーネントに関連付けられた詳細情報が含まれています。 その詳細情報は、サインインの種類に基づいて複数のタブに整理されています。

基本情報

[基本情報] タブには、サインインの試行に関連付けられている詳細情報の大部分が含まれています。 サインインに関する問題をトラブルシューティングする場合に必要になることがあるため、一意の識別子はメモしておいてください。 [基本情報] タブの詳細情報を元に、対象者、方法、内容のパターンを追跡できます。

[基本情報] タブからサインイン診断を開始することもできます。詳細については、サインイン診断の使用方法に関するページを参照してください。

サインインのエラー コード

サインインに失敗した場合は、関連するログ項目の [基本情報] タブで、理由に関する詳細情報を取得できます。 エラー コードと関連するエラーの理由が詳細に表示されます。 詳細については、サインイン エラーのトラブルシューティング方法に関するページを参照してください。

場所とデバイス

[場所] タブと [デバイス情報] タブには、ユーザーの場所と IP アドレスに関する一般情報が表示されます。 [デバイス情報] タブには、サインインに使用されたブラウザーとオペレーティング システムの詳細が表示されます。 このタブには、デバイスがポリシーに準拠しているか、マネージド デバイスであるか、Microsoft Entra ハイブリッドに参加済みかについての詳細も表示されます。

認証の詳細

サインイン ログの詳細にある [認証の詳細] タブには、各認証の試行に関する次の情報が表示されます。

• 適用された認証ポリシーの一覧 (条件付きアクセス、セキュリティの既定値群など)。
• サインインに使用された認証方法のシーケンス。
• 認証の試行が成功したかどうかとその理由。

この情報を使用すると、ユーザーのサインインの各ステップをトラブルシューティングできます。 これらの詳細を使用して、次の情報を追跡します。

• MFA によって保護されたサインインの回数。
• 各認証方法の使用状況と成功率。
• パスワードレス認証方法の使用状況 (パスワードレス電話サインイン、FIDO2 など)。
• トークン クレームによって認証要件が満たされる頻度 (ユーザーが対話形式でパスワードの入力や SMS OTP の入力を求められない場合など)。

条件付きアクセス

テナントで条件付きアクセス ポリシーが使用されている場合は、それらのポリシーがサインイン試行に適用されたかどうかを確認できます。 サインインに適用できるすべてのポリシーが一覧表示されます。 ポリシーの最終結果が表示されるため、サインインの試行にポリシーが影響を与えたかどうかをすぐに確認できます。

• 成功： 条件付きアクセス ポリシーがサインイン試行に正常に適用されました。
• 失敗： 条件付きアクセス ポリシーがサインイン試行に適用されましたが、サインイン試行は失敗しました。
• Not Applied: サインインは、適用されるポリシーの条件と一致しませんでした。
  • その性質上、完了できない循環依存関係 (鶏と卵のシナリオ) を防ぐために、条件付きアクセスの評価から除外する必要がある特定のシナリオがあります。 これらのシナリオは "ブートストラップ シナリオ" と見なされ、デバイス登録、デバイス コンプライアンス、またはネットワーク ポリシー サーバー コネクタに関連付けられているサインインが含まれる場合があります。
  • Windows Hello for Business サインインは "Not Applied" と表示されます。これは、条件付きアクセス ポリシーで保護されるのは、Windows サインイン プロセスではなく、クラウド リソースへのサインイン試行であるためです。
• Disabled: サインインの試行時にポリシーが無効になりました。

レポート専用

条件付きアクセス ポリシーは、ユーザーのサインイン エクスペリエンスを変更し、プロセスを中断する可能性があります。 ポリシーが正しく構成されていることを確認するために、一定期間、 レポート専用 モードで条件付きアクセス ポリシーを構成することをお勧めします。 レポート専用モードでは、ポリシーを実際に有効にする前に、構成したポリシーの潜在的な影響を評価できます。

