Microsoft Entra 監査ログは、環境内で条件付きアクセス ポリシーの変更が発生した理由とその方法のトラブルシューティングを行う際の貴重な情報源です。
監査ログ データは既定で 30 日間のみ保持されます。これは、すべての組織に対して十分な長さではない可能性があります。 組織は、Microsoft Entra ID 内の診断設定を以下のように変更することで、より長い期間にわたりデータを保存できます。
- データを Log Analytics ワークスペースに送信する
- データをストレージ アカウントにアーカイブする
- Event Hubs へのデータのストリーム配信
- データをパートナー ソリューションに送信する
これらのオプションは、Entra ID>監視とヘルス>診断設定>設定を編集にあります。 診断設定がない場合は、診断設定の作成に関する記事の手順に従って、 プラットフォーム のログとメトリックを別の宛先に送信 して作成します。
監査ログの使用
Microsoft Entra 管理センターに、少なくともレポート閲覧者としてサインインします。
Entra ID>監視と健康状態>監査ログにアクセスします。
クエリを実行する 日付 範囲を選択します。
[サービス] フィルターで [条件付きアクセス] を選択し、[適用] ボタンを選択します。
監査ログには、すべてのアクティビティが既定で表示されます。 アクティビティ フィルターを開き、アクティビティを絞り込みます。 条件付きアクセスの監査ログ アクティビティの完全な一覧については、 監査ログ アクティビティを参照してください。
詳細を表示するには、行を選択します。 [ 変更されたプロパティ ] タブには、選択した監査アクティビティの変更された JSON 値が一覧表示されます。
Log Analytics の使用
Log Analytics を使用すると、組み込みのクエリまたはカスタムで作成された Kusto クエリを使用してデータを照会できます。詳細については、「 Azure Monitor でのログ クエリの概要」を参照してください。
有効にすると、Entra ID>にあるMonitoring & health>のLog AnalyticsからLog Analyticsへのアクセスができます。 条件付きアクセス管理者にとって最も関心のあるテーブルは、AuditLogs です。
AuditLogs
| where OperationName == "Update Conditional Access policy"
変更は TargetResources>modifiedProperties にあります。
値の読み取り
監査ログと Log Analytics の古いおよび新しい値は JSON 形式です。 2 つの値を比較して、ポリシーに対する変更を確認します。
古いポリシーの例:
{
"conditions": {
"applications": {
"applicationFilter": null,
"excludeApplications": [
],
"includeApplications": [
"797f4846-ba00-4fd7-ba43-dac1f8f63013"
],
"includeAuthenticationContextClassReferences": [
],
"includeUserActions": [
]
},
"clientAppTypes": [
"browser",
"mobileAppsAndDesktopClients"
],
"servicePrincipalRiskLevels": [
],
"signInRiskLevels": [
],
"userRiskLevels": [
],
"users": {
"excludeGroups": [
"eedad040-3722-4bcb-bde5-bc7c857f4983"
],
"excludeRoles": [
],
"excludeUsers": [
],
"includeGroups": [
],
"includeRoles": [
],
"includeUsers": [
"All"
]
}
},
"displayName": "Common Policy - Require MFA for Azure management",
"grantControls": {
"builtInControls": [
"mfa"
],
"customAuthenticationFactors": [
],
"operator": "OR",
"termsOfUse": [
"a0d3eb5b-6cbe-472b-a960-0baacbd02b51"
]
},
"id": "334e26e9-9622-4e0a-a424-102ed4b185b3",
"modifiedDateTime": "2021-08-09T17:52:40.781994+00:00",
"state": "enabled"
}
更新されたポリシーの例:
{
"conditions": {
"applications": {
"applicationFilter": null,
"excludeApplications": [
],
"includeApplications": [
"797f4846-ba00-4fd7-ba43-dac1f8f63013"
],
"includeAuthenticationContextClassReferences": [
],
"includeUserActions": [
]
},
"clientAppTypes": [
"browser",
"mobileAppsAndDesktopClients"
],
"servicePrincipalRiskLevels": [
],
"signInRiskLevels": [
],
"userRiskLevels": [
],
"users": {
"excludeGroups": [
"eedad040-3722-4bcb-bde5-bc7c857f4983"
],
"excludeRoles": [
],
"excludeUsers": [
],
"includeGroups": [
],
"includeRoles": [
],
"includeUsers": [
"All"
]
}
},
"displayName": "Common Policy - Require MFA for Azure management",
"grantControls": {
"builtInControls": [
"mfa"
],
"customAuthenticationFactors": [
],
"operator": "OR",
"termsOfUse": [
]
},
"id": "334e26e9-9622-4e0a-a424-102ed4b185b3",
"modifiedDateTime": "2021-08-09T17:52:54.9739405+00:00",
"state": "enabled"
}
前の例では、更新されたポリシーには許可コントロールの使用条件が含まれていません。