次の方法で共有

継続的アクセス評価の監視とトラブルシューティング

管理者は、 継続的アクセス評価 (CAE) が複数の方法で適用されるサインイン イベントを監視およびトラブルシューティングできます。

継続的アクセス評価サインイン レポート

管理者は、継続的アクセス評価 (CAE) が適用されているユーザー サインインを監視できます。 この情報は、Microsoft Entra サインイン ログにあります。

  1. Microsoft Entra 管理センターに、少なくともセキュリティ閲覧者としてサインインします。
  2. Entra ID>に移動し、モニタリングとヘルス>のサインイン ログを参照します。
  3. IS CAE トークン フィルターを適用します。

サインイン ログにフィルターを追加して、CAE が適用されている場所を確認する方法を示すスクリーンショット。

ここから、管理者にはユーザーのサインイン イベントに関する情報が表示されます。 サインインを選択すると、適用された条件付きアクセス ポリシーや CAE が有効になっているかどうかなど、セッションに関する詳細が表示されます。

認証ごとに複数のサインイン要求があります。 対話型タブ上にあるものもあれば、非対話型タブ上にあるものがあります。CAE は、対話型タブまたは非対話型タブにある要求のいずれかに対してのみ true とマークされます。管理者は、両方のタブを確認して、ユーザーの認証が CAE が有効かどうかを確認する必要があります。

特定のサインイン試行の検索

サインイン ログには、成功イベントと失敗イベントに関する情報が含まれています。 フィルターを使用して検索を絞り込みます。 たとえば、ユーザーが Teams にサインインした場合は、アプリケーション フィルターを使用して Teams に設定します。 管理者は、対話型タブと非対話型タブの両方からサインインを確認して、特定のサインインを見つける必要がある場合があります。 検索をさらに絞り込むために、管理者は複数のフィルターを適用できます。

継続的アクセス評価ブック

継続的アクセス評価分析情報ブックを使用すると、管理者はテナントの CAE 使用状況分析情報を表示および監視できます。 次の表に、IP が一致しない認証の試行を示します。 このブックは、[条件付きアクセス] カテゴリの下にテンプレートとして表示されます。

CAE ブック テンプレートへのアクセス

ブックが表示される前に、Log Analytics の統合を完了する必要があります。 Microsoft Entra サインイン ログを Log Analytics ワークスペースにストリーミングする方法の詳細については、「Microsoft Entra ログを Azure Monitor ログと統合する」を参照してください。

  1. Microsoft Entra 管理センターに、少なくともセキュリティ閲覧者としてサインインします。
  2. Entra ID>監視と健康>ワークブック に移動してください。
  3. [ パブリック テンプレート] で継続的アクセス評価の分析情報を検索します

継続的アクセス評価分析情報ブックには、次の表が含まれています。

Microsoft Entra ID とリソース プロバイダーの間の潜在的な IP アドレスの不一致

Microsoft Entra ID とリソース プロバイダー テーブルの間で IP アドレスが一致しない可能性がある場合、管理者は、Microsoft Entra ID によって検出された IP アドレスがリソース プロバイダーによって検出された IP アドレスと一致しないセッションを調査できます。

このブックの表では、それぞれの IP アドレスと、セッション中に CAE トークンが発行されたかどうかを表示することで、これらのシナリオについて説明します。

サインインごとの継続的アクセス評価の分析情報

ブックのサインインごとの継続的アクセス評価の分析情報ページでは、サインイン ログから複数の要求が接続され、CAE トークンが発行された 1 つの要求が表示されます。

このブックは、たとえば、ユーザーがデスクトップで Outlook を開き、Exchange Online 内のリソースにアクセスしようとすると便利です。 このサインイン アクションは、ログ内の複数の対話型および非対話型サインイン要求にマップされ、問題の診断が困難になる可能性があります。

IP アドレスの構成

ID プロバイダーとリソース プロバイダーには、異なる IP アドレスが表示される場合があります。 この不一致は、次の例が原因で発生する可能性があります。

  • ネットワークは分割トンネリングを実装します。
  • リソース プロバイダーが IPv6 アドレスを使用しており、Microsoft Entra ID が IPv4 アドレスを使用している。
  • ネットワーク構成のため、Microsoft Entra ID にはクライアントから 1 つの IP アドレスが表示され、リソース プロバイダーにはクライアントとは異なる IP アドレスが表示されます。

このシナリオが環境内に存在する場合、無限ループを回避するために、Microsoft Entra ID は 1 時間の CAE トークンを発行し、その 1 時間の間にクライアントの場所の変更を適用しません。 この場合でも、クライアントの場所の変更イベント以外の他のイベントをまだ評価しているため、従来の 1 時間のトークンと比較してセキュリティが向上します。

管理者は、時間範囲とアプリケーションでフィルター処理されたレコードを表示できます。 管理者は、検出された不一致 IP の数と、指定した期間中のサインインの合計数を比較できます。

ユーザーのブロックを解除するために、管理者は信頼できる名前付き場所に特定の IP アドレスを追加できます。

  1. Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
  2. Entra ID>Conditional Access>名前付きロケーションを参照します。 ここでは、信頼できる IP の場所を作成または更新できます。

信頼できる名前付き場所として IP アドレスを追加する前に、IP アドレスが実際に目的の組織に属していることを確認します。

名前付き場所の詳細については、 場所の条件の使用に関する記事を参照してください。

関連コンテンツ