Microsoft Entra IDにおける管理者によるパスワード変更を追跡する方法
Microsoft Entra ID(旧 Azure Active Directory)では、安全でコンプライアンスに準拠した環境を維持するために、管理者による変更の追跡が不可欠です。特に注視すべき重要なアクティビティの一つが、管理者によるパスワード変更です。ほとんどのパスワード変更は正当なものですが、不当なパスワード変更も起こり得る可能性があります。特に業務時間外に行われた不審なパスワード変更を追跡することは、組織内の潜在的な脅威アクターを検知するのに役立ちます。サイバー犯罪者は管理者アカウントへの不正アクセスを得ることで、他のユーザーの資格情報を変更し、ロックアウトさせることが可能です。さらにデータをコピーまたは改ざんし、Microsoft Entra IDにおけるユーザーのセキュリティとプライバシーを侵害する恐れがあります。
(このナレッジは本社ページHow to track password changes by admins in Microsoft Entra IDを参照して作成しています。)
Microsoft Entra IDおよびM365 Manager Plusを使用した管理者によるパスワード変更追跡
ネイティブのMicrosoft Entra管理センターを使用して管理者によるパスワード変更を特定するには、毎回関連するフィルターを指定する必要があるため時間がかかります。さらに、レポートのエクスポート形式は CSV または JSON 形式に制限されています。
M365 Manager Plusは、Microsoft 365環境における重要なアクティビティのレポート作成、管理、監視、監査、アラート作成に活用できる包括的なツールであり、Microsoft Entra IDにおける管理者によるパスワード変更追跡にも使用できます。
以下の表は、Microsoft Entra管理センターとM365 Manager Plusを使用した際の管理者によるパスワード変更を追跡する方法の比較です。
| Microsoft Entra管理センター | M365 Manager Plus |
|---|---|
| Microsoft Entra 管理センターに、ユーザー管理者権限以上のアカウントでサインインします。 | M365 Manager Plus にログインし、[レポート]→[Azure Active Directory]→ [その他のAzureレポート] →[ Azure AD 監査ログ]→[Azure ADユーザー監査ログ]をクリックします。 |
| [ID]→[ユーザー]に移動します。 | 生成したいパスワード変更されたユーザーリストのMicrosoft 365テナントとドメイン、期間を選択し、[今すぐ生成する]をクリックします。 |
| 「監査ログ」をクリックし、どの期間にパスワードリセットされたユーザーを追跡するかを指定します。 | レポート右にある[フィルターアイコン]をクリックします。最初のドロップダウンで[活動の表示名]を選択し、2番目のドロップダウンで[含む]を選択します。3番目のドロップダウンで[admin]と入力し、[フィルター]をクリックして結果を確認します。 |
| [アクティビティ]をクリックします。 | このフィルタリングされたレポートを新たにレポートの一種として保存する場合は、[新しいレポートとして保存]をクリックし、レポート名と説明を入力して[保存]をクリックしてください。このレポートは、いつでも生成したいときに[私のレポート]→[カスタムレポート]から確認できます。 |
| [Reset password(by admin)]を選択してください。 | |
| [適用]をクリックします。 | |
| 注記: Microsoft Entra IDで生成したレポートのフィルター設定は保存できず、CSV および JSON 形式でのみエクスポートできます。 |
M365 Manager Plusを使用して
Microsoft Entra IDにおける管理者のパスワード変更アラートを作成する
Microsoft Entra IDとM365 Manager Plusはどちらも監査レポートを生成できます。Microsoft Entra ID側では、管理者によるパスワード変更の監査レポートを提供しますが、管理者がユーザーパスワードを変更した際にアラート通知を行うことはできません。
M365 Manager Plusは、閾値を超えたタイミングでメール通知するカスタムアラートプロファイルを提供し、この課題を解決します。
以下の手順に従い、不適切な時間帯や異常な頻度に対するアラートを作成してください。
- M365 Manager Plusにログインし、[設定]タブ→[監査構成]→[アラートプロファイル]に移動し、[プロファイルを追加]をクリックします。
- [監査プロファイル名]と[説明]を入力します。
- [Microsoft 365サービス]で「Azure Active Directory」を選択し、[カテゴリ]として「Azure ADパスワード」を選択、[アクション]で 「ユーザーパスワードのリセット」 を選択します。
- [重大性]を指定し、[警告メッセージ]に任意のメッセージを指定します。メッセージにはマクロが使用できます。
- [詳細設定]セクションの通知タブで、[このプロフィールに対応するすべてのアラートをメールで送信]チェックボックスをオンにすると、メールアラートの送信を設定できます。
- [フィルタ設定]タブでは、特定のイベントが特定の頻度を超えて発生した際に通知するアラート閾値を設定できます。営業時間外のアラートを監視するには[業務時間のフィルタリング]を使用し、データをフィルタリングする属性ベースの条件を設定するには[列によるフィルタリング]オプションを使用します。設定後、[追加]をクリックしてください。