サインイン ログのこのタブには、ポリシーの対象となるサインイン試行の結果が表示されます。 詳細については、条件付きアクセスのレポート専用モードに関するページを参照してください。

サインインの詳細と考慮事項

サインイン ログを確認する際は、以下のシナリオを考慮することが重要です。

• IP アドレスと場所: IP アドレスと、そのアドレスを持つコンピューターが物理的に配置されている場所の間に明確な関連性がありません。 モバイル プロバイダーや VPN は、クライアント デバイスが使用されている場所から遠く離れていることが多い中央プールから IP アドレスを発行します。 現時点では、トレース、レジストリ データ、逆引きなどの情報に基づいて IP アドレスを物理的な場所に変換するのがいいでしょう。

• 日時: サインイン試行の日時は、サインインを試みたユーザーのタイム ゾーンではなく、Microsoft Entra 管理センターにサインインした担当者のタイム ゾーンにローカライズされます。

• 条件付きアクセス:

  • Not applied: サインイン時にユーザーおよびアプリケーションに適用されたポリシーはありません。 Windows Hello for Business の場合は "未適用" と表示されます。これは、条件付きアクセス ポリシーで保護されるのは、Windows サインイン プロセスではなく、クラウド リソースへのサインイン試行であるためです。 他のサインインが中断される可能性があるため、ポリシーは適用されません。
  • Success: サインイン時に 1 つ以上の条件付きアクセス ポリシーがユーザーとアプリケーションに対して適用または評価されました (ただし、必ずしも他の条件が適用されたとは限りません)。 条件付きアクセス ポリシーが適用されない場合でも、評価された場合は、条件付きアクセスの状態に [Success] と表示されます。
  • Failure: サインインによって少なくとも 1 つの条件付きアクセス ポリシーのユーザーとアプリケーションの条件が満たされたうえで、制御の許可が満たされていないか、またはアクセスをブロックするように設定されています。
  • 条件付きアクセスは、Windows Hello for Business などの Windows サインインには適用されません。 条件付きアクセスで保護されるのは、デバイスのサインイン プロセスではなく、クラウド リソースへのサインイン試行です。

• 継続的アクセス評価: 継続的アクセス評価 (CAE) がサインイン イベントに適用されたかどうかが表示されます。

  • サインイン要求は認証ごとに複数あり、対話型タブに表示されるものもあれば、非対話型タブに表示されるものもあります。
  • CAE は、それらの要求のうち 1 つについてのみ true と表示され、対話型タブまたは非対話型タブに表示されます。
  • 詳細については、「Microsoft Entra ID の継続的アクセス評価を使用してサインインの監視とトラブルシューティングを行う」を参照してください。

• クロステナント アクセスの種類: アクターがリソースにアクセスするために使用するクロステナント アクセスの種類を表します。 次のいずれかの値になります。

  • none - Microsoft Entra テナントの境界を越えなかったサインイン イベント。
  • b2bCollaboration- B2B Collaboration を使用してゲスト ユーザーによって実行されるクロステナント サインイン。
  • b2bDirectConnect - B2B によって実行されるクロステナント サインイン。
  • microsoftSupport- Microsoft 外部のテナントで Microsoft サポート エージェントによって実行されるクロステナント サインイン。
  • serviceProvider - テナント内のクラウド サービス プロバイダー (CSP) の顧客に代わって、CSP または同様の管理者によって実行されるクロステナント サインイン。
  • unknownFutureValue - クライアントが列挙リストの変更を処理するのに役立つ MS Graph によって使用される値。 詳細については、「Microsoft Graph の操作に関するベスト プラクティス」を参照してください。

• テナント: サインイン ログは、クロステナントのシナリオに関連する 2 つのテナント識別子を追跡します。

  • ホーム テナント -ユーザー ID を所有するテナント。 Microsoft Entra ID では、ID と名前を追跡します。
  • リソース テナント - (ターゲット) リソースを所有するテナント。
  • Microsoft Entra ID では、プライバシーに関するコミットメントにより、クロステナント シナリオで ホーム テナント名の入力は行われません。
  • テナントの外部のユーザーがリソースにアクセスしていることを確認するには、ホーム テナントがリソース テナントと一致しないすべてのエントリを選択します。

