社員が退職する際、そのアカウントが不正に使用されていないか、あるいは退職後も誰かがサインインしていないかを確認するために、サインイン履歴の確認は欠かせません。Microsoft 365の管理センターには、退職者のサインイン履歴を調べるための専用の機能が用意されています。本記事では、管理センターで確認すべき項目や手順を具体的に解説し、よくある失敗パターンや管理者が知っておくべき注意点も紹介します。
【要点】この記事で確認すること
- 最初に見る場所: Microsoft 365管理センターの「ユーザー」→「アクティブなユーザー」で該当ユーザーを選択し、「サインイン」タブを開きます。
- 切り分けの軸: サインインの成功/失敗、クライアントアプリ、IPアドレス、日時を確認し、不正アクセスかどうかを判断します。
- 注意点: 退職後はアカウントを削除または無効化する前に、履歴をエクスポートして保存しておくと安心です。
ADVERTISEMENT
目次
退職者のサインイン履歴を確認する目的
退職者のサインイン履歴を確認する主な目的は、退職日以降に不正なアクセスがないかどうかを確認することです。退職者のアカウントは、本人が退職した後も悪意のある第三者によって利用される可能性があります。また、退職前に重要なデータを外部に持ち出した痕跡がないか、不審なサインインが行われていないかを調べるためにも役立ちます。
さらに、退職者自身が退職後にシステムにアクセスしようとしたケースを発見することもできます。例えば、退職日翌日に自宅からサインインした履歴があれば、アカウント無効化が遅れたことが原因かもしれません。管理者はこの情報をもとに、アカウントの無効化タイミングやアクセス権限の見直しを行うことができます。
また、内部統制やコンプライアンスの観点から、退職者のアクティビティを定期的に監査する必要がある企業も多いでしょう。サインイン履歴は監査ログの一部として保存されるため、証跡として利用することができます。
管理センターで確認する具体的な手順
Microsoft 365管理センターでは、退職者のサインイン履歴を数分で確認できます。以下の手順を参考にしてください。
- 管理センターにサインイン: グローバル管理者またはセキュリティ管理者の権限を持つアカウントで、https://admin.microsoft.com にアクセスします。
- ユーザーの一覧を開く: 左側のナビゲーションメニューから「ユーザー」→「アクティブなユーザー」を選択します。
- 対象ユーザーを選択: 退職者のユーザー名または表示名をクリックして、ユーザーの詳細画面を開きます。なお、削除済みユーザーの場合は「削除されたユーザー」から選択します。
- 「サインイン」タブを開く: 詳細画面の上部にあるタブから「サインイン」をクリックします。ここでは過去30日間のサインイン履歴が表示されます。より古い履歴が必要な場合は「すべてのサインインを表示」をクリックします。
- データを絞り込む: 必要に応じて日付範囲、サインインの状態(成功/失敗)、クライアントアプリなどをフィルