Microsoft Entra ID の 診断設定 を使用すると、Azure Monitor とログを統合して、サインイン アクティビティとテナント内の変更の監査証跡を他の Azure データと共に分析できます。
この記事では、Microsoft Entra ログと Azure Monitor を統合する手順について説明します。
次のタスクを実行するには、Microsoft Entra アクティビティ ログと Azure Monitor の統合を使います。
- 自分の Microsoft Entra サインイン ログと、Microsoft Defender for Cloud が発行したセキュリティ ログを比較します。
- Azure Application Insights からのアプリケーション パフォーマンス データを相関させることによって、アプリケーションのサインイン ページでのパフォーマンス ボトルネックのトラブルシューティングを行います。
- Identity Protection の危険なユーザーとリスク検出ログを分析して、環境内の脅威を検出します。
- 認証に Active Directory 認証ライブラリ (ADAL) をまだ使っているアプリケーションからのサインインを識別します。 ADAL のサポート終了プランについて説明します。
注
Microsoft Entra ログと Azure Monitor を統合すると、Microsoft Sentinel 内で Microsoft Entra データ コネクタが自動的に有効になります。
前提条件
この機能を使用するには、次が必要です。
Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、 無料試用版にサインアップできます。
Microsoft Entra ID P1 または P2 テナント。
少なくとも Microsoft Entra テナントの セキュリティ管理者 ロール。
Azure サブスクリプションの Log Analytics ワークスペース 。 Log Analytics ワークスペースを作成する方法について説明します。
Log Analytics ワークスペース内のデータにアクセスするためのアクセス許可。 さまざまなアクセス許可オプションとアクセス許可の構成方法については、 Azure Monitor でのログ データとワークスペースへのアクセスの管理 に関するページを参照してください。
Log Analytics ワークスペースの作成
Log Analytics ワークスペースを使用すると、データの地理的な場所、サブスクリプションの境界、リソースへのアクセスなど、さまざまな要件に基づいてデータを収集できます。 Log Analytics ワークスペースを作成する方法について説明します。
Microsoft Entra ID 以外の Azure リソース用に Log Analytics ワークスペースを設定する方法については、「 Azure Monitor のリソース ログの収集と表示」を参照してください。
ログを Azure Monitor に送信する
次の手順を使用して Microsoft Entra ID から Azure Monitor ログにログを送信します。
ヒント
この記事の手順は、開始するポータルに応じて若干異なる場合があります。
少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。
Entra ID>Monitoring & health>Diagnostic 設定に移動します。 [監査ログ] ページまたは [サインイン] ページから [設定のエクスポート] を選択することもできます。
[ + 診断設定の追加] を選択して新しい統合を作成するか、既存の統合の [設定の編集] を選択します。
診断設定名を入力します。 既存の統合を編集する場合、名前を変更することはできません。
ストリーミングするログ カテゴリを選択します。 各ログ カテゴリの説明については、「 エンドポイントにストリーミングできる ID ログとは」を参照してください。
[ 宛先の詳細 ] で、[ Log Analytics ワークスペースに送信 ] チェック ボックスをオンにします。
メニューから適切な サブスクリプション と Log Analytics ワークスペース を選択します。
[保存] ボタンを選択します。
Log Analytics ワークスペースにログが表示され始めるタイミングの詳細については、「 Azure Monitor の診断設定」を参照してください。