• 多要素認証: ユーザーが多要素認証 (MFA) を使用してサインインすると、実際には複数の個別の MFA イベントが発生します。 たとえば、ユーザーが間違った検証コードを入力した場合、または時間内に応答しなかった場合、サインイン試行の最新の状態を反映するために、さらに MFA イベントが送信されます。 これらのサインイン イベントは、Microsoft Entra サインイン ログに 1 つの行項目として表示されます。 ただし、Azure Monitor で同じサインイン イベントは、複数の行項目として表示されます。 これらのイベントにはすべて同じ correlationId があります。

• 認証要件: サインインを成功させるためにリソース プロバイダーによって要求された認証要件を示します。 この値は、通常、サインイン中に到達した認証ステージを反映します。

  • プライマリ認証が成功し、MFA が必要な失敗後の後続のサインイン試行では、値は multiFactorAuthentication。
  • このフィールドには、サインインプロセス中に達成された認証が反映されない場合があります。 たとえば、以前の MFA 要求から要件が既に満たされている場合、リソース プロバイダーは要求しません。
  • MFA が必要であるが、プライマリ認証が失敗したサインイン試行の場合、MFA を要求するための条件付きアクセスによって試行が評価されなかったため、値は singleFactorAuthentication されます。
  • Graph API では、$filter (eq と startsWith 演算子のみ) がサポートされています。

• サインイン イベントの種類: イベントが表すサインインのカテゴリを示します。

  • ユーザー サインイン カテゴリは interactiveUser または nonInteractiveUser であり、サインイン リソースの isInteractive プロパティの値に対応します。
  • マネージド ID カテゴリは managedIdentity です。
  • サービス プリンシパル カテゴリは servicePrincipal です。
  • Microsoft Graph API では、$filter (eq 演算子のみ) がサポートされています。
  • Azure portal にはこの値は表示されませんが、サインイン イベントは、そのサインイン イベントの種類と一致するタブに配置されます。 使用できる値:
    • interactiveUser
    • nonInteractiveUser
    • servicePrincipal
    • managedIdentity
    • unknownFutureValue

• ユーザーの種類: 例として、member、guest、external などがあります。

• 認証の詳細:

  • OATH 検証コードは、OATH ハードウェア トークンとソフトウェア トークン (Microsoft Authenticator アプリの認証など) の両方で認証方法として記録されます。
  • [認証の詳細] タブでは、ログ情報が完全に集計されるまで、最初のうちは不完全または不正確なデータが表示されることがあります。 たとえば、次のようなことが確認されています。
    • サインイン イベントが最初にログに記録された場合、 [トークンの要求によって満たされました] というメッセージが正しく表示されません。
    • [プライマリ認証] の行が最初はログに記録されません。
  • ログの詳細がわからない場合は、要求 ID と関連付け ID を収集して、さらなる分析またはトラブルシューティングに使います。
  • 認証またはセッションの有効期間に関する条件付きアクセス ポリシーが適用されている場合は、サインイン試行の上に表示されます。 どちらも表示されない場合、そのようなポリシーは現在適用されていません。 詳細については、条件付きアクセスのセッション制御に関するページを参照してください。

• TimeGenerated と CreatedDateTime:

  • Log Analytics ワークスペースにサインイン ログを送信する場合、同じサインイン イベントに対して 2 つの異なるタイムスタンプが表示されることがあります。
  • Log Analytics の TimeGenerated フィールドは、サインイン イベントが受信され、Log Analytics によって発行された時刻です。
  • CreatedDateTime フィールドは、サインイン イベントの実際の日時です。
  • 2 つのタイムスタンプの違いは、サインイン イベントが処理されて Log Analytics に送信されるまでの時間が原因です。