サインインログ

ユーザーやアプリケーションがEntra IDを通じて認証した際のログ情報のことです。
主なログ情報は以下の通りです。

  • ユーザー名とサインイン時刻
  • クライアントIPアドレス
  • デバイス情報、ブラウザ、OS
  • サインインの成功/失敗
  • 条件付きアクセスの適用状況
  • MFAの利用有無
  • 地理的位置(IPジオロケーション)

すなわち、サインインに関するあらゆる情報が詰まったログということです。

どこで確認できるのか

Microsoft Entra 管理センターの「監視と正常性」>「サインインログ」で確認可能です。

JSONもしくはCSVでログをダウンロードすることもできます。

ログの活用方法

  • 不正なサインインの検出
    • 地理的に異常な場所からのアクセス(例:東京在住のユーザーが突然ロシアからログイン)
    • 異常な移動(例:東京からログインした5分後にアメリカからログイン)
  • ユーザーからの「ログインできない」問い合わせ対応
    • サインインログで失敗理由を確認し、原因特定とサポート対応を迅速化
    • よくある失敗理由の例:
      • パスワード間違い
      • MFA未登録または失敗
      • 条件付きアクセスによりブロック(例:非準拠デバイス)
      • サインイン許可されていないアプリからのアクセス

監査ログ

Entra ID内で発生した構成変更や管理操作が記録されたログ情報のことです。
主なログ情報は以下の通りです。

  • ユーザーアカウントの作成・削除・更新
  • グループやロールの変更
  • アプリケーションの追加・構成変更
  • 条件付きアクセスのポリシー変更
  • 管理者の操作履歴

どこで確認できるのか

Microsoft Entra 管理センターの「監視と正常性」>「監査ログ」で確認可能です。

サインインログと同様にJSONもしくはCSVでログをダウンロードすることができます。

ログの活用方法

  • 管理者の不正な操作の検知
    • ユーザーアカウントの意図しない追加/削除を検知など
  • 監査対応・証跡提出
    • ISMS、SOC2、GDPRなどの監査に必要な運用証跡の提示
    • 具体例:
      • 「管理者ロールを付与・削除した操作履歴を3ヶ月分出してください」
      • 「アクセス制御ポリシーの設定変更履歴を確認したい」

ログ保持期間

Entra IDのプランによって異なっており、サインインログ、監査ログともに以下のようになっています。(2025年6月1日現在)

  • Entra ID Free:7日間
  • Entra ID P1, P2:30日間

詳細は以下の公式ドキュメントをご確認ください。
Microsoft Entra データリテンション期間

最後に

今回は、Entra IDで取得できるログであるサインインログと監査ログについて解説しました。
それぞれのログはEntra ID環境を安全に運用する上で欠かせない、セキュリティとガバナンスの証拠かつ警告灯です。

サインインログは、ユーザーや攻撃者がどのように認証を試みたかの履歴を、
監査ログは、管理者やシステムが何を操作・変更したかの履歴を示しています。

これらのログを定期的にチェックしない・活用しないまま放置していると、以下のような重大リスクを見逃す可能性があります:

  • 不正アクセスの兆候(例:海外からの不審なサインイン)
  • 意図しない設定変更(例:誰かが条件付きアクセスを無効化していた)
  • 内部不正や管理者の誤操作

つまり、「ログは取得しているから安心」ではなく、「ログを“見て気づき、動ける体制”があること」が本当の意味での安心につながります。

Entraの管理担当者はこれらのログを「何かあった時だけ見るもの」ではなく、“日常的に確認すべき資産”として扱う意識を持つことが重要です。

しかしながら、これらのログを日常的に確認したとしても、セキュリティに対する専門知識がないと何をすればいいか見当もつかないケースも多いです。

そのため、継続的かつ実効性のあるセキュリティ対策を行うには、専門チームによる運用体制(SOC)が欠かせません。

当社では、Microsoft 365をご利用の企業様向けにSOCサービスをご提供しており、Entraを含むMicrosoft環境の監視・運用を全面的にサポートします。

さらに、Microsoft 365以外にも以下のセキュリティ製品に対応しており、複数の製品を統合的に監視・運用することで、貴社のセキュリティ体制をより強固なものにいたします。

・WAF(AWS WAF, Azure WAF等)
・EDR(Cybereason, CrowdStrike等)
・SaaS(Slack, Dropbox等)
・Firewall(Fortigate,Meraki等)
・PC操作ログ(SKYSEA Client View, LANSCOPE Endpoint Manager等)

セキュリティの運用負担を減らしながら、より強固な防御を実現したい企業様は、ぜひ「Colorkrew Security」の導入をご検討ください。