none
監査ログに表示される「ServicePrincipal~」が誰なのか判明させたい RRS feed

  • 質問

  • Office365のセキュリティ/コンプライアンスの監査ログでゲストユーザーを登録した履歴を取得するために、「ユーザー管理」アクティビティの「ユーザーの追加」でログを取得したところ、ゲストユーザーを登録したユーザー名が「ServicePrincipal~」と表示され、実際に誰がユーザーを登録したか判明できませんでした。

    マイクロソフトサポートへ問い合わせたところ、Azure Active Directory からユーザーが追加されているとの情報がありました。

    この「ServicePrincipal~」が実際に誰の操作で行われたものなのか確認する方法を教えてください。

    よろしくお願いいたします。

    2019年11月21日 2:58

すべての返信

  • 45丁稚さん、こんにちは。フォーラムオペレーターのクモです。
    MSDNフォーラムにご投稿くださいましてありがとうございます。

    返事遅くなりまして、申し訳ございません。

    ServicePrincipalを作成したユーザーを確認することができます。
    その前に、ディレクトリ監査というドキュメントをご覧になってください。。

    そして、次のスクリーンショットをご参照ください。

    どうぞよろしくお願いいたします。 

    MSDN/ TechNet Community Support Kumo ~参考になった投稿には「回答としてマーク」をご設定ください。なかった場合は「回答としてマークされていない」も設定できます。同じ問題で後から参照した方が、情報を見つけやすくなりますので、 ご協力くださいますようお願いいたします。また、MSDNサポートに賛辞や苦情がある場合は、MSDNFSF@microsoft.comまでお気軽にお問い合わせください。~

    2019年11月29日 8:24
    モデレータ
  • クモさん

    ご回答ありがとうございます。

    頂いたディレクトリ監査のドキュメントを確認したのですが、知識不足で何をすればいいのか分かりませんでした。

    これは、自テナントのazureポータルから画面操作で可能なものでしょうか?

    それともPowerShellのようなコマンドベースで実施するものなのでしょうか?

    まさに丁稚レベルで申訳ないのですが、ご教示のほど宜しくお願いいたします。

    2019年12月3日 1:21
  • 45丁稚さん、こんにちは。フォーラムオペレーターのクモです。
    ご返信いただきありがとうございます。

    PostMan、あるいはマイクロソフトGraph Explorerからしてみてください。
    リンクは次のように:
    https://docs.microsoft.com/ja-jp/graph/api/directoryaudit-list?view=graph-rest-1.0&tabs=http

    ステップ:
    graph explorerにサインインする必要があります。

    Azure ポータルで必要な資格情報:
    graph explorerでアプリケーション権限を設定する必要があります。
    AuditLog.Read.All権限をセットします。
    アドミンの同意を与えます。

    graph explorerで試す:
    リクエストURL: https://graph.microsoft.com/v1.0/auditLogs/directoryAudits

    ポイント:
    アドミンの資格情報が必要です。
    401 が検出された場合は、アプリ登録の下で Azure ポータルに対する権限を持っている必要があります。

    どうぞよろしくお願いいたします。 

    MSDN/ TechNet Community Support Kumo ~参考になった投稿には「回答としてマーク」をご設定ください。なかった場合は「回答としてマークされていない」も設定できます。同じ問題で後から参照した方が、情報を見つけやすくなりますので、 ご協力くださいますようお願いいたします。また、MSDNサポートに賛辞や苦情がある場合は、MSDNFSF@microsoft.comまでお気軽にお問い合わせください。~

    2019年12月4日 1:30
    モデレータ