ADAudit Plus ナレッジベース

ManageEngine > サポート > ADAudit Plus ナレッジベース > 機能仕様 > Azure ADの監査方法(ビルド6070以降)
戻る

Azure ADの監査方法(ビルド6070以降)

  • 作成日:2021年4月12日 | 更新日:2023年11月10日

対象ビルド:6070以降
確認日:2021年4月13日

ビルド6070より、Microsoft Graph APIを用いたAzure AD監査に対応しました。
本ナレッジでは、Microsoft Graph APIを用いたAzure AD監査の設定手順をご説明します。

 

 

 注意事項と制限事項

Azure ADへのログオンイベントを監査するためには、以下いずれかのライセンスが適用されている必要があります。

  • Premium P1
  • Premium P2

上記ライセンスが適用されていない場合、Azure AD監査の [ユーザーログオン レポート] は監査対象外となります。

 

Azure AD側の設定

アプリケーションの登録

1.Microsoft Azureにサインイン後、[Azure Active Directory] をクリックします。

2.[アプリの登録] > [新規登録] をクリックします。

 

3.[名前]にて、任意の名前を入力します。

4.[サポートされているアカウントの種類]にて、「この組織ディレクトリのみに含まれるアカウント ~」にチェックします。

5.  任意で[リダイレクトURI]を設定します。

6.[登録]をクリックします。

 

 

7. アプリケーション(クライアント)IDの内容をメモしておきます。【ADAudit Plus側の設定】の手順にて使用します。

 

登録したアプリケーションに対するアクセス許可の設定

1.[APIのアクセス許可] > [アクセス許可の追加]をクリックします。

 

2. [Microsoft Graph API] > [アプリケーションの許可]をクリックします。

 

 

3. アクセス許可として以下の項目にチェックを入れます。

  • Application.Read.All
  • AuditLog.Read.All
  • Directory.Read.All
  • IdentityRiskEvent.Read.All
  • Group.Read.All
  • User.Read.All

 

例)AuditLog.Read.Allの追加

 

4. [アクセス許可の追加]をクリックします。アクセス許可の項目が追加されていることを確認します。

 

5. アクセス許可を付与するため、[~(組織名)~に管理者の同意を与えます]をクリックします。

 

6. ポップアップ画面にて、[はい]をクリックします。

 

7. 各アクセス許可の[状態]が、緑色のチェックマークとなっていることを確認します。

 

クライアントシークレットの作成

1. [証明書とシークレット] > [新しいクライアントシークレット]をクリックします。

 

2. [説明]にて、任意の内容を入力します。

3. [有効期限]にて、任意のクライアントシークレット有効期限を設定します。

4. [追加]をクリックします。

 

5. [クライアントシークレット]下に追加された「値」をメモしておきます。【ADAudit Plus側の設定】の手順にて使用します。

※別ページに移動するとクライアントシークレットの「値」が入手不可となりますので、このタイミングで必ずメモしてください。

 

 

Azure AD側の設定は以上です。

 

ADAudit Plus側の設定

1.[構成] > [クラウド ディレクトリ―] に移動します。

2.[+テナントを追加] をクリックします。

 

3. [Azure AD経由の監査]を選択します。

4. 以下の情報を入力します。

  1. テナント名
  2. クライアントIDアプリケーションの登録手順7で取得)
  3. クライアント シークレットクライアントシークレットの作成手順5で取得)

5. [クラウド種類]を選択します。

6.[追加]をクリックします。

 

ADAudit Plus側の設定は以上です。

 

補足:Azure ADのテナント名の確認方法

1.Microsoft Azureにサインイン後、[Azure Active Directory] をクリックします。

2.[概要] をクリックします。

3.[プライマリドメイン] に表示されている内容(~.onmicrosoft.com)がテナント名です。

 

補足:Microsoft Graph APIへの移行

Azure AD Graph APIではなく、Microsoft Graph APIを用いたAzure AD監査を強く推奨します。

Azure AD Graph APIが非推奨の理由は、公式ドキュメントをご確認ください。
なお、Azure AD Graph APIをご利用の場合、アクセス許可として「Directory.Read.All」を付与してください。

Azure AD Graph APIからMicrosoft Graph APIを用いたAzure AD監査に移行する手順は以下のとおりです。

移行手順

1.[構成] > [クラウド ディレクトリ―] に移動します。

2. [Microsoft Graph APIへの移行]をクリックします。

「Azure AD Graphに戻る」と表示されている場合、既にMicrosoft Graph APIを用いた監査を実施しています。

3. ポップアップ画面で[はい]をクリックします。

 

以上です。

このナレッジの総閲覧回数: 1,399

関連ナレッジ:

  1. Azure ADの監査方法(ビルド5100~6061)
  2. Azure AD DSを監査する方法
  3. ビルド7080以上にアップグレード後、Azure AD監査のステータスがエラーとなる場合の対応
  4. ADFS監査の対象となるOS

タグ: