Azure ADの監査方法(ビルド6070以降)
対象ビルド:6070以降
確認日:2021年4月13日
ビルド6070より、Microsoft Graph APIを用いたAzure AD監査に対応しました。
本ナレッジでは、Microsoft Graph APIを用いたAzure AD監査の設定手順をご説明します。
【目次】
注意事項と制限事項
Azure ADへのログオンイベントを監査するためには、以下いずれかのライセンスが適用されている必要があります。
- Premium P1
- Premium P2
上記ライセンスが適用されていない場合、Azure AD監査の [ユーザーログオン レポート] は監査対象外となります。
Azure AD側の設定
アプリケーションの登録
1.Microsoft Azureにサインイン後、[Azure Active Directory] をクリックします。
2.[アプリの登録] > [新規登録] をクリックします。
3.[名前]にて、任意の名前を入力します。
4.[サポートされているアカウントの種類]にて、「この組織ディレクトリのみに含まれるアカウント ~」にチェックします。
5. 任意で[リダイレクトURI]を設定します。
6.[登録]をクリックします。
7. アプリケーション(クライアント)IDの内容をメモしておきます。【ADAudit Plus側の設定】の手順にて使用します。
登録したアプリケーションに対するアクセス許可の設定
1.[APIのアクセス許可] > [アクセス許可の追加]をクリックします。
2. [Microsoft Graph API] > [アプリケーションの許可]をクリックします。
3. アクセス許可として以下の項目にチェックを入れます。
- Application.Read.All
- AuditLog.Read.All
- Directory.Read.All
- IdentityRiskEvent.Read.All
- Group.Read.All
- User.Read.All
例)AuditLog.Read.Allの追加
4. [アクセス許可の追加]をクリックします。アクセス許可の項目が追加されていることを確認します。
5. アクセス許可を付与するため、[~(組織名)~に管理者の同意を与えます]をクリックします。
6. ポップアップ画面にて、[はい]をクリックします。
7. 各アクセス許可の[状態]が、緑色のチェックマークとなっていることを確認します。
クライアントシークレットの作成
1. [証明書とシークレット] > [新しいクライアントシークレット]をクリックします。
2. [説明]にて、任意の内容を入力します。
3. [有効期限]にて、任意のクライアントシークレット有効期限を設定します。
4. [追加]をクリックします。
5. [クライアントシークレット]下に追加された「値」をメモしておきます。【ADAudit Plus側の設定】の手順にて使用します。
※別ページに移動するとクライアントシークレットの「値」が入手不可となりますので、このタイミングで必ずメモしてください。
Azure AD側の設定は以上です。
ADAudit Plus側の設定
1.[構成] > [クラウド ディレクトリ―] に移動します。
2.[+テナントを追加] をクリックします。
3. [Azure AD経由の監査]を選択します。
4. 以下の情報を入力します。
- テナント名
- クライアントID(アプリケーションの登録手順7で取得)
- クライアント シークレット(クライアントシークレットの作成手順5で取得)
5. [クラウド種類]を選択します。
6.[追加]をクリックします。
ADAudit Plus側の設定は以上です。
補足:Azure ADのテナント名の確認方法
1.Microsoft Azureにサインイン後、[Azure Active Directory] をクリックします。
2.[概要] をクリックします。
3.[プライマリドメイン] に表示されている内容(~.onmicrosoft.com)がテナント名です。
補足:Microsoft Graph APIへの移行
Azure AD Graph APIではなく、Microsoft Graph APIを用いたAzure AD監査を強く推奨します。
Azure AD Graph APIが非推奨の理由は、公式ドキュメントをご確認ください。
なお、Azure AD Graph APIをご利用の場合、アクセス許可として「Directory.Read.All」を付与してください。
Azure AD Graph APIからMicrosoft Graph APIを用いたAzure AD監査に移行する手順は以下のとおりです。
移行手順
1.[構成] > [クラウド ディレクトリ―] に移動します。
2. [Microsoft Graph APIへの移行]をクリックします。
「Azure AD Graphに戻る」と表示されている場合、既にMicrosoft Graph APIを用いた監査を実施しています。
3. ポップアップ画面で[はい]をクリックします。
以上です。