Reading Time: 1 minutes

◆今回の記事のポイント◆
★Azure AD管理センターの[サインイン]と[監査ログ]メニューについて

 

◆MicrosoftのMVP解説シリーズ バックナンバー◆

 

システムを利用していく上では、そのシステムの使用状況やログの監視を定期的におこなう必要があります。これは、クラウドサービスであるMicrosoft 365(旧称:Office 365)についても同様です。具体的には、多くの組織では次のようなことを定期的に監視したいと考えるのではないでしょうか。

・Microsoft 365のサービスがどれくらい使用されているか?
・適切なユーザーがサインインできているか?
・不審なサインイン試行がおこなわれていないか?
・不適切なユーザーが作成されていないか?

第8回の投稿では、Microsoft 365管理センターにアクセスして、組織のユーザーのアクティビティの情報を可視化できるということをご紹介しました。ただ、そこで参照できるのは「Microsoft 365サービスのアクティビティ」に関する情報のみです。Microsoft 365のサービスの使用状況については確認できますが、認証の試行やその結果を確認することはできません。

また、上記の「不適切なユーザーが作成されていないか?」については、Microsoft 365管理センターでユーザー一覧を参照することで確認できます。ただ、作成されているか/いないかだけの確認ではなく、実際にはそれが「誰に」よって「いつ」作成されたかなどを追跡できることが重要です。

認証と認可を提供するのはAzure ADであるため、認証やオブジェクトに関わる情報はAzure AD管理センターから確認できるようになっています。上記で挙げたサインインの試行やその結果、特定のユーザーが「誰に」よって「いつ作成されたか」などの情報を確認するために、Azure AD管理センターには[サインイン]と[監査ログ]のメニューがあります。

サインインのメニューでは、「誰が」「何に」「いつ」「どこから」サインインしたのかという情報と、その結果および理由を確認できます。一覧画面に表示されるのは基本情報のみですが、各ログをクリックすると[場所]や[デバイス情報]などの詳細情報が表示され、どのようなIPアドレスからサインインがおこなわれたのか、どんなOSやブラウザーが使用されたのかなどを確認できます。Azure ADで条件付きアクセスを使用している場合には、具体的にどの条件によってブロックされたのかも確認できるため、「サインインできない」という問題が起きたときのトラブルシューティングとしても有益です。

 

一方、監査ログのメニューでは、Azure ADのユーザーなどに対しておこなわれた操作(作成/変更/削除)と、その結果および理由を確認できます。サインインログと同様に各ログの詳細情報では、その操作をおこなったユーザーや、どのような属性がどのように変更されたかの確認もできます。つまり、管理者が把握していない、第三者による予期せぬ操作がおこなわれた場合に、監査ログを参照すれば「何が起きたか」を確認することができるのです。

このような方法で、認証やオブジェクトに関わる操作情報をAzure AD管理センターのログから確認できます。しかし、Azure AD管理センターのサインインおよび監査ログを利用する場合には、その保存期間に注意が必要です。無償版のAzure ADでは7日間、Azure AD Premium P1以上のライセンスでは30日間が最大保存期間として設定されており、保存期間としては十分ではありません。

そのため、Azure ADからログが消えてしまう前に、別の場所に移動するような運用が必要になります。Azure AD管理センターでは、サインインおよび監査ログ画面の上部にある[ダウンロード]のメニューから、JSONまたはCSV形式でダウンロードが可能です。残念ながら、スケジュールで自動ダウンロードするようなメニューは用意されていないため、自動化したい場合には以下の方法のいずれかを検討すると良いでしょう。

・Get-AzureADAuditDirectoryLogsコマンドレットを駆使する
・Azureのストレージアカウントにエクスポートする
・AzureイベントハブにストリームまたはLog Analyticsにエクスポートする

単純な長期保管が目的であればどの選択肢でも構いませんが、ログはただ残しておけば良いというものではありません。「後で確認が必要になった時に、目的の情報を見つけられる」ようにしておくことが大事です。つまり、主目的は保管ではなく、検索や調査なのです。それを踏まえると、上記に挙げた中では「AzureイベントハブにストリームまたはLog Analyticsにエクスポートする」が現実的な選択肢と言えるでしょう。ほかにも、サードパーティーの製品を頼る選択肢もあると思いますが、「保存期間」、「ファイル形式」、「検索性」という3つを見極めポイントとして覚えておくと良いと思います。

 

筆者紹介
新井 慎太郎 (あらい しんたろう)
株式会社ソフィアネットワークに勤務し、2009年よりマイクロソフト認定トレーナーとしてトレーニングの開催やコース開発に従事。前職である会計ソフトメーカー勤務時には、会計ソフトの導入サポート支援や業務別講習会講師を担当。これらの経歴も活かして、ユーザー視点や過去の経験談なども交えながらのトレーニングを提供し、近年はMicrosoft AzureやMicrosoft Intuneなどのクラウドサービスを主な担当領域とする。講師として活動しながら、書籍の執筆などの活動も評価され、2017~2020年にかけてMicrosoft MVP for Enterprise Mobilityを受賞。
主な著作は『ひと目でわかるAzure Information Protection』 (日経BP)、『徹底攻略MCP問題集 Windows Server 2016』『徹底攻略MCP問題集 Windows 10』(インプレスジャパン)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。

 

