Azure Entra ID監視
Azure Entra ID監視では、アプリケーションシークレットおよび証明書の有効期限、認証イベント、ならびに以下のサポートされているメトリクスに記載された各種ID/アプリケーションライフサイクル指標を可視化できます。シークレットや証明書の有効期限、およびその他のメトリクスに対して適切なタイミングでアラートを受け取れるため、認証情報を事前にローテーションし、アプリケーションの停止を防ぐことができます。
主な機能
Azure Entra ID監視では、アプリケーション、シークレット、およびその有効期限を可視化し、ID管理とアクセス管理を強化します。これにより、次のようなメリットが得られます。
- ダウンタイムの防止:クライアントシークレットの有効期限が切れる前にアラートを受信できるため、アプリケーションへの継続的なアクセスを可能にします。
- コンプライアンスの確保:有効期限を監視することで監査要件への対応がしやすくなり、ポリシー違反を回避できます。
- 先回りの運用管理:管理担当者は事前にシークレットをローテーションできるため、直前対応によるトラブルを最小限に抑えられます。
- 可視性の向上:アプリケーションと認証情報をAzureテナント全体で一元的に監視できるため、大規模環境でも容易に管理を行えます。
上記の重要なIDコンポーネントを継続的に監視することで、予期しないサービスの停止を防ぎながら、安全かつコンプライアンスに準拠した信頼性の高いアクセス管理を実現できます。
目次
前提条件
Entra ID監視用のAzureアプリケーションを作成
- https://portal.azure.comにアクセスし、アプリの登録を行える権限を持つアカウントでサインインします。
- 左側メニューから、[Microsoft Entra ID]→[追加]→[アプリを登録]をクリックします。
- アプリの名前を入力し、必要に応じて[サポートされているアカウントの種類]を選択します。
- [登録]をクリックします。
- アプリの概要ページで、後で使用するため、アプリケーション (クライアント) IDとディレクトリ (テナント) IDをそれぞれ控えておきます。
- [証明書とシークレット]→[新しいクライアントシークレット]に移動します。説明を追加し、有効期限を設定して[追加]をクリックします。
- クライアントシークレットの値は、コピーして安全な場所に保管してください。後から再表示することができません。
アプリケーションに権限を割り当てる
- 対象アプリで[APIのアクセス許可]に移動します。
- [アクセス許可の追加]→[Microsoft Graph]をクリックします。
- [アプリケーションの許可]を選択し、以下を追加します。
- アプリ登録を読み取る場合:Application.Read.All
- デバイスを読み取る場合:Device.Read.All
- グループを読み取る場合:Group.Read.All
- 組織情報を読み取る場合:Organization.Read.All
- ユーザープロファイルを読み取る場合:User.Read.All
- [アクセス許可の追加]をクリックして確定します。
- [管理者の同意を付与する]をクリックし、確認してテナント全体への同意を付与します。
- 各権限の[状態]列に[テナント名に対して付与済み]と表示されていることを確認します。
設定
Azure Entra IDサービスは、新しい監視の追加時に設定する、もしくは既存のAzure監視に追加することもできます。
- [Cloud]→[Azure]→[Microsoft Entra ID監視]横の + アイコンに移動します。
- [表示名]に、Entra ID監視の表示名を入力します。
- クライアント認証情報セクションでは、以下の項目の設定を行います。
- Azure監視を選択(または)新しい認証情報を追加:既存のAzure監視を選択すると、その監視で使用している認証情報を利用できます。新しい認証情報を入力する場合は[ + 新しい認証情報を追加]を選択します。
- テナントID:Azureのコンソールで確認したテナントIDを入力します。
- アプリケーション/クライアントID:Azureのコンソールで確認したアプリケーションIDまたはクライアントIDを入力します。
- クライアントシークレット:Azureのコンソールで取得したクライアントシークレットの値を入力します。
- クライアントシークレットの有効期限:入力したクライアントシークレットの有効期限を入力します。これにより、Site24x7は有効期限前にリマインダーを通知し、監視を途切れさせることなく継続できます。
- プロファイルの設定セクションでは、以下の項目の設定を行います。
- しきい値と可用性:該当Entra ID監視にしきい値プロファイルを選択します。既定のEntra ID監視用のしきい値プロファイルは、一般的な用途に適するようあらかじめ設定されています。
- タグ:該当Entra ID監視に割り当てるタグを選択します。
- IT自動化テンプレート:該当Entra ID監視で自動復旧アクションを実行するために、IT自動化テンプレートを選択します。
- スケジュールメンテナンス中はIT自動化を除外:スケジュールメンテナンス中にIT自動化アクションが実行されないようにする場合は、このチェックボックスにチェックを入れます。
- 監視グループへの関連付け:該当Entra ID監視を関連付ける監視グループを選択します。
- アラート設定セクションでは、以下の項目の設定を行います。
- ユーザーアラートグループ:該当Entra ID監視からのアラートを受信するユーザーアラートグループを選択します。
- オンコールスケジュール:ドロップダウンメニューにてオンコールスケジュールを選択します。
- 通知プロファイル:ドロップダウンメニューにて通知プロファイルを選択します。
