社内のMicrosoft 365環境にゲストユーザーが突然現れた、または監査で呼ばれたが誰が招待したのか思い出せない――そんなケースは少なくありません。Entra ID(旧Azure AD)ではゲストユーザーの招待は任意のメンバーが行えるため、招待元を追跡できないとセキュリティリスクやコンプライアンス上の問題になり得ます。本記事では、Microsoft Entra管理センターの監査ログを活用し、ゲストユーザーを招待したユーザーやその所属部署を特定する手順を解説します。また、管理部門でしか見られないログと一般ユーザーでも確認できる情報の違いについても整理します。
【要点】この記事で確認すること
- 最初に見る場所: Microsoft Entra管理センターの「監査ログ」で、カテゴリ「UserManagement」の「Invite external user」を検索する。
- 切り分けの軸: 端末側(招待リンク送付者)とアカウント側(ゲストユーザーの招待元)の両方から調査可能。管理設定側では招待元の制限ポリシーが適用されているか確認する。
- 注意点: 会社PCで監査ログを参照するには「グローバル管理者」「セキュリティ管理者」「監査ログ閲覧者」などの管理者ロールが必要。一般ユーザーではログを直接見られないため、所属部署の管理者に依頼する。
ADVERTISEMENT
目次
ゲストユーザー招待の基本と監査ログの重要性
Entra IDでは、組織のメンバーがゲストユーザーを招待できる設定が標準で有効になっています。この設定により、業務効率は向上しますが、誰がいつ、どの外部ユーザーを招待したのかが不明瞭になるリスクがあります。監査ログは、招待操作を含むあらゆる管理イベントを記録しており、招待元のユーザープリンシパル名(UPN)、招待日時、招待されたゲストのメールアドレスなどを追跡できます。これにより、セキュリティインシデント発生時の原因特定や、不要なゲストアカウントの棚卸しに役立ちます。管理者は監査ログを定期的に確認し、招待元が不明なゲストユーザーを洗い出すことが推奨されます。
招待元確認のための監査ログ検索手順
具体的な手順を説明します。以下の操作は、Entra IDの管理者ロールが割り当てられているアカウントで行ってください。対象のゲストユーザーが招待された日時のおおよその見当がついていると、検索がスムーズです。
- Microsoft Entra管理センターに管理者アカウントでサインインします。
- 左メニューから「ID」→「監査ログ」を選択します。画面が「サインインログ」になる場合があるので、「監査ログ」タブをクリックしてください。
- 画面上部のフィルターで「カテゴリ」を「UserManagement」に設定します。
- 次に「アクティビティ」フィルターを開き、「Invite external user」を選択します。このアクティビティがゲストユーザーの招待操作を表します。
- 必要に応じて「ターゲット」にゲストユーザーのメールアドレスを入力して検索を絞り込みます。日付範囲も適宜設定してください。
- 結果一覧から、該当するイベントをクリックして詳細を開きます。すると「Initiated By」の項目に、招待を実行したユーザー(例:user@contoso.com)が表示されます。
- 「Initiated By」のユーザー名をメモし、そのユーザーの所属部署を確認します。所属部署はEntra IDのユーザープロファイルや、組織の人事システムで調べてください。
なお、招待が招待メールの送信ではなく、直接Azure Portalなどから行われた場合も同じアクティビティで記録されます。招待リンクを送付したユーザーが「Initiated By」として記録される点を押さえておきましょう。
招待元が特定できない場合の追加確認項目
監査ログを検索しても招待元が表示されない、または「不明」と表示されるケースがあります。その場合、以下の追加確認を行ってください。
別のログカテゴリの確認
「UserManagement」以外に「Directory Management」や「B2B」カテゴリでも同様のイベントが記録されることがあります。フィルターを変えて再度検索してみてください。招待の種類(個別招待か一括招待か)によってカテゴリが異なる場合があります。
招待が行われた日時の範囲を拡大する
監査ログの保持期間はテナントのライセンスにより異なります(無料版は7日間、Premium P1/P2は30日間など)。日付範囲を最大に設定し、さらに過去のログが必要な場合は、Azure StorageやLog Analyticsにエクスポートされたログを確認してください。
ゲストユーザーの作成日時を確認する
ゲストユーザーのプロパティに「作成日時」が記録されています。これをもとにおおよその招待日を特定し、監査ログの検索期間を絞り込みます。ゲストユーザーのプロパティはEntra管理センターの「ユーザー」→「すべてのユーザー」から該当ユーザーを選択すると確認できます。
ADVERTISEMENT
一般ユーザーでも可能な調査方法と制限
管理者ロールを持たない一般ユーザーがゲストユーザーの招待元を直接調べることは、標準のUI上ではできません。ただし、以下のような間接的な方法で情報を得られる場合があります。
- 共有メールボックスやTeamsの招待履歴: ゲストユーザーがチームに追加された経緯をTeamsのアクティビティログから確認できることがあります。ただし、招待元が直接記録されるわけではありません。
