次の方法で共有

Microsoft Entra ID のサインイン診断とは

失敗したサインインの理由を特定することは、たちまち難しい作業になるおそれがあります。 サインインの試行中に何が起こったかを分析し、問題を解決するために利用できる推奨事項を調査する必要があります。 Microsoft サポートなど他の組織を関与させずに問題を解決するのが理想的です。 このような状況にある場合は、Microsoft Entra ID のサインイン診断を使用できます。これは、Microsoft Entra ID でのサインインを調査するのに役立つツールです。

この記事では、サインイン診断の概要と、それを使用してサインインに関連したエラーのトラブルシューティングを行う方法について説明します。

前提条件

  • サポート リクエストからのサインイン診断を使用したり、問題を診断して解決したりするのに最低限必要な特権ロールは、課金管理者です。
  • サインイン ログからサインイン診断を使用するには、レポート閲覧者も必要です。
  • タスクごとの最小特権ロールについては、ロールの完全な一覧を参照してください。
  • フラグが設定されたサインイン イベントは、サインイン診断から確認することもできます。
    • フラグが設定されたサインイン イベントは、ユーザーがサインイン エクスペリエンスでフラグを有効にしたにキャプチャされます。
    • 詳細については、「フラグが設定されたサインイン」を参照してください。

それはどのように機能しますか?

Microsoft Entra ID では、サインインの試行は次により制御されます。

  • サインインの試行の実行者
  • サインインの試行の実行方法

たとえば、管理者が企業ネットワークからのサインイン時にテナントのすべての側面を構成することを可能にする条件付きアクセス ポリシーを構成できます。 ただし、同じユーザーでも、信頼されていないネットワークから同じアカウントを使用してサインインした場合はブロックされることがあります。

サインインの試行に応答するシステムの柔軟性が高いことから、最終的に、サインインのトラブルシューティングが必要なシナリオに行き着く場合があります。サインイン診断ツールでは、次を実行することでサインインの問題を診断できます。

  • サインイン イベントとフラグが設定されたサインインからのデータを分析する。
  • 発生したことに関する情報を表示する。
  • 問題を解決するための推奨事項を示す。

サインイン診断にアクセスする方法

Microsoft Entra ID のサインイン診断にアクセスする方法は 3 つあります。 各方法についてはタブを選択して確認してください。

Microsoft Entra ID の [問題の診断と解決] 領域からサインイン診断を開始できます。 [問題の診断と解決] から、フラグが設定されたサインイン イベントを確認したり、特定のサインイン イベントを検索したりできます。 このプロセスは、条件付きアクセスの [問題の診断と解決] 領域から開始することもできます。

  1. Microsoft Entra 管理センターグローバル閲覧者以上としてサインインします。

  2. 左側のナビゲーションの上部にある [問題の診断と解決] に移動します。

    左側のナビゲーションの [問題の診断と解決] のスクリーンショット。

    • [条件付きアクセス]、[ユーザー]、[グループ]、[ID 保護]、[多要素認証] からも [問題の診断と解決] にアクセスできます。

  3. [サインイン診断] タイルの [トラブルシューティング] リンクを選択します。

    [サインイン診断] タイルのスクリーンショット。

  4. [すべてのサインイン イベント] タブを選択して検索を開始します。

    • 場合によっては、システムはフラグが設定されたサインイン イベントの検索を自動的に開始します。 何も見つからない場合は、[すべてのサインイン イベント] タブにリダイレクトされます。

  5. 検索フィールドにできるだけ多くの詳細を入力します。

    • ユーザー: サインインを試行したユーザーの名前またはメール アドレスを指定します。
    • アプリケーション: アプリケーションの表示名またはアプリケーション ID を指定します。
    • correlationId または requestId: これらの詳細は、エラー レポートまたはサインイン ログの詳細で確認できます。
    • 日付と時刻: 48 時間以内に発生したサインイン イベントを検索するには、日付と時刻を指定します。

  6. [次へ] ボタンを選択します。

  7. 結果を確認し、必要に応じてアクションを実行します。

診断結果の使い方

サインイン診断による検索が完了すると、画面にいくつかの項目が表示されます。

[認証の概要] には、指定した詳細に一致するすべてのイベントが一覧表示されます。 表示される列を変更するには、概要の右上隅にある [列の表示] オプションを選択します。

[認証の概要] のスクリーンショット。

[診断結果] には、サインイン イベント中に何が起こったかが示されます。

  • シナリオには、条件付きアクセス ポリシーからの MFA 要件、条件付きアクセス ポリシーの適用が必要になる可能性のあるサインイン イベント、過去 48 時間以内に多数のサインイン試行が失敗したことなどが含まれる可能性があります。

  • 関連コンテンツやトラブルシューティング ツールへのリンクが提供される場合があります。

  • 結果を読み、実行できるアクションを特定します。

  • 必ずしも追加の支援なしで問題を解決できるとは限らないため、サポート チケットを開くことが推奨される場合もあります。

    シナリオの診断結果のスクリーンショット。

一般的なシナリオ

サインイン診断によって役立つトラブルシューティング情報が得られる一般的なシナリオについては、次のセクションのヒントを確認してください。

条件付きアクセス

条件付きアクセス ポリシーを使用して、必要に応じて適切なアクセス制御を適用して組織のセキュリティを維持します。 条件付きアクセス ポリシーはリソースへのアクセスを許可またはブロックするために使用できるため、サインイン診断に表示されることがよくあります。

多要素認証

サインイン診断ツールを使用してトラブルシューティングできる多要素認証 (MFA) 関連イベントがいくつかあります。

  • 他の要件による MFA: 結果に条件付きアクセス以外の要件からの MFA が表示された場合は、ユーザーごとに MFA が有効になっている可能性があります。 ユーザーごとの MFA を条件付きアクセスに変換することをお勧めします。 サインイン診断では、MFA の中断の原因と対話の結果に関する詳細が提供されます。

  • MFA の "追加のセキュリティ確認": MFA によってサインイン試行が中断されたため、診断結果に "追加のセキュリティ確認" に関する情報が提供されます。 このエラーは、ユーザーが初めて MFA を設定する際に設定を完了しなかった場合、または事前に構成が設定されていなかった場合に表示されます。

    MFA の追加のセキュリティ確認の診断結果を示すスクリーンショット。

  • 資格情報の一致および不一致: ユーザーが間違った資格情報を入力する場合があります。 サインイン診断ツールは、人的ミスとその他の問題を区別するのに役立ちます。

  • サインインの成功: サインイン イベントが条件付きアクセスまたは MFA によって中断されていないかどうかを確認したい場合がありますが、本来は中断されるべきです。 サインイン診断ツールは、中断されるべきなのに中断されていないサインイン イベントに関する詳細情報を提供します。

  • ロックされたアカウント: ユーザーが間違った資格情報を使用して何度もサインインを試行しました。 診断結果は、サインイン試行がどこから行われているか、またそれが正当なユーザー サインイン試行であるかどうかを判断するのに役立ちます。 アプリ、試行回数、使用されたデバイス、オペレーティング システム、IP アドレスなどの詳細が提供されます。 詳細については、「Microsoft Entra スマート ロックアウト」を参照してください。

  • 無効なユーザー名またはパスワード: ユーザーが無効なユーザー名またはパスワードを使用してサインインしようとすると、サインイン診断によって、アプリ、試行回数、使用されたデバイス、オペレーティング システム、IP アドレスに関する詳細が提供されます。 この情報は、ユーザーが間違った資格情報を入力したかどうか、またはアプリケーションが古いパスワードをキャッシュして再送信しているかどうかを判断するのに役立ちます。

エンタープライズ アプリ

エンタープライズ アプリケーションでは、ID プロバイダー (Microsoft Entra ID) アプリケーションの構成またはサービス プロバイダー (アプリケーション サービス。SaaS アプリケーションとも呼ばれる) の構成で問題が発生する可能性があります。

  • エンタープライズ アプリ サービス プロバイダー: サインイン フローのサービス プロバイダー (アプリケーション) 側の問題が原因でサインインに失敗した場合は、アプリケーション サービスの問題を修正することで問題は解決されます。 他のサービスにサインインし、診断ガイダンスに従っていくつかの構成を変更する必要があります。

  • エンタープライズ アプリの構成: アプリケーションの Microsoft Entra ID 側の構成の問題が原因でサインインに失敗した場合は、エンタープライズ アプリケーションでアプリケーションの構成を確認して更新する必要があります。

セキュリティの既定値群

セキュリティの既定の設定により、サインイン イベントが中断される可能性があります。 セキュリティの既定値群により、組織にベスト プラクティスのセキュリティが適用されます。 ベストプラクティスの 1 つは、パスワード スプレー、リプレイ攻撃、フィッシング攻撃が成功しないように MFA を構成して使用することを必須にすることです。

詳細については、「セキュリティの既定値群とは」を参照してください。

エラー コードの分析情報

サインイン診断でイベントにコンテキスト分析が含まれていない場合、更新されたエラー コードの説明と関連する内容が表示されることがあります。 エラー コードの分析情報には、シナリオに関する詳しいテキスト、問題の修復方法、問題に関するコンテンツなどが含まれています。

レガシ認証

このシナリオには、クライアントがレガシ (または Basic) 認証を使用しようとしたためにブロックまたは中断されたサインイン イベントが含まれます。

セキュリティのベスト プラクティスとして、レガシ認証によるサインインは避けることをお勧めします。 POP、SMTP、IMAP、MAPI などのレガシ認証プロトコルでは MFA を適用できないため、攻撃者が組織を攻撃するための好まれるエントリ ポイントになります。

詳細については、条件付きアクセスを使用して Microsoft Entra ID へのレガシ認証をブロックする方法に関する記事をご覧ください。

条件付きアクセスが原因でブロックされた B2B サインイン

この診断シナリオでは、ユーザーが別の組織に属しているためにブロックまたは中断されたサインインを検出します。 たとえば、条件付きアクセス ポリシーによりクライアントのデバイスがリソース テナントに参加していることが要求される B2B サインインなどです。

詳細については、「B2B コラボレーション ユーザーの条件付きアクセス」を参照してください。

リスク ポリシーによるブロック

このシナリオでは、サインイン試行が危険であると識別されたため、リスクベースの条件付きアクセス ポリシーによってサインイン試行がブロックされます。

詳細については、リスク ポリシーを構成して有効にする方法に関するページを参照してください。

パススルー認証

パススルー認証はオンプレミスとクラウド認証テクノロジを統合したものであるため、問題がある場所を特定するのが困難な場合があります。 この診断は、これらのシナリオを簡単に診断して解決できるようにすることを目的としています。

この診断シナリオでは、使用されている認証方法がパススルー認証 (PTA) であり、PTA 固有のエラーがある場合に、ユーザー固有のサインインの問題を識別します。 他の問題が原因のエラー (PTA 認証が使用されている場合でも) も正しく診断されます。

診断結果には、失敗とユーザーのサインインに関するコンテキスト情報が表示されます。 結果には、サインインが失敗した他の理由や、問題を解決するために管理者が実行できる推奨アクションが表示される場合があります。 詳細については、Microsoft Entra Connect: パススルー認証のトラブルシューティングに関するページを参照してください。

シームレス シングル サインオン

シームレスなシングル サインオンでは、Kerberos 認証とクラウド認証が統合されます。 このシナリオには 2 つの認証プロトコルが関与するため、サインインの問題が発生したときに、障害点の把握が困難な場合があります。 この診断は、これらのシナリオを簡単に診断して解決できるようにすることを目的としています。

この診断シナリオでは、サインイン失敗のコンテキストと具体的な失敗の原因を調べます。 診断結果には、サインイン試行に関するコンテキスト情報や、管理者が実行できる推奨アクションが含まれる場合があります。 詳細については、「Microsoft Entra シームレス シングル サインオンのトラブルシューティング」を参照してください。

関連するコンテンツ

  • Last updated on