ADAudit Plus ナレッジベース

Azure ADの監査方法(ビルド5100~6061)


※対象ビルド:5100~6061

本ナレッジでは、Azure ADの監査を行う際の注意事項と必要な設定についてご説明します。

ビルド6070より、Microsoft Graph APIを用いたAzure AD監査に対応しました。
Microsoft Graph APIを用いたAzure AD監査の設定手順はこちらのナレッジをご参照ください。

 注意事項と制限事項

ログオンイベントの監査には、Micorsoft Azureのエディションである「Premium P1」「Premium P2」のいずれかのライセンス適用が必要です。

エディションが「Premium」ではない場合、[Sign-in] のステータスが「Authentication_ApplicationBasedRequestFromNonPremiumTenant」と表示されます。

この場合、Cloud Directoryの [ユーザーログオン レポート] は監査対象外となります。

 ADAudit Plus側の設定

1.[構成] > [クラウド ディレクトリ―] に移動します。

2.[+テナントを追加] をクリックします。

3.以下の情報を入力します。

  1. テナント名
  2. クライアントID
  3. クライアント シークレット

3.[追加]をクリックして保存します。

入力情報の取得方法は以下の手順をご参照ください。

 Azure ADのクライアントID/クライアント シークレットの入手方法

【アプリケーションの登録】

1.Microsoft Azureにサインイン後、[Azure Active Directory] をクリックします。

2.[アプリの登録] > [新しいアプリケーションの登録] をクリックします。

3.[名前]に任意の名前を入力します。
例)Reporting API Application

4.[アプリケーションの種類]にて[Web アプリ/API]を選択します。

5.[サインオン URL]にURLを指定します。
例)http://localhost

6.[作成]をクリックして保存します。

【ディレクトリ読み取りのための権限付与】

1.[アプリの登録] > 登録したアプリケーションの名前を選択します。

2.[必要なアクセス許可] をクリックします。

3.[Windows Azure Active Directory] をクリックします。

4.[Read directory data] にチェックを入れ保存します。

5. [アクセス許可の付与] をクリックします。

【クライアントIDとクライアント シークレットの取得】

1.[アプリの登録] > 登録したアプリケーションの名前を選択します。

2.[アプリケーションID]の下に記載されているIDがクライアントIDです。

3.[キー]をクリックします。

4.[キーの説明] を入力後、[期間] を選択します。

例)[キーの説明] = ADAudit Plus Key 、[期間] = 期限なし

5.[値] に表示されるのが、クライアント シークレットです。

 AzureADのテナント名の確認方法

1.Microsoft Azureにサインイン後、[Azure Active Directory] をクリックします。

2.[ドメイン名] をクリックします。

3.[名前] に表示されている内容がテナント名です。

 Microsoft Graph APIを用いた監査への移行方法(ビルド6070以降)

ビルド6070より、Microsoft Graph APIを用いたAzure AD監査に対応しました。
既にAzure AD Graph APIを用いてAzure AD監査を行っている場合、Microsoft Graph APIを用いた監査への移行を推奨します。

以下、移行手順をご説明します。

 

【ADAudit Plus側の設定】

1. [構成] > [クラウド ディレクトリ―] に移動します。

2. [Microsoft Graph APIへの移行]をクリックします。

 

3. ポップアップ画面にて、[はい]をクリックします。

 

【Azure AD側の設定】

1. Microsoft Azureにサインイン後、[Azure Active Directory] をクリックします。

2. [アプリの登録] > 登録したアプリケーションの名前を選択します。

3. [APIのアクセス許可] > [アクセス許可の追加]をクリックします。

 

4. [Microsoft Graph API]を選択します。

5. [アプリケーションの許可]をクリックします。

 

6. アクセス許可として以下の項目にチェックを入れます。

  • Application.Read.All
  • AuditLog.Read.All
  • Directory.Read.All
  • Group.Read.All
  • User.Read.All

 

例)AuditLog.Read.Allの追加

 

7. [アクセス許可の追加]をクリックします。アクセス許可の項目が追加されていることを確認します。

 

8. アクセス許可を付与するため、[~(組織名)~に管理者の同意を与えます]をクリックします。

 

9. ポップアップ画面にて、[はい]をクリックします。

10. 各アクセス許可の[状態]が、緑色のチェックマークとなっていることを確認します。

 

移行手順は以上です。