- 管理者に問い合わせる: 所属部署のIT管理者やセキュリティ管理者に上記の監査ログ検索を依頼しましょう。依頼の際は、調査対象のゲストユーザーのメールアドレスと、いつ頃招待されたかの目安を伝えるとスムーズです。
- 自己申請による情報提供: ゲストユーザー自身に「誰から招待されたか」をヒアリングするのも一つの手段です。ただし、招待リンクが転送された可能性もあるため、確実ではありません。
一般ユーザーは監査ログを閲覧できないため、上記の方法を組み合わせて対応します。もし管理部門から「ログを確認してください」と依頼を受けた場合は、この記事の手順を参考に依頼内容を具体化すると良いでしょう。
招待元制限ポリシーの確認と管理設定
招待元が頻繁に不明になる問題を根本的に解決するには、招待を実行できるユーザーを制限するポリシーの適用を検討します。以下の比較表で、主なポリシーとその影響をまとめました。
| ポリシー設定 | 招待可能なユーザー | 監査ログへの影響 | 導入の注意点 |
|---|---|---|---|
| すべてのユーザーが招待可能(デフォルト) | メンバー全員 | 招待元が個々のユーザーとして記録される | 利便性が高いが、監査負荷が増大 |
| 特定の管理者ロールのみ招待可能 | グローバル管理者、ユーザー管理者など | 招待元は管理者アカウントに限定される | 業務プロセスによっては柔軟性を失う可能性あり |
| メールで招待を許可し、ゲストユーザーの追加を制限 | 招待メール送信は許可されるが、Entra ID上での直接追加は制限 | 監査ログにはInviteイベントが残るが、招待元は送信者となる | 招待メールの転送に注意が必要 |
これらのポリシーはEntra管理センターの「外部コラボレーションの設定」から変更できます。ただし、組織全体のコラボレーション方針に影響するため、導入前に十分な検討と承認が必要です。
失敗パターンとよくある質問
実際に監査ログを調査する際に遭遇しやすい失敗と、その対処法をまとめます。
失敗パターン1:アクティビティ「Invite external user」が見つからない
カテゴリが「UserManagement」以外に「Directory Management」などに分かれている場合があります。フィルターの「カテゴリ」を「すべて」にして再度検索しましょう。また、ゲストユーザーの追加が「Bulk invite」機能で行われた場合は「Bulk invite」アクティビティとして記録されることもあります。
失敗パターン2:ログが保持期間を過ぎて削除されている
無料版のテナントではログ保持期間が7日間です。もし7日以上前の招待を調べたい場合は、Azure MonitorやLog Analyticsにエクスポートされた長期ログを参照する必要があります。IT管理者に問い合わせて、外部ストレージにログが保存されているか確認しましょう。
失敗パターン3:「Initiated By」が「Microsoft Service」や「Unknown」と表示される
招待元がシステムアカウントや別のプロセス経由で行われた場合、人間のユーザー名ではなくサービス名が記録されます。例えば、Azure B2Bの一括インポート機能や、PowerShellスクリプトから実行された場合などです。この場合、詳細な情報を得るにはそのサービスまたはスクリプトの実行履歴を別途調査する必要があります。
よくある質問:
Q. ゲストユーザーを削除したいが、招待元が誰か分からず困っています。招待元の部署に連絡したいのですが?
A. まず監査ログで招待元を特定してください。招待元が不明な場合は、ゲストユーザーの最終アクティビティや所属グループを確認し、利用状況の有無を判断します。不要なゲストユーザーは管理者権限で削除できますが、事前に関連部署に確認を取ると安心です。
Q. 監査ログを一般ユーザーでも確認できるようにする方法はありますか?
A. 標準機能では一般ユーザーに監査ログの閲覧権限を付与することはできません。代わりに、PowerShellを使用して自分が招待したゲストユーザーをリスト化する方法があります。ただし、これには管理者の事前許可が必要です。
Q. 過去のゲストユーザーを一覧で確認したいのですが?
A. Entra管理センターの「ユーザー」→「すべてのユーザー」でユーザータイプを「ゲスト」にフィルタリングすると一覧表示できます。招待元情報は表示されませんが、各ユーザーのプロパティで作成日時は確認できます。
まとめ
ゲストユーザーの招待元を特定するには、Entra IDの監査ログを活用するのが最も確実な方法です。管理者は「Invite external user」アクティビティを検索し、Initiated Byから招待者を特定しましょう。招待元が不明な場合は、ログの保持期間やカテゴリの違いに注意して追加調査を行います。一般ユーザーは直接ログを見られませんが、管理者に依頼することで対応可能です。また、招待元の管理を強化したい場合は、招待を許可するユーザーを制限するポリシーの導入を検討するとよいでしょう。本記事の手順を参考に、ゲストユーザーの適切なガバナンスを実現してください。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】メール本文が「文字化け」して読めない!エンコード設定の変更と修復手順