Azure AD DSを監査する方法
作成日:2023年2月7日 | 更新日:2023年11月10日
対象ビルド:7080以上
本ナレッジでは、Azure Active Directory Domain Services(Azure AD DS)を監査する方法を説明します。
本ナレッジは、本社ページ(英語)をもとに作成しています。
概要
ADAudit Plusを使用することで、Azure AD DSに関する以下のようなイベントを監査できます。
- 成功および失敗ログオン
- ユーザーおよびコンピューターの作成・削除
- グループメンバーシップの変更
- GPOの変更
- パスワード変更およびリセット
- アカウントロックアウト
前提
- ADAudit Plusを、Azure AD DSドメインと接続可能な仮想マシンにインストールしていること。
- ADAudit Plusをインストールしたサーバーにて、ポート443が開放していること。
- ADAudit Plusにて、NTLM認証監査が有効化されていること(ログオンを監査する場合に必要です)。
※有効化手順はこちらを参照 - Azure ADにて、イベント名前空間およびイベントハブを作成済みであること(手順はこちらを参照)。
手順(ドメインを新規追加する場合)
1. ADAudit Plusにログイン→画面右上の「ドメイン設定」→「ドメイン追加」をクリック
Azure AD DSドメインがADAudit Plusへ既に追加されている場合、本ページ下部の手順を実施してください。
2. 「ドメイン名」を入力
3. ドメインタイプとして「Azure AD DS」を選択
4. 「認証」にチェック後、認証情報を入力
5. 「ドメインコントローラーを検索するにはここをクリックしてください」をクリック後、追加するドメインコントローラー名を入力
6. 「イベントハブ名」「イベントハブコンシューマーグループ」を入力
ADAudit Plus以外のツールが該当イベントハブよりイベントを収集しない場合、
「イベントハブコンシューマーグループ」には$Defaultとご入力いただけます。
7. 「イベントハブ接続文字列」を入力
「イベントハブ接続文字列」は、こちらのページ内「Create an event hub」手順9の、
「Connection string–primary key」の値を入力してください。
8. 「保存」をクリック
以上です。
手順(ドメインが既に追加されている場合)
1. ADAudit Plusにログイン→画面右上の「ドメイン設定」をクリック
2. 追加されたドメイン名をマウスオーバーすることで表示される「Attach AzureADDS Domain」をクリック
3. 「イベントハブ名」「イベントハブコンシューマーグループ」を入力
ADAudit Plus以外のツールが該当イベントハブよりイベントを収集しない場合、
「イベントハブコンシューマーグループ」には$Defaultとご入力いただけます。
4. 「イベントハブ接続文字列」を入力
「イベントハブ接続文字列」は、こちらのページ内「Create an event hub」手順9の、
「Connection string–primary key」の値を入力してください。
5. 「保存」をクリック
以上です。