- 必要に応じてサードパーティ連携を行うことで、希望するプラットフォームでアラートを受信したり、チケットを起票することができます。
- [保存]をクリックします。
サポートされているメトリクス
Entra ID監視でサポートされているメトリクスは、以下の通りです。
| 項目 | 説明 | 表示 | |
|---|---|---|---|
| サマリー | |||
| シークレットの総数 | Entra ID内のシークレットの総数 | 件数 | |
| 期限が近いシークレット(30日未満) | 30日以内に期限切れとなるシークレット数 | 件数 | |
| 期限切れのシークレット | すでに期限切れとなっているシークレット数 | 件数 | |
| 証明書の総数 | Entra ID内の証明書の総数 | 件数 | |
| 期限が近い証明書(30日未満) | 30日以内に期限切れとなる証明書の数 | 件数 | |
| 期限切れ証明書 | すでに期限切れとなっている証明書の数 | 件数 | |
| ユーザー数 | ディレクトリ内のユーザーの総数 | 件数 | |
| アプリケーション数 | 登録済みアプリケーションの総数 | 件数 | |
| デバイス数 | 登録済みデバイスの総数 | 件数 | |
| グループ数 | ディレクトリ内のグループの総数 | 件数 | |
| アプリケーション | |||
| アプリケーション名 | アプリケーションをクリックすると、対応するアプリケーション監視を表示できます。 | テキスト | |
| アプリケーションID | アプリケーションを一意に識別できる識別子 | テキスト | |
| ステータス | アプリケーションの現在のステータス | テキスト | |
| シークレットの総数 | アプリケーションに関連付けられたシークレットの総数 | 件数 | |
| 期限切れシークレット | そのアプリケーションで期限切れとなっているシークレットの数 | 件数 | |
| 証明書の総数 | アプリケーションに関連付けられた証明書の総数 | 件数 | |
| 期限切れ証明書 | アプリケーションで期限切れとなっている証明書の数 | 件数 | |
| アプリケーションシークレット | |||
| アプリケーション名 | アプリケーションをクリックすると、対応するアプリケーション監視を表示できます。 | テキスト | |
| 説明 | シークレットの説明 | テキスト | |
| シークレットID | シークレットを一意に識別できる識別子 | テキスト | |
| アプリケーションID | シークレットに関連付けられたアプリケーションの識別子 | テキスト | |
| 作成日時 | シークレットが作成された日時 | 日付または時刻 | |
| 終了日時 | シークレットの有効期限 | 日付または時刻 | |
| ステータス | シークレットの現在のステータス | テキスト | |
| 有効期限までの日数 | 有効期限までの残り日数 | 日数 | |
| アプリケーション証明書 | |||
| アプリケーション名 | アプリケーションをクリックすると、対応するアプリケーション監視を表示できます。 | テキスト | |
| 説明 | 証明書の説明 | テキスト | |
| 証明書ID | 証明書を一意に識別できる識別子 | テキスト | |
| アプリケーションID | 証明書に関連付けられたアプリケーションの識別子 | テキスト | |
| 作成日時 | 証明書が作成された日時 | 日付または時刻 | |
| 終了日時 | 証明書の有効期限 | 日付または時刻 | |
| ステータス | 証明書の現在のステータス | テキスト | |
| 有効期限までの日数 | 有効期限までの残り日数 | 日数 | |
しきい値の設定
しきい値プロファイルの関連付けは、監視の[編集]ページから行えます。
- [プロファイルの設定]→[しきい値と可用性]から、対応するしきい値プロファイルをドロップダウンで選択します。
このしきい値プロファイルに加えた変更は、関連付けられているすべての監視に適用されます。しきい値プロファイルの追加または編集は、+ アイコンまたは
アイコンから行えます。
一括での関連付け
しきい値プロファイルを一括で関連付けるには、Adminページ([管理]→[インベントリー]→[ 一括アクション]→[監視設定]内の[しきい値プロファイルの修正])へ移動します。
[しきい値と可用性]オプションを選択すると、各メトリクスのしきい値を設定できます。また、監視項目ごとにIT自動化を設定することも可能です。
個別のアプリケーションシークレットおよび証明書のしきい値を設定
- 設定するAzure Entra ID監視に移動します。
- [アプリケーション]欄で、管理したいシークレットまたは証明書を含むアプリケーションを選択します。
- 対象のアプリケーションシークレットまたはアプリケーション証明書の行の右端にあるハンバーガーアイコン
をクリックします。 - メニューから[しきい値の編集]を選択します。
- ダイアログで、期限切れ前の警告しきい値、重大しきい値(例:30日前と7日前)を設定し、[保存]をクリックします。
Entra ID監視レベルで設定したしきい値はグローバル設定となり、その監視で検出されたすべてのシークレットと証明書に適用されます。
IT自動化
Site24x7は、パフォーマンス低下の問題を自動的に解決するための独自の IT オートメーション機能を提供しています。これらの機能は、手動対応を待つのではなく、イベントに対して事前に反応します。
設定ルール
設定ルールを使用すると、しきい値プロファイル、通知プロファイル、タグ、監視グループなどのパラメーターを複数の監視にまとめて設定できます。これらのルールは、条件に一致する既存の監視、または新規で追加した監視に対して設定・実行できます。