次の方法で共有

テナント間アクセス アクティビティ ブック

IT 管理者は、自分のユーザーが他の組織とどのように共同作業しているかに関する分析情報を必要とします。 テナント間アクセス アクティビティ ブックを使用すると、自分の組織内のリソースにアクセスしている外部ユーザーと、 どの組織のリソースに自分のユーザーがアクセスしているかを把握できます。 このブックでは、組織のすべての受信と送信のコラボレーションが 1 つのビューに結合されます。

この記事では、テナント間アクセス アクティビティ ブックの概要について説明します。

前提条件

Microsoft Entra ID 用の Azure Workbooks を使用するには、次のものが必要です。

  • Premium P1 ライセンスがある Microsoft Entra テナント
  • Log Analytics ワークスペースそのワークスペースへのアクセス
  • Azure Monitor および Microsoft Entra ID の適切なロール

Log Analytics ワークスペース

Microsoft Entra ブックを使用するLog Analytics ワークスペース を作成する必要があります。 Log Analytics ワークスペースへのアクセスはいくつかの要因によって決まります。 ワークスペースデータを送信するリソースに対する適切なロールが必要です。

詳細については、「Log Analytics ワークスペースへのアクセスを管理する」を参照してください。

Azure Monitor ロール

Azure Monitor には、監視データを表示し、監視設定を編集するための 2 つの組み込みロールが用意されています。 Azure ロールベースのアクセス制御 (RBAC) には、同様のアクセスを付与する 2 つの Log Analytics 組み込みロールも用意されています。

  • 表示:

    • 監視リーダー
    • Log Analytics 閲覧者

  • 設定の表示および変更:

    • モニタリング貢献者
    • Log Analytics 共同作成者

Microsoft Entra ロール

読み取り専用アクセスでは、ブック内の Microsoft Entra ID ログ データを表示したり、Log Analytics からデータのクエリを実行したり、Microsoft Entra 管理センターでログを読み取ったりすることができます。 更新アクセスにより、Microsoft Entra データを Log Analytics ワークスペースに送信するための診断設定を作成および編集する機能が追加されます。

  • 読み取り:

    • レポート閲覧者
    • セキュリティ閲覧者
    • グローバル閲覧者

  • 更新:

    • セキュリティ管理者

Microsoft Entra の組み込みロールの詳細については、「Microsoft Entra 組み込みロール」を参照してください。

Log Analytics RBAC ロールの詳細については、「Azure 組み込みロール」を参照してください。

説明

このブックが [使用状況] カテゴリにあることを示す画像

テナント間アクセスを制御するポリシーに変更を加えるテナント管理者は、ポリシーを変更する前に、このブックを使用して既存のアクセス アクティビティ パターンを視覚化および確認できます。 たとえば、自分のユーザーが外部の組織内でアクセスしているアプリケーションを特定し、重要なビジネス プロセスを誤ってブロックしないようにすることができます。 外部ユーザーがご自分のテナント内のリソースにアクセスする (受信アクセス) 方法と、そのテナント内のユーザーが外部テナントのリソースにアクセスする (送信アクセス) 方法を理解すると、適切なテナント間ポリシーを確実に設定できます。

詳細については、「Microsoft Entra 外部 ID のドキュメント」を参照してください。

ブックにアクセスする方法

  1. 適切なロールの組み合わせを使って Microsoft Entra 管理センターにサインインします。

  2. [Entra ID]>[監視とヘルス]>[ブック] の順に移動します。

  3. [使用状況] セクションから [テナント間アクセス アクティビティ] ブックを選択します。

ブックのセクション

このブックには、次の 4 つのセクションがあります。

  • テナント ID 別のすべての受信および送信アクティビティ

  • 受信と送信のコラボレーションを目的としたサインインの状態の概要 (テナント ID 別)

  • 受信と送信のコラボレーションを目的としてアクセスされたアプリケーション (テナント ID 別)

  • 受信と送信のコラボレーション用の個々のユーザー (テナント ID 別)

自分のテナントに対してテナント間アクセス アクティビティを行った外部テナントの総数が、ブックの上部に表示されます。

ブックの最初のセクションのスクリーンショット。

外部テナントのリストでは、自分のテナントに対して受信または送信アクティビティを行ったすべてのテナントが表示されます。 表で外部テナントを選択すると、表の残りのセクションには、そのテナントの送信および受信アクティビティに関する情報が表示されます。

外部テナントの一覧のスクリーンショット。

一覧から送信アクティビティのある外部テナントを選択すると、関連付けられている詳細が [送信アクティビティ] に表示されます。 受信アクティビティのある外部テナントを選択した場合も同様です。 [受信アクティビティ] タブを選択すると、受信アクティビティのある外部テナントの詳細が表示されます。

送信と受信のオプションが強調表示されている、送信および受信アクティビティのスクリーンショット。

送信アクティビティのある外部テナントを表示すると、後続の 2 つのテーブルにアプリケーションの詳細が表示され、ユーザー アクティビティが表示されます。 受信アクティビティのある外部テナントを表示すると、同じテーブルに受信アプリケーションとユーザー アクティビティが表示されます。 これらのテーブルは動的であり、以前に選択されたものに基づいているため、正しいテナントとアクティビティが表示されていることを確認するようにしてください。

フィルター

このブックでは、複数のフィルターがサポートされています。

  • 時間の範囲 (最大 90 日間)

  • 外部テナント ID

  • ユーザー プリンシパル名

  • アプリケーション

  • サインインの状態 (成功または失敗)

ブック フィルターを示すスクリーンショット

ベスト プラクティス

このブックを使用して次のことを行います。

  • 正当なコラボレーションを損なうことなく、テナント間アクセス設定を効果的に管理するために必要な情報を取得する

  • 外部の Microsoft Entra 組織からのすべての受信サインインを特定する

  • 外部の Microsoft Entra 組織への自分のユーザーによる送信サインインをすべて特定する

関連するコンテンツ