Microsoft Entra IDにおけるサインインレポートをカスタム作成する方法
効果的なアイデンティティおよびアクセス管理は、あらゆる組織にとって不可欠な要素です。Microsoft Entra ID(旧称:Azure Active Directory)は、クラウドベースのIAM(Identity and Access Management)ソリューションとして、ユーザー管理、アクセス権の割り当て、アクティビティの監視などを包括的に提供します。
Microsoft Entra IDを最大限に活用するためには、標準レポートだけでなく、より高度な分析ニーズに対応できるカスタムレポートの作成が重要となります。
カスタムレポートを作成することで、ユーザーの行動やアクセス傾向、セキュリティ指標をより深く分析でき、セキュリティ強化や運用効率向上のための判断材料を得ることが可能になります。これらのレポートでは、サインイン活動やアプリケーションの利用状況など、組織にとって重要なデータポイントを詳細に可視化し、特定のニーズに応じてカスタマイズすることができます。
しかし、Microsoft Entra IDで提供されるフィルターは非常に限定的であり、正確な値の指定が必要となります。そのため、複数条件に基づくデータ抽出には不向きであり、操作性も高いとは言えません。さらに、レポートを生成するたびにこれらのフィルターを毎回作成する必要があり、日常的にレポートを確認する場合には煩雑になりがちです。
ManageEngine M365 Manager Plusは、Microsoft 365環境におけるレポート作成、管理、監視、監査、重要なアクティビティに対するアラート生成を一元的に行う総合ツールです。このツールを活用することで、Microsoft Entra ID用のカスタムレポートも作成可能となり、アプリケーションやユーザーごとのサインインレポートを柔軟に生成できます。
また、異常なサインインに対するアラート設定や、レポートを毎日自動送信するスケジュール機能も利用できます。
Microsoft Entra IDとM365 Manager Plusを連携してカスタムサインインレポートを作成する手順について、以下で詳しく説明します。
(このナレッジは本社ページHow to create custom sign-in reports in Entra IDを参照して作成しています。)
Entra IDとM365 Manager Plus を使用したカスタムサインインレポートの作成
以下の表は、Microsoft Entra管理センターとM365 Manager Plusを使用した際のカスタムサインインレポートを作成する方法の比較です。
| Microsoft Entra管理センター | M365 Manager Plus |
|---|---|
| 監理者ロールが割り当てられているアカウントでMicrosoft Entra 管理センターにサインインします。 | M365 Manager Plus にログインし、[レポート]→[Azure Active Directory]→[ その他の Azureレポート]に移動し、[Azure AD ログオン活動]を選択します。 |
| [ID]→[ユーザー]に移動します。 | [フィルター] フィールドで Microsoft 365 テナント、特定のドメインおよびグループを選択し、「今すぐ生成」をクリックします。 |
| 左ペインの[サインイン ログ]をクリックすると、ユーザーのサインイン履歴を確認できます。 | フィルターアイコンをクリックし、最初のドロップダウンで[インタラクティブです]を選択し、2番目のドロップダウンで[等しい(Equals)]を選択し、3番目のドロップダウンで[False]を選択します。[フィルター]をクリックし、結果を確認します。 |
| [ユーザーのサインイン(非対話型)]をクリックすると、アプリケーションのサインイン履歴を確認できます。また、新しい[アプリケーション認証情報アクティビティ]レポートを使用すると、アプリケーションの表示名とともにこのデータを取得することも可能です。 | このアプリケーションのサインイン構成を別のレポートとして保存したい場合は、[新しいレポートとして保存] をクリックし、レポート名 と 説明 を入力して[保存]をクリックします。 保存されたレポートは、[自分のレポート] → [カスタム レポート] からいつでも生成できます。 |
| [フィルターの追加]をクリックして、特定のアプリケーション、ユーザー、デバイス、その他の条件に基づいてレコードを絞り込みます。 | |
| 注記:Microsoft Entra IDで生成したレポートのフィルター設定は保存できません。また、これらの設定は CSV および JSON形式でのみエクスポート可能です。 |
Microsoft Entra IDの不審なサインインに対するアラートの作成
Microsoft Entra IDとM365 Manager Plusのどちらも、カスタムサインインレポートを生成することができます。しかし、サインインレポートの目的はセキュリティ侵害の試みを検知することであり、攻撃発生後、時間が経過してからの確認作業は有効な方法とは言えません。
Microsoft Entra IDでは、高リスクユーザーによるログイン試行があった場合にアラートを受け取ることができます。しかし、通常は低リスクとされるユーザーのアカウントであっても、侵害される可能性はあります。このようなユーザーでも、通常とは異なる時間帯にログインしたり、想定以上の頻度でログインするケースがあります。Microsoft Entra IDではこれらの状況に対してアラートは生成されません。
M365 Manager Plusには、このような課題に対応するためのカスタムアラートプロファイル機能が備わっており、設定したしきい値を超えた場合に、即座にメールでアラートを受け取ることができます。以下の手順に従い、不審な時間帯や異常なログイン頻度に対するアラートを設定してください。
- M365 Manager Plusにログインし、[設定]→[監査設定]→[アラートプロファイル] に移動して、[プロファイルを追加] をクリックします。
- アラート用のプロファイル名と説明を入力します。
- [Microsoft 365サービス]として「Azure Active Directory」を選択し、[カテゴリ]として「Azure STSのログオン」、[アクション]では「失敗したユーザーログイン」を選択します。(不適切なタイミングでのログイン成功についてもアラートを受け取りたい場合は、「成功したログイン」を選択していただくことも有効です。)
- [重大性]を指定し、[警告メッセージ]に任意のメッセージを指定します。メッセージにはマクロが使用できます。
- [詳細設定]セクションの通知タブで、[このプロフィールに対応するすべてのアラートをメールで送信]チェックボックスをオンにすると、メールアラートの送信を設定できます。
- [フィルタ設定]タブの「アラートしきい値」では、特定のイベントが特定の頻度を超えて発生した際に通知するアラートしきい値を設定できます。営業時間外のアラートを監視するには[業務時間のフィルタリング]を使用し、データをフィルタリングする属性ベースの条件を設定するには[列によるフィルタリング]オプションを使用します。設定後、[保存]をクリックしてください。
Microsoft Entra IDのサインインに関するカスタムレポートを生成するスケジュールの設定
- M365 Manager Plusにログインし、「レポート」に移動して、[スケジュールされたレポート]を選択します。
- [スケジュールの作成]をクリックします。
- [スケジューラ名]を入力し、[Microsoft365のテナント]を選択します。
- [Microsoft 365サービス]ドロップダウンから [私のレポート] を選択し、以前に作成したレポートを選択します。
- 表示されたポップアップ画面で、データを生成する期間を設定できます。さらに[他のオプション]をクリックすると、レポートの追加フィルタリングや[ファイル名をエクスポート]をマクロを用いてカスタマイズ設定することも可能です。
- [実行スケジュール済み]ドロップダウンを使用してスケジュールを設定します。
- [エクスポート形式]ドロップダウンから、レポートをメールで送信する際の形式を選択します。また、[保存先パス]を設定することで、レポートをローカルに保存することも可能です。
- [通知設定]ドロップダウンで、[すべてのレポートを通知]を選択します。
- レポートをメールで受信したい場合は、[通知テンプレートを選択]を使用してメール形式を選択してください。このオプションは、メールサーバーの設定が完了している場合にのみ利用可能です。
- [保存]をクリックします。