ゾーホー社員のつぶやき

こんにちは!ゾーホージャパンの近藤です。MVPシリーズ第三弾も今回で最終回の投稿となります。その他シリーズも無事最終回を迎え、全シリーズ読んでくださった方も、本シリーズのみ読んでくださった方も、弊社ブログにご興味を持っていただき誠にありがとうございました。Microsoft 365の様々なサービスについて知識が増え、皆様の日常業務に少しでもお役にたてれば幸いです。そして、Microsoft 365サービスの振り返り等にブックマーク等で引き続きご活用いただけたら嬉しく思います。

さて、クラウドサービスの認証基盤として多くの組織で利用されている「Azure AD」ですが、今回は、Azure ADで行った管理作業の結果を確認できる[監査ログ]と、Azure ADへのアクセス履歴を確認できる[サインイン]ログの参照方法について学びました。Azure AD管理センターから各種ログを簡単に参照することができますが、ログの保存期間や、目的の情報を簡単に見つけられる「検索性」については、業務で使用する際には十分でありません。

そこで、Azure ADのログ管理が容易となる「O365 Manager Plus」をご紹介します。
O365 Manager Plusは、非アクティブまたは削除されたユーザーの識別から、間もなく期限切れになるライセンスの追跡まで、Azure ADの効果的な管理に有用となる情報をレポート形式で提供できます。レポート作成のスケジューリングや、特定の形式(CSV、PDF、XLS、またはHTML)でのエクスポートも簡単に実行できます。

例えば、ユーザーレポートでは、
アカウントのステータス、パスワードのステータス、ログオンの詳細など、Azure ADユーザーアカウントの詳細情報を確認できます。

O365 Manager Plusが提供するユーザーレポートは、次の4つのカテゴリーに分類できます。

  1. 一般的なユーザー詳細レポート:
    最近作成または削除されたユーザー、クラウド上に存在するユーザーまたはオンプレミスADと同期されているユーザーを確認し、アカウントを正確かつ最新の状態に保つ
  2. アカウントステータスレポート:
    Exchangeにサインオンしたことがないユーザーを含む非アクティブユーザーを検知し、そのユーザーライセンスの削除や、ロックアウトされたユーザーを特定し、トラブル状況を素早く解決
  3. パスワードステータスレポート:
    パスワードが変更されていないユーザー、ユーザーアカウントの多要素認証設定、間もなく有効期限が切れるパスワード、有効期限が切れたパスワードを確認し、パスワードの有効期限が切れないよう管理
  4. ユーザーログオンレポート:
    ユーザーログオンアクティビティ、最近のログオン失敗/成功したログオンを確認し、異常なログオン動作を追跡。詳細なユーザーログオン情報により、侵入者や攻撃の初期兆候を検出

その他にも、グループレポート、連絡先レポート、ライセンスレポート等を作成できます。

このように、O365 ManagerPlusは、Azure ADのユーザー、グループ、連絡先、およびライセンスを追跡でき、容易なAzure AD監視を実現します。

O365 Manager Plusとは?

Microsoft 365の定義済みレポートを包括的に提供し、大量のユーザー管理、大量のメールボックス管理、ログ監査、サービス監視、セキュア委任などを含む複雑な作業の実行に貢献します。
使いやすいインターフェイスで、Exchange Online、Azure Active Directory、Skype for Business、OneDrive for Business、Microsoft Teams、SharePoint Online、その他のMicrosoft 365サービスを一箇所で管理または可視化することができます。

O365 Manager Plusについて詳しく知りたい、一度使ってみたいという方は、ぜひ以下のURLにアクセスしてください。

O365 Manager Plusの製品ページはこちら
O365 Manager Plusの概要資料ダウンロードページはこちら
O365 Manager Plusの無料評価版ダウンロードページはこちら

 

ADAudit Plusもおススメ!

Active Directoryログの可視化、およびアラート通知などを行う監査支援ツールです。
Windowsドメイン上で管理されている、ドメインコントローラー/ファイルサーバー/メンバーサーバー/PCなどのITリソース、およびユーザー/グループ/ポリシーなどのオブジェクト情報から、簡単に監査レポートを作成します。また、サーバー内のフォルダー/ファイルに対するアクセス/作成/削除/権限の変更等を、ツール画面上のレポートにて、わかりやすく可視化することが可能です。ADAudit Plusを活用したAzure ADログ管理については、こちらの投稿をご参照ください。

ADAudit Plusの製品ページはこちら
ADAudit Plusの概要資料ダウンロードページはこちら
ADAudit Plusの無料版ダウンロードページはこちら

 

▼▼ 別シリーズのブログ記事もチェック! ▼▼
Microsoft MVPシリーズ第一弾:AzureADを利用する意味【AzureADの虎の巻】
Microsoft MVPシリーズ第二弾:Active Directoryの必要性【Active Directoryのハウツー読本】
Microsoft MVPシリーズ第四弾:ファイルサーバーのアクセス許可【ファイルサーバー管理のいろはを学ぶ】
Microsoft MVPシリーズ第五弾:人事システム管理とAD管理【Active Directoryと人事システム連携のコツ丸わかり】

▼▼ 本シリーズのバックナンバーもチェック! ▼▼
>> 第1回 Microsoft 365(旧称:Office 365)とは
>> 第2回 導入計画と試用版契約
>> 第3回 Microsoft 365管理センターの内容解説(1)
>> 第4回 Microsoft 365管理センターの内容解説(2)
>> 第5回 カスタムドメイン名
>> 第6回ユーザー管理
>> 第7回ログ監査
>> 第8回ログのレポート化
>> 第9回メールボックスの管理
>> 第10回アドレス一覧の管理
>> 第11回メールのアーカイブ
>> 第12回共有メールボックス
>> 第13回パブリックフォルダー
>> 第14回 Azure AD管理センターの内容解説


フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。