Microsoft Entra IDの制約
- 印刷する
Microsoft Entra IDの制約
- 印刷する
記事の要約
この要約は役に立ちましたか?
ご意見ありがとうございます
Microsoft Entra IDには、以下の制約があります。
※ID管理が〇になっている項目は、ID管理の機能の制約になります。ログが〇になっている項目は、アクセスログ管理のログ自動収集機能、または、ログ自動収集機能で収集したアクセスログ(ログインログ・ログアウトログ・suログ・ログイン失敗ログ)で出力するレポートの制約になります。
No | 制約 | 制約機能 | |
ID | ログ | ||
1 | アクティブなロールのみ同期されます。 | 〇 | - |
2 | Microsoft Entra ID のログ保持期間は30日です。それ以前のログは収集する事が出来ません。 | - | 〇 |
3 | Microsoft Entra ID のログには、ログアウト情報が含まれません。 | - | 〇 |
4 | iDoperationはMicrosoft Entra ID のターゲットをIPアドレスではなく、ドメインで識別します。 | - | 〇 |
5 | Microsoft Entra ID の仕様により、ログは最大2時間取得する事が出来ません。 | - | 〇 |
6 | Microsoft Entra ID の仕様により、一度のアクセスで複数のアクセスログが出力される場合があります。 | - | 〇 |
7 | 1度のアクセスで複数のアクセスログが出力される(No.6の制約)ため、複数のアクセスログのうちオートログイン実行後の最初のアクセスログのみオートログインと突合します。 | - | 〇 |
8 | Microsoft Entra ID の以下のアプリケーションについては、Microsoft Entra ID の内部動作で大量にログインを行います。そのままレポートを出力すると大量のアクセス情報がレポートに反映されるため、レポートの対象外としログを収集しません。
| - | 〇 |
9 | Microsoft Entra ID の仕様により、下記の場合にログイン失敗のログは出力されません。
※複数のディレクトリにアクセス可能なアカウントは、ログイン先のディレクトリがAzureのログイン時に自動で決定されるため、申請したターゲットと異なるディレクトリにログインすることがあり、ログイン先のディレクトリにログイン失敗ログが出力される場合があります。 | - | 〇 |
10 | 複数のディレクトリにアクセス可能なアカウントは、ログイン先のディレクトリがAzureのログイン時に自動で決定されるため、オートログインでログインしたディレクトリと申請したターゲットのディレクトリが異なる場合があります。 ※ログイン先のディレクトリは、Azureの「ホーム>ユーザー-サインイン」の設定画面にて、「規定のディレクトリの設定」として「最後にアクセスしたディレクトリにサインインする」か、特定のディレクトリを設定するかを選択します。(2019年10月時点) | - | 〇 |
11 | ログイン日時がオートログインした時刻と異なる(本表No10の制約)と、オートログインしてもオートログイン情報とアクセスログの突合が不正確であるため、アクセスログを収集している場合は、オートログイン情報と突合せず、パスワード参照時と同様に申請とアクセスログのみを突合し、レポートに出力します。 | - | 〇 |
12 | Microsoft Entra ID のターゲット同期で大量のアカウントを同期する場合、タイムアウトして同期できない場合があります。 | 〇 | - |
| 13 | ターゲット登録、またはログ収集履歴初期化を行った場合、iDoperationサーバのタイムゾーンで、ログ収集開始日の00:00:00から02:10:00の間に実行されたログ収集が失敗することがあります。 | - | 〇 |