Microsoft Entra ID でアクティビティ ログにアクセスする方法

Microsoft Entra ログに収集されたデータを使用すると、Microsoft Entra テナントの多くの側面を評価することができます。 幅広いシナリオに対応できるよう、Microsoft Entra ID では、アクティビティ ログ データにアクセスするためのオプションがいくつか提供されています。 IT 管理者は、シナリオに適したアクセス機構を選択できるように、これらのオプションのユース ケースを理解する必要があります。

次の方法を使用で、Microsoft Entra アクティビティ ログとレポートにアクセスできます。

• アクティビティ ログをイベント ハブにストリームして他のツールと統合する
• Microsoft Graph API を通じてアクティビティ ログにアクセスする
• アクティビティ ログと Azure Monitor ログの統合
• Microsoft Sentinel でアクティビティをリアルタイムで監視する
• Microsoft Entra 管理センターでアクティビティ ログとレポートを表示する
• アクティビティログをエクスポートして格納とクエリに使用する

これらの各方法には、特定のシナリオに適合する可能性のある機能が用意されています。 この記事では、アクティビティ ログのデータを使用する関連レポートについての推奨事項や詳細など、これらのシナリオについて説明します。 この記事のオプションを細かく確認し、それらのシナリオについて学び、適切な方法を選択できるようにしましょう。

前提条件

• 適切な Microsoft Entra ライセンスが関連付けられている、動作中の Microsoft Entra テナント。 ライセンス要件の完全なリストについては、「Microsoft Entra の監視と正常性のライセンス」を参照してください。
• レポート閲覧者は、アクティビティ ログにアクセスするために必要な最小特権ロールです。
• セキュリティ管理者は、診断設定を構成するために必要な最小特権ロールです。
• 監査ログは、ライセンスを取得した機能で利用できます。
• Microsoft Graph を使用してログを表示するために必要なアクセス許可に同意するには、特権ロール管理者が必要です。
• ロールの完全な一覧については、「タスク別の最小特権ロール」を参照してください。

必要なライセンスは、監視および正常性機能によって異なります。

機能	Microsoft Entra ID Free（無料）	Microsoft Entra ID P1 または P2 / Microsoft Entra Suite
監査ログ	あり	あり
サインイン ログ	あり	あり
プロビジョニング ログ	いいえ	あり
カスタム セキュリティ属性	あり	あり
正常性	いいえ	あり
Microsoft Graph アクティビティ ログ	いいえ	あり
使用状況と分析情報	いいえ	あり

Microsoft Entra 管理センターを使用してログを表示する

範囲が限定されたこれらの 1 回限りの調査では、多くの場合、必要なデータを見つける最も簡単な方法は Microsoft Entra 管理センターです。 これらのレポートそれぞれのユーザー インターフェイスには、シナリオを解決するために必要なエントリを見つけ出すフィルター オプションが備わっています。

Microsoft Entra アクティビティ ログにキャプチャされたデータは、多くのレポートやサービスで使用されます。 1 回限りのシナリオのサインイン、監査、プロビジョニング ログを確認したり、レポートを使用してパターンや傾向を確認したりできます。 アクティビティ ログのデータは Identity Protection レポートの作成に役立ちます。これにより、Microsoft Entra ID が検出してレポートできる情報セキュリティ関連のリスク検出ができます。 Microsoft Entra アクティビティ ログには、テナントのアプリケーションの使用状況の詳細を提供する使用状況レポートと分析情報レポートも入力されます。

推奨される用途

Azure portal で利用できるレポートには、テナント内のアクティビティと使用状況を監視するための幅広い機能が備わっています。 用途とシナリオに関する次の一覧はすべてを取り上げたものではないため、ニーズに合わせてレポートを確認してみてください。

• ユーザーのサインイン アクティビティを調査したり、アプリケーションの使用状況を追跡したりします。
• 監査ログを使用して、グループ名の変更、デバイスの登録、パスワードのリセットに関する詳細を確認します。
• リスクのあるユーザー、リスクのあるワークロード ID、危険なサインインを監視するには、Identity Protection レポートを使用します。
• 使用状況と分析情報から Microsoft Entra アプリケーション アクティビティ (プレビュー) レポートのサインイン成功率を確認し、ユーザーがテナントで使用中のアプリケーションにアクセスできることを確認します。
• 使用状況と分析情報の認証方法レポートを使用して、ユーザーが選ぶ異なる認証方法を比較します。

