Entra ID(旧Azure AD)監査ログと Microsoft Purview 監査ログは役割が異なります。本記事では双方の特徴、取得できるログの例、実務での使い分けまでをまとめました。
- Entra ID(Azure AD)監査ログとは?
- Entra ID の監査ログの主な機能は?
- Microsoft Purview の監査ログとは?
- Entra ID と Purview の違い
- 管理者はどう使い分けるべきか?
Entra ID(Azure AD)監査ログとは?
Entra ID の監査ログは、ディレクトリ設定や ID 周りの変更を記録するログです。ユーザー・グループ・ロール・アプリ登録・MFA やデバイス登録など、ID 管理(構成)に関する操作の履歴取得に向いています。
主な記録内容
-
ユーザーの追加・削除
-
グループの作成・メンバー変更
-
管理者ロールの付与/削除
-
アプリケーション登録・更新
-
MFA 設定の変更、デバイス登録の有効化/無効化
ログで確認できる詳細情報
-
発生日時
-
操作の種類(例:ユーザー追加、グループ更新)
-
実行者(Actor)と対象リソース
-
成否ステータス
-
変更前後の値(属性変更の場合)
-
Correlation ID(トラブルシューティング用)
最低限必要なロール(権限)
- Reports Reader(監査ログの閲覧のみ)
- Security Reader(セキュリティ関連ログの閲覧)
- Security Administrator(セキュリティ設定の変更も可能)
- Global Reader(全体の読み取り権限)
保持期間はライセンスによって変わります。無料でのデフォルトは短め(例:7 日)、有料プランで延長可能です。
Entra ID の監査ログの主な機能は?
1. ユーザー関連の変更追跡
- ユーザーの追加・削除・属性変更
- パスワードリセットや変更履歴
- MFA設定や認証ポリシーの更新
2. グループ管理の監査
- グループの作成・削除
- 所有者やメンバーの変更
- ライセンス付与や削除
3. アプリケーションとサービスプリンシパル
- アプリ登録・削除・更新
- サービスプリンシパルの権限変更
- 名前や属性の変更
4. カスタムセキュリティ属性
- 属性セットの追加・更新
- ユーザーへの属性値割り当て
5. 高度なガバナンス操作
- アクセスレビュー(Entra ID Governance)
- Privileged Identity Management (PIM) のロール割り当て監査
- ポリシー変更(リスクベースMFA、サインインリスクポリシー)
Microsoft Purview の監査ログとは?
Microsoft Purview(監査)は、Microsoft 365 全体を横断する統合監査プラットフォームです。メール、Teams、SharePoint、OneDrive、Exchange、Power Platform、Defender など多数のサービスのユーザー操作を記録できます。
主な記録範囲
- Outlook のメール送受信・削除操作
- Teams のメッセージ・会議・チーム作成
- SharePoint / OneDrive のファイル閲覧・ダウンロード・共有
- Power Automate のフロー実行
- 一部の Entra ID 操作(統合されたイベント)
Purview のログ保持期間はライセンスで大きく変わります。E5 ライセンスでは標準で長期間(例:365 日)保存されるなど、情報漏えい対策やコンプライアンス監査で有利です。
Entra ID と Purview の違い
| 項目 | Entra ID 監査ログ | Purview 監査ログ |
|---|---|---|
| 対象範囲 | Entra ID(ID・グループ・認証設定等) | Microsoft 365 全体(メール、Teams、SharePoint など) |
| 取得できる内容 | ユーザー/グループ/ロールの変更、アプリ登録など(構成変更) | メール操作、ファイル操作、Teams 操作など(ユーザー行動) |
| 用途 | 設定変更・ID 管理の追跡 | 情報漏えい調査・コンプライアンス対応 |
| 保持期間(標準) | 無料: 短期間(例: 7 日)、有料で延長 | E3: 180 日相当、E5: 365 日など(プランに依存) |
| 粒度 | 構成変更が中心(誰が設定を変えたか) | ユーザー操作の細かい証跡(何をしたか) |
Entra ID 監査ログでできること
- 管理者ロール付与の監査(誰が誰に付与したか)
- アプリ登録や証明書の変更履歴の確認
- MFA 設定や条件付きアクセスの変更確認
- 構成変更が原因の障害調査
Purview 監査ログでできること
- 退職者や特定ユーザーの OneDrive/SharePoint のファイル操作の追跡
- Teams のチャットやファイルのやり取り確認(証跡取得)
- Outlook の削除や転送などの操作確認
- 社外共有やダウンロードのタイムライン調査
保持期間とライセンス
- Entra ID監査ログ:保持期間は無料プランだと7 日。Premium P1/P2で最大 90 日に延長可能。
- Purview監査ログ:
Standard(E3など):最大180日
Premium(E5):最大1年(さらに10年まで延長可能、追加ライセンス必要)
管理者はどう使い分けるべきか?
- 設定変更を追いたい : Entra ID の監査ログを確認
- ユーザー行動を横断的に調べたい : Purview(監査)を使う
両方を連携して運用すると、設定変更とユーザー行動を突合できるため、より精度の高いインシデント対応が可能になります。
例として、あるファイルが外部へ流出した場合、Purview でファイルのダウンロードや共有を追い、Entra ID でその時点の権限変更や管理者操作をチェックするといった流れです。
Entra ID監査ログを重視すべきケース
- ID管理や認証の変更履歴を追跡する必要がある場合。
- MFA設定変更、アプリ登録、権限付与などのセキュリティ監査が重要な場合。
- 主にIAM(Identity and Access Management)監査が目的。
Purview監査ログを重視すべきケース
- コンプライアンス要件(GDPR、金融規制など)でユーザー操作全体の証跡が必要。
- 電子証拠開示(eDiscovery)、内部不正調査、データ漏えい対策を行う場合。
- Microsoft 365サービス全体の操作監査が必要。
