次の方法で共有

Microsoft Entra の対話型ユーザー サインインとは

Microsoft Entra の監視と正常性には、テナントの正常性を監視するのに役立ついくつかの種類のサインイン ログが用意されています。 対話型ユーザー サインインは、Microsoft Entra 管理センターの既定のビューです。

対話型ユーザー サインインとは

対話型サインインは、ユーザー "によって" 実行されます。 これにより Microsoft Entra ID に認証要素が提供されます。 その認証要素は、Microsoft Authenticator アプリなどのヘルパー アプリと連携することもできます。 ユーザーは、Microsoft Entra ID またはヘルパー アプリに対して、パスワード、MFA チャレンジへの応答、生体認証要素、または QR コードを提供できます。 このログには、Microsoft Entra ID と連携している ID プロバイダーによるフェデレーション サインインも含まれます。

対話型ユーザー サインイン ログのスクリーンショット。

ログの詳細

次の例は、対話型ユーザー サインイン ログでキャプチャされた情報の種類を示しています。

  • ユーザーが Microsoft Entra サインイン画面でユーザー名とパスワードを入力する。
  • ユーザーが SMS MFA チャレンジを渡します。
  • ユーザーが、Windows Hello for Business で Windows PC のロックを解除するための生体認証ジェスチャを提供します。
  • ユーザーが AD FS SAML アサーションを使用して Microsoft Entra ID にフェデレーションする。

対話型サインイン ログには、既定のフィールドに加えて、次の情報も表示されます。

  • サインインの場所
  • 条件付きアクセスが適用されたかどうか
  • テナント間アクセスの詳細 (ホームテナント ID やリソース テナント ID など)

サインイン ログのエントリはシステムによって生成されるため、変更または削除することはできません。

特別な注意事項

ダウンストリーム テナント リソースへのパートナー アクセス

対話型サインイン ログには、パートナーがダウンストリーム テナントのリソースにアクセスするタイミングに関する詳細が含まれるようになりました。 クロス テナント アクセスの種類ホーム テナント ID、リソース テナント ID の列を確認すると、既定で表示されるようになりました。パートナーがダウンストリーム テナント リソースにログインするタイミングを確認できます。

  • [クロス テナント アクセスの種類] 列でサービス プロバイダーをフィルター処理して、パートナーのサインインに関連するイベントを分離します。
  • [ホーム テナント ID] 列と [リソース テナント ID] 列の詳細を比較して、パートナーのテナントからダウンストリーム テナントへのサインインを特定します。

対話型サインイン ログでの非対話型サインイン

以前は、可視性を向上するために、一部の非対話型サインインが対話型ユーザー サインイン ログに含まれていました。 2020 年 11 月に非対話型ユーザー サインイン ログが導入される前は、この可視性の向上が必要でした。 FIDO2 キーを含む非対話型サインインは、技術的に非対話型であったとしても、以前は対話型サインインとしてマークされていました。 2025 年 4 月 11 日の時点で、FIDO2 キーを使用して更新トークンを取得するすべての新しいサインインが非対話型サインイン ログに記録されるようになりました。

パススルー サインイン

Microsoft Entra ID により、認証と認可のためのトークンが発行されます。 状況によっては、Contoso テナントにサインインしているユーザーが、アクセス権のない Fabrikam テナント内のリソースにアクセスしようとする場合があります。 パススルー トークンと呼ばれる承認なしトークンが Fabrikam テナントに発行されます。 パススルー トークンでは、ユーザーがリソースにアクセスすることはできません。

以前は、この状況のログを確認すると、ホーム テナント (このシナリオでは Contoso) のサインイン ログには、サインイン試行は表示されませんでした。これは、"トークンがクレームを使用してリソースへのアクセスを許可していなかった" ためです。 サインイン トークンは、適切なエラー メッセージを表示するためにのみ使用されました。

パススルー サインインの試行が、ホーム テナントのサインイン ログと関連するテナント制限のサインイン ログに表示されるようになりました。 この更新により、ユーザーからのユーザー サインイン試行の可視性が向上し、テナント制限ポリシーに関するより深い分析情報が得られます。

crossTenantAccessType プロパティには、パススルー サインインを区別するための passthrough が表示されるようになり、Microsoft Entra 管理センターと Microsoft Graph で使用できます。

ファーストパーティーのアプリ専用サービス プリンシパル サインイン

サービス プリンシパル サインイン ログには、ファーストパーティーのアプリ専用サインイン アクティビティは含まれません。 この種類のアクティビティは、ファーストパーティー アプリで、ユーザーからの指示やコンテキストがない内部 Microsoft ジョブのトークンを取得するときに発生します。 これらのログは除外されるため、テナント内の内部 Microsoft トークンに関連するログに対して料金を支払うことはありません。

MicrosoftGraphActivityLogs を使用して SignInLogs を同じ Log Analytics ワークスペースにルーティングする場合、サービス プリンシパル サインインに関連しない Microsoft Graph イベントが特定される可能性があります。 この統合により、Microsoft Graph API 呼び出しのために発行されたトークンをサインイン アクティビティと相互参照できるようになります。 サインイン ログの UniqueTokenIdentifier と Microsoft Graph アクティビティ ログの SignInActivityId は、サービス プリンシパル サインイン ログにはありません。

条件付きアクセス

条件付きアクセスのサインインに、[適用されていません] が示される場合、その意味を解釈するのは困難な場合があります。 サインインが中断された場合、そのサインインはログに表示されますが、条件付きアクセスの [適用されていません] が表示されます。 もう 1 つのよくあるシナリオは、Windows Hello for Business へのサインインです。 ユーザーが条件付きアクセスによって保護されているクラウド リソースではなく、デバイスにサインインしているため、このサインインには条件付きアクセスが適用されません。

TimeGenerated フィールド

サインイン ログを Azure Monitor ログと Log Analytics と統合している場合、ログの TimeGenerated フィールドがサインインの発生時刻と一致していないことに気付く場合があります。 この不一致は、ログが Azure Monitor に取り込まれる方法が原因です。 TimeGenerated フィールドは、サインインが発生した時刻ではなく、Log Analytics によってエントリが受信および発行された時刻です。 ログの CreatedDateTime フィールドには、サインインが発生した時刻が表示されます。

同様に、危険なサインイン イベントは、サインインが発生したときではなく、危険なイベントが検出された時刻として TimeGenerated も表示されます。 実際のサインイン時間を調べるには、CorrelationId を使用してログでサインイン イベントを見つけ、サインイン時間を見つけることができます。