簡単な手順

Microsoft Entra 管理センターのレポートにアクセスするには、次の基本的な手順を使用します。

Microsoft Entra アクティビティ ログ

1. Microsoft Entra 管理センターにレポート閲覧者以上としてサインインします。
2. Entra ID>監視とヘルス>監査ログ/サインインログ/プロビジョニングログに移動します。
3. 必要に応じてフィルターを調整します。
   • アクティビティ ログをフィルター処理する方法を確認する
   • Microsoft Entra 監査ログのカテゴリとアクティビティの細部を確認する
   • Microsoft Entra サインイン ログの基本情報の詳細

監査ログには、作業している Microsoft Entra 管理センターの領域から直接アクセスできます。 たとえば、Microsoft Entra ID の [グループ] または [ライセンス] セクションが表示されている場合は、その領域から、そうした特定のアクティビティの監査ログに直接アクセスできます。 この方法で監査ログにアクセスすると、フィルター カテゴリが自動的に設定されます。 たとえば、 グループを使用している場合、監査ログ フィルター カテゴリは GroupManagement に設定されます。

Microsoft Entra ID Protection レポート

1. ID Protection>Dashboard に移動します。
2. 利用可能なレポートの細部を確認します。
   • ID 保護の詳細を確認する
   • リスクを調査する方法

使用状況と分析情報のレポート

1. Entra IDモニタリング & ヘルス使用状況とインサイト に移動します。
2. 利用可能なレポートの細部を確認します。
   • 使用状況と分析情報のレポートに関する詳細

ログをイベント ハブにストリームして SIEM ツールと統合する

アクティビティ ログを Splunk や SumoLogic などのセキュリティ情報イベント管理 (SIEM) ツールと統合するには、アクティビティ ログをイベント ハブにストリームする必要があります。 ログをイベント ハブにストリームする前に、Azure サブスクリプションに Event Hubs の名前空間とイベント ハブを設定する必要があります。

推奨される用途

イベント ハブと統合できる SIEM ツールには、分析機能と監視機能が備えられています。 既にこれらのツールを使用して他のソースからデータを取り込んでいる場合は、ID データをストリームして、より包括的な分析と監視を行うことができます。 次の種類のシナリオでは、アクティビティ ログをイベント ハブにストリームすることをお勧めします。

• 毎秒数百万のイベントを受け取って処理するには、ビッグ データのストリーミング プラットフォームとイベント インジェスト サービスが必要です。
• リアルタイム分析プロバイダーまたはバッチ処理/ストレージ アダプターを使用してデータを変換および保存しようとしています。

簡単な手順

1. セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。
2. Event Hubs 名前空間とイベント ハブを作成する
3. Entra ID>監視と健康>診断設定に移動します。
4. ストリームするログを選択し、[イベント ハブへのストリーム] オプションを選択して、フィールドに入力します。
   • Event Hubs の名前空間とイベント ハブを設定する
   • イベント ハブへのアクティビティ ログのストリームに関する詳細

独立したセキュリティ ベンダーは、Azure Event Hubs からツールにデータを取り込む方法についての指示を提供する必要があります。

Microsoft Graph API を使用したログへのアクセス

Microsoft Graph API は、Microsoft Entra ID P1 または P2 テナントのデータにアクセスするために使用できる、統合されたプログラミング モデルを提供します。 管理者や開発者が、スクリプトやアプリをサポートするために追加のインフラストラクチャを設定する必要はありません。

推奨される用途

Microsoft Graph エクスプローラーを使用すると、次の種類のシナリオに役立つクエリを実行できます。

• グループに対して誰がいつ変更を加えたかなど、テナントのアクティビティを表示します。
• Microsoft Entra サインイン イベントに、安全のマーク、または侵害されたことを確認済みのマークを付けます。
• 過去 30 日間に行われたアプリケーションのサインインの一覧を取得します。

注

Microsoft Graph を使用すると、独自の調整制限を課す複数のサービスからデータにアクセスできます。 アクティビティ ログの調整の詳細については、「Microsoft Graph サービス固有の調整制限」を参照してください。

簡単な手順

1. 構成の前提条件。
2. グラフ エクスプローラーにサインインします
3. HTTP メソッドと API バージョンを設定します。
4. クエリを追加してから、[クエリの実行] ボタンを選択します。
   • ディレクトリ監査の Microsoft Graph プロパティについて理解する
   • MS Graph クイックスタートガイドを完了する

ログを Azure Monitor ログと統合する

Azure Monitor ログの統合により、接続されたデータに対して豊富な視覚化、監視、アラートを有効にすることができます。 Log Analytics は、Microsoft Entra アクティビティ ログの強化されたクエリ機能と分析機能を備えています。 Microsoft Entra アクティビティ ログを Azure Monitor ログと統合するには、Log Analytics ワークスペースが必要です。 そこから、Log Analytics を通じてクエリを実行できます。

推奨される用途

Microsoft Entra ログを Azure Monitor ログと統合すると、ログのクエリを実行するための一元的な場所が提供されます。 次の種類のシナリオでは、ログを Azure Monitor と統合することをお勧めします。

• Microsoft Entra サインイン ログを他の Azure サービスによって公開されたログと比較する。
• サインイン ログを Azure Application Insights と関連付ける。
• 特定の検索パラメータを使用してログのクエリを実行する。

簡単な手順

1. セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。
2. Log Analytics ワークスペースを作成します。
3. Entra ID>監視と健康>診断設定に移動します。
4. ストリームするログを選択し、[Log Analytics ワークスペースに送信] オプションを選択して、フィールドに入力します。
5. Entra ID>Monitoring & health>Log Analytics に移動し、データのクエリを開始します。
   • Microsoft Entra ログを Azure Monitor ログと統合する
   • Log Analytics でクエリを実行する方法を確認する

Microsoft Sentinel を使用してイベントを監視する

サインイン ログと監査ログを Microsoft Sentinel に送信すると、セキュリティ オペレーション センターでほぼリアルタイムのセキュリティ検出と脅威ハンティングが可能になります。 脅威ハンティングという用語は、環境のセキュリティ態勢を改善するための事前アプローチを指します。 従来の保護とは対照的に、脅威ハンティングは、システムに害を及ぼす可能性のある潜在的な脅威を事前に特定しようとします。 アクティビティ ログ データは、脅威ハンティングソリューションの一部である可能性があります。

推奨される用途

組織でセキュリティ分析と脅威インテリジェンスが必要な場合は、Microsoft Sentinel のリアルタイム セキュリティ検出機能を使用することをお勧めします。 次のことを行う必要がある場合は Microsoft Sentinel を使用します。

• 企業全体のセキュリティ データを収集する。
• 膨大な脅威インテリジェンスで脅威を検出する。
• AI のガイドに従って重大なインシデントを調査する。
• 迅速に対応し、保護を自動化する。

簡単な手順

1. 前提条件、ロール、およびアクセス許可について確認します。
2. 潜在的なコストを見積もります。
3. Microsoft Sentinel にオンボードします。
4. Microsoft Entra データを収集します。
5. 脅威のハンティングを開始します。

格納とクエリのためにログをエクスポートする

長期の保存に適したソリューションは、予算と、データの使用目的によります。 次の 3 つのオプションがあります。

• ログを Azure Storage にアーカイブする
• ログをダウンロードして手動で格納する
• ログを Azure Monitor ログと統合する

Azure Storage は、クエリを頻繁に実行する予定がない場合に最適なソリューションです。 詳細については、「ディレクトリのログをストレージ アカウントにアーカイブする」をご覧ください。

保存されたログに対してレポートや分析を実行するために、ログを頻繁にクエリすることも計画している場合は、Azure Monitor ログとデータを統合する必要があります。

予算が厳しく、アクティビティ ログの長期的なバックアップを作成するために安価な方法が必要な場合は、ログを手動でダウンロードできます。 ポータルのアクティビティ ログのユーザー インターフェイスには、JSON または CSV としてデータをダウンロードするオプションが表示されます。 手動ダウンロードのトレードオフの 1 つは、より多くの手動操作が必要であるということです。 よりプロフェッショナルなソリューションをお探しの場合は、Azure Storage または Azure Monitor を使用してください。

推奨される用途

ガバナンスとコンプライアンスのシナリオで長期保存が必要な場合、アクティビティ ログをアーカイブするためのストレージ アカウントを設定することをお勧めします。

長期保存が必要であり、かつデータに対してクエリを実行する必要がある場合は、アクティビティ ログと Azure Monitor ログの統合に関するセクションを確認してください。

予算に制約がある場合は、アクティビティ ログを手動でダウンロードして格納することをお勧めします。

簡単な手順

アクティビティ ログをアーカイブまたはダウンロードするには、次の基本的な手順を実行します。

アクティビティ ログをストレージ アカウントにアーカイブする

1. セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。
2. ストレージ アカウントを作成します。
3. Entra ID>監視と健康>診断設定に移動します。
4. ストリームするログを選択し、[ストレージ アカウントにアーカイブ] オプションを選択して、フィールドに入力します。
   • データ保持ポリシーを確認する

アクティビティ ログを手動でダウンロードする

1. Microsoft Entra 管理センターにレポート閲覧者以上としてサインインします。
2. [監視] メニューから [Entra ID]>[監視と正常性]>[監査ログ]/[サインイン ログ]/[プロビジョニング ログ] を参照します。
3. [ダウンロード] を選択します。
   • ログをダウンロードする方法を確認する。

次のステップ

• イベント ハブにログをストリームする
• ログをストレージ アカウントにアーカイブする
• ログを Azure Monitor ログと統合する