サインイン ログは、ユーザー アクセスの問題をトラブルシューティングし、危険なサインイン アクティビティを調査するためによく使用されるツールです。 監査ログでは、Microsoft Entra ID でログに記録されたすべてのイベントを収集し、環境の変更を調査するために使用できます。 Microsoft Entra 管理センターでサインイン ログのビューをカスタマイズするために選択できる列は 30 以上あります。 ニーズに合わせて、監査ログとプロビジョニング ログをカスタマイズおよびフィルター処理することもできます。
Microsoft Entra 監査ログの情報を使用すると、コンプライアンスを目的としてシステム アクティビティのレコードすべてにアクセスできます。 すべてのカテゴリとアクティビティを並べ替えてフィルター処理できる、Microsoft Entra ID の [監視と正常性] セクションから監査ログにアクセスできます。 調査中のサービスに対する管理センターの領域の監査ログにアクセスすることもできます。
たとえば、Microsoft Entra グループに対する変更を調べている場合は、[Microsoft Entra ID]>[グループ] から監査ログにアクセスできます。 サービスから監査ログにアクセスすると、サービスに応じてフィルターが自動的に調整されます。
![[グループ] メニューの監査ログ オプションのスクリーンショット。](media/howto-customize-filter-logs/audit-logs-groups.png)
監査ログのレイアウトをカスタマイズする
監査ログの列をカスタマイズして、必要な情報のみを表示することができます。
[サービス]、[カテゴリ]、および [アクティビティ] 列は相互に関連しているため、これらの列は常に表示しておく必要があります。
![監査ログの [列] ボタンのスクリーンショット。](media/howto-customize-filter-logs/audit-log-columns.png)
監査ログをフィルター処理する
[サービス] でログをフィルター処理すると、[カテゴリ] と [アクティビティ] の詳細が自動的に変更されます。 場合によっては、[カテゴリ] または [アクティビティ] が 1 つだけ存在する場合があります。 これらの詳細の潜在的な組み合わせをすべて示す詳細なテーブルについては、「監査アクティビティ」を参照してください。
![[サービス] で [条件付きアクセス] を指定した監査ログ フィルターのスクリーンショット。](media/howto-customize-filter-logs/audit-log-activities-filter.png)
サービス: 使用可能なすべてのサービスが既定で設定されますが、ドロップダウン リストからオプションを選択して一覧をフィルター処理し、1 つまたは複数にすることができます。
カテゴリ: すべてのカテゴリが既定で設定されますが、フィルター処理して、ポリシーの変更や対象となる Microsoft Entra ロールのアクティブ化といったアクティビティのカテゴリを表示できます。
アクティビティ: ご自身で行ったカテゴリとアクティビティ リソースの種類の選択に基づきます。 参照する特定のアクティビティを選択することも、すべてを選択することもできます。
Microsoft Graph API の https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta を使用して、すべての監査アクティビティの一覧を取得できます。
状態: アクティビティが成功、失敗のどちらであったかに基づいて結果を確認できます。
ターゲット: アクティビティのターゲットまたは受信者を検索できます。 名前またはユーザー プリンシパル名 (UPN) の最初の数文字で検索します。 ターゲット名と UPN では大文字小文字を区別します。
開始ユーザー: 名前または UPN の最初の数文字を使用して、アクティビティを開始したユーザーで検索できます。 名前と UPN では大文字小文字を区別します。
日付の範囲: 返されるデータの期間を定義できます。 過去 7 日間、24 時間、またはカスタム範囲を検索できます。 カスタムの期間を選択すると、開始時刻と終了時刻を構成できます。
[サインイン ログ] ページで、4 種類のサインイン ログを切り替えられます。
サインイン ログのレイアウトをカスタマイズする
30 以上の列オプションを使用して、対話型ユーザーのサインイン ログの列をカスタマイズできます。 サインイン ログをより効果的に表示するには、少し時間を取って、ニーズに合うようにビューをカスタマイズします。
- ログの上部にあるメニューで、[列] を選択します。
- 表示する列を選択し、ウィンドウの下部にある [保存] を選択します。
![[列] オプションが強調表示されたサインイン ログ ページのスクリーンショット。](media/howto-customize-filter-logs/sign-in-logs-columns.png)
サインイン ログをフィルター処理する
サインイン ログをフィルター処理すると、特定のシナリオに一致するログをすばやく検出するのに役立ちます。 たとえば、一覧をフィルター処理して、特定の地理的な場所、特定のオペレーティング システム、または特定の種類の資格情報から発生したサインインのみを表示できます。
一部のフィルター オプションでは、さらにオプションを選択するように求められます。 プロンプトに従って、フィルター処理に必要な選択を行います。 複数のフィルターを追加できます。
[フィルターの追加] ボタンを選択し、フィルター オプションを選択して [適用] を選択します。
![[フィルターの追加] オプションが強調表示されたサインイン ログ ページのスクリーンショット。](media/howto-customize-filter-logs/sign-in-logs-add-filters.png)
特定の詳細 (要求 ID など) を入力するか、別のフィルター オプションを選択します。
いくつかの詳細をフィルター処理できます。 次のテーブルでは、一般的に使用されるフィルターについて説明します。
すべてのフィルター オプションが説明されているわけではありません。
| Filter |
説明 |
| 要求 ID |
サインイン要求の一意識別子 |
| 関連付け ID |
シングル サインイン試行の一部であるすべてのサインイン要求の一意識別子 |
| ユーザー |
ユーザーのユーザー プリンシパル名 (UPN) |
| Application |
サインイン要求の対象となるアプリケーション |
| ステータス |
オプションは、[成功]、[失敗]、[中断] |
| リソース |
サインインに使用されるサービスの名前 |
| IP アドレス |
サインインに使用されるクライアントの IP アドレス |
| 条件付きアクセス |
オプションは、[適用されていません]、[成功]、および [失敗] |
| エージェントである |
エージェントによって実行されるサインインには [はい ] を、ユーザーが実行したサインインには [いいえ ] を選択します。 |
| エージェントの種類 |
オプションは、 エージェント ID ユーザー、 エージェント ID、 エージェント ID ブループリント、 Agentic App Builder、 および Not Agentic です。 |
サインイン ログ テーブルがニーズに合わせて書式設定されたので、データをより効果的に分析できるようになりました。 ログを他のツールにエクスポートすると、サインイン データを詳細に分析したり、保持したりすることができます。
列をカスタマイズし、フィルターを調整すると、同様の特性を持つログを確認するのに役立ちます。 サインインの詳細を確認するには、テーブル内の行を選択して [アクティビティの詳細] パネルを開きます。 パネルには、確認するタブがいくつかあります。 詳細については、「サインイン ログ アクティビティの詳細」を参照してください。
クライアント アプリ フィルター
サインインの実行元を確認する際は、[クライアント アプリ] フィルターの使用が必要になる場合があります。 [クライアント アプリ] には、[先進認証クライアント] と [レガシ認証クライアント] の 2 つのサブカテゴリがあります。 [先進認証クライアント] にはさらに、[ブラウザー] と [モバイル アプリとデスクトップ クライアント] の 2 つのサブカテゴリがあります。 [レガシ認証クライアント] にはいくつかのサブカテゴリがあり、「レガシ認証クライアントの詳細」テーブルで定義されています。
![[クライアント アプリ] フィルターが選択され、カテゴリが強調表示されているスクリーンショット。](media/howto-customize-filter-logs/client-app-filter.png)
[ブラウザー] のサインインには、Web ブラウザーからのサインイン試行がすべて含まれます。 ブラウザーからサインインの詳細を表示すると、[基本情報] タブに [クライアント アプリ: ブラウザー] が表示されます。
[デバイス情報] タブの [ブラウザー] に Web ブラウザーの詳細が表示されます。 ブラウザーの種類とバージョンが示されますが、場合によってはブラウザーの名前とバージョンは表示されません。
リッチ クライアント 4.0.0.0 のように表示される場合があります。
レガシ認証クライアントの詳細
次のテーブルに各レガシ認証クライアントオプションの詳細を示します。
| 名前 |
説明 |
| 認証済み SMTP |
電子メール メッセージを送信するために POP および IMAP のクライアントによって使用されます。 |
| 自動検出 |
Exchange Online でメールボックスを検索して接続するために Outlook および EAS のクライアントで使用されます。 |
| Exchange ActiveSync |
このフィルターにより EAS プロトコルが試行されたすべてのサインイン試行が表示されます。 |
| Exchange ActiveSync |
Exchange ActiveSync を使用して Exchange Online に接続するクライアント アプリでのユーザーのすべてのサインイン試行を表示します |
| Exchange Online PowerShell |
リモート PowerShell を使用して Exchange Online に接続するために使用されます。 Exchange Online PowerShell の基本認証をブロックする場合は、Exchange Online PowerShell モジュールを使用して接続する必要があります。 手順については、「多要素認証をConnect PowerShell Exchange Onlineする方法」を参照してください。 |
| Exchange Web サービス |
Outlook、Outlook for Mac、および Microsoft 以外のアプリによって使用されるプログラミング インターフェイスです。 |
| IMAP4 |
IMAP を使用して電子メールを取得する従来のメール クライアント。 |
| MAPI over HTTP |
Outlook 2010 以降で使用されます。 |
| オフライン アドレス帳 |
Outlook によってダウンロードおよび使用されるアドレス一覧コレクションのコピーです。 |
| Outlook Anywhere (RPC over HTTP) |
Outlook 2016 以前で使用されます。 |
| Outlook サービス |
Windows 10 用のメール/カレンダー アプリで使用されます。 |
| POP3 |
POP3 を使用して電子メールを取得する従来のメール クライアント。 |
| レポート Web サービス |
Exchange Online でレポート データを取得するために使用されます。 |
| その他のクライアント |
クライアント アプリが含まれていないまたは不明である、ユーザーによるサインインの試行をすべて表示します。 |
プロビジョニング ログをより効果的に表示するには、少し時間を取って、ニーズに合うようにビューをカスタマイズします。 含める列を指定し、データをフィルター処理して、表示内容を絞り込むことができます。
レイアウトのカスタマイズ
プロビジョニング ログには既定のビューがありますが、列をカスタマイズできます。
- ログの上部にあるメニューで、[列] を選択します。
- 表示する列を選択し、ウィンドウの下部にある [保存] を選択します。
結果をフィルター処理する
プロビジョニング データをフィルター処理する場合、一部のフィルター値はテナントに基づいて動的に入力されます。 たとえば、テナントに「作成」イベントがない場合、[作成] フィルター オプションは使用できません。
ID フィルターを使用すると、関心のある名前または ID を指定できます。 この ID は、ユーザー、グループ、ロール、またはその他のオブジェクトの場合があります。
オブジェクトの名前または ID で検索できます。 ID はシナリオによって異なります。
-
Microsoft Entra ID から SalesForce にオブジェクトをプロビジョニングする場合、[ソース ID] は Microsoft Entra ID 内のユーザーのオブジェクト ID です。
ターゲット ID は Salesforce のユーザーの ID です。
-
Workday から Microsoft Entra ID にプロビジョニングする場合、[ソース ID] は Workday ワーカーの従業員 ID です。
[ターゲット ID] は、Microsoft Entra ID 内のユーザーの ID です。
-
テナント間同期のためにユーザーをプロビジョニングする場合、ソース ID はソース テナント内のユーザーの ID です。
ターゲット ID は、ターゲット テナント内のユーザーの ID です。
Note
ユーザーの名前が必ずしも ID 列に存在するとは限りません。 常に 1 つの ID が存在します。
[日付] フィルターでは、返されるデータの期間を定義できます。 次のいずれかの値になります。
- 1 か月
- 7 日間
- 30 日間
- 24 時間
- カスタム時間間隔 (開始日と終了日を構成する)
[状態] フィルターでは、次のいずれかを選択できます。
[アクション] フィルターでは、これらのアクションをフィルター処理できます。
- 作成
- 更新プログラム
- 削除
- 無効にする
- その他
既定のビューのフィルターに加えて、次のフィルターを設定できます。
ジョブ ID: プロビジョニングを有効にした各アプリケーションに一意のジョブ ID が関連付けられます。
サイクル ID: サイクル ID は、プロビジョニング サイクルを一意に識別します。 この ID を製品サポートと共有して、このイベントが発生したサイクルを調べることができます。
変更 ID: 変更 ID は、プロビジョニング イベントの一意の識別子です。 この ID を製品サポートと共有して、プロビジョニング イベントを調べることができます。
ソース システム: ID のプロビジョニング元となる場所を指定できます。 たとえば、Microsoft Entra ID から ServiceNow にオブジェクトをプロビジョニングする場合、ソース システムは Microsoft Entra ID です。
ターゲット システム: ID のプロビジョニング先となる場所を指定できます。 たとえば、Microsoft Entra ID から ServiceNow にオブジェクトをプロビジョニングする場合、ターゲット システムは ServiceNow です。
アプリケーション: 特定の文字列が含まれている表示名またはオブジェクト ID を持つアプリケーションのレコードのみを表示できます。
テナント間同期の場合は、アプリケーション ID ではなく、構成のオブジェクト ID を使用します。
![[サービス] で [条件付きアクセス] を指定した監査ログ フィルターのスクリーンショット。](media/howto-customize-filter-logs/audit-log-activities-filter-expanded.png#lightbox)
