Microsoft Entra アクティビティ ログのスキーマ

この記事では、Microsoft Entra アクティビティ ログに含まれる情報、ならびにそのスキーマが他のサービスで使用される方法について説明します。 この記事では、Microsoft Entra 管理センターと Microsoft Graph のスキーマについて説明します。 いくつかの主要なフィールドについて説明します。

前提条件

• ライセンスとロールの要件については、Microsoft Entra の監視と正常性のライセンスに関する記事を参照してください。
• ログのダウンロードのオプションは、Microsoft Entra ID のすべてのエディションで利用できます。
• Microsoft Graph を使用してプログラムでログをダウンロードするには、Premium ライセンスが必要です。
• レポート閲覧者 は、Microsoft Entra のアクティビティ ログを閲覧するために必要な最小限の特権ロールです。
• 監査ログは、ライセンスを取得している機能に関して使用できます。
• 必要なライセンスがない場合、ダウンロードしたログの結果に一部のプロパティが hidden と表示されることがあります。

ログ スキーマとは

Microsoft Entra の監視と正常性は、Azure Monitor、Microsoft Sentinel、その他のサービスと統合できるログ、レポート、監視ツールを提供します。 これらのサービスは、ログのプロパティをサービスの構成にマッピングする必要があります。 スキーマは、プロパティのマップ、使用可能な値、サービスによって使用される方法になります。 ログ スキーマを理解すると、効果的なトラブルシューティングとデータ解釈に役立ちます。

Microsoft Graph は、Microsoft Entra ログにプログラムでアクセスする主要な方法です。 Microsoft Graph 呼び出しの応答は JSON 形式であり、ログのプロパティと値が含まれます。 ログのスキーマは、Microsoft Graph のドキュメントで定義されています。

Microsoft Graph API には 2 つのエンドポイントがあります。 V1.0 エンドポイントは最も安定しており、運用環境で一般的に使用されています。 多くの場合、ベータ版にはより多くのプロパティが含まれていますが、変更される可能性があります。 このため、運用環境でスキーマのベータ版を使用することはお勧めしません。

Microsoft Entra のお客様は、Log Analytics ワークスペースに送信されるアクティビティ ログ ストリームを構成できます。 この統合により、セキュリティ情報イベント管理 (SIEM) 接続、長期的なストレージ、ログ分析を使用したクエリ機能の向上が可能になります。 Azure Monitor のログ スキーマは、Microsoft Graph スキーマとは異なる場合があります。

これらのスキーマの詳細については、次の記事を参照してください。

• Azure Monitor の監査ログ
• Azure Monitor のログイン ログ
• Azure Monitor のプロビジョニング ログ
• Microsoft Graph の監査ログ
• Microsoft Graph のログイン
• Microsoft Graph のプロビジョニング ログ

スキーマを解釈する方法

値の定義を調べるとき、ご使用のバージョンに注意してください。 V1.0 とベータ版のスキーマには違いがある場合があります。

すべてのログ スキーマに記載されている値

一部の値はすべてのログ スキーマで共通です。

• correlationId: この一意の ID はさまざまなサービスにまたがるアクティビティを関連付けを可能にし、トラブルシューティングに使用されます。 この値が複数のログに存在しても、サービス間でログを結合する機能は示されません。
• status または result: この重要な値は、アクティビティの結果を示します。 指定できる値は、success、failure、timeout、unknownFutureValue です。
• 日付と時刻: アクティビティが発生した日時は協定世界時 (UTC) で表示されます。
• 一部のレポート機能には Microsoft Entra ID P2 ライセンスが必要です。 正しいライセンスがない場合、hidden の値が返されます。

監査ログ

• activityDisplayName: アクティビティ名または操作名を示します (例: 「ユーザーの作成」と「グループにメンバーの追加」)。 詳細については、「監査ログ アクティビティ」を参照してください。
• category は、アクティビティの対象となるリソース カテゴリを示します。 たとえば、UserManagement、GroupManagement、ApplicationManagement、RoleManagement などです。 詳細については、「監査ログ アクティビティ」を参照してください。
• initiatedBy はアクティビティを開始したユーザーまたはアプリに関する情報を示します。
• targetResources は、変更されたリソースに関する情報を提供します。 指定できる値には、User、Device、Directory、App、Role、Group、Policy、Other などがあります。
• ipAddress: initiatedBy セクションで見つかったのは、OAuth クライアントの IP アドレスです。 IP アドレスは、サービスのエンドポイントのピア (直接接続されたクライアント) です。

サインイン ログ

• ID 値: ユーザー、テナント、アプリケーション、リソースには一意の識別子があります。 例には、次のものがあります。
  • resourceId: ユーザーがログインした リソース。
  • resourceTenantId: アクセスされているリソースを所有するテナント。 homeTenantId と同じの場合があります。
  • homeTenantId: ログインしていてユーザー アカウントを所有するテナント。
• リスク情報: 危険なユーザー、ログイン、リスク検出の特定の状態に関連する理由を説明します。
  • riskState: 危険なユーザー、ログイン、リスク イベントの状態を報告します。
  • riskDetail: 危険なユーザー、ログイン、リスク検出の特定の状態に関連する理由を説明します。 値 none は、ユーザーまたはログインに対してこれまで何のアクションも実行されていないことを意味します。
  • riskEventTypes_v2: ログインに関連するリスク検出の種類。
  • riskLevelAggregated: 集計リスク レベル。 値 hidden は、Microsoft Entra ID 保護に対してユーザーまたはログインが有効になっていなかったことを意味します。
• crossTenantAccessType: リソースにアクセスするために使用されるクロステナント アクセスの種類を説明します。 たとえば、B2B、Microsoft サポート、パススルーのログインがここにキャプチャされます。
• status: エラー コードとエラーの説明を含むログイン状態 (ログインエラーが発生した場合)。

適用される条件付きアクセス ポリシー

appliedConditionalAccessPolicies サブセクションには、そのログイン イベントに関連する条件付きアクセス ポリシーが記載されます。 このセクションは適用条件付きアクセス ポリシーと呼ばれますが、適用されていないポリシーもこのセクションに表示されます。 ポリシーごとに個別のエントリーが作成されます。 詳細については、「conditionalAccessPolicy リソースの種類」を参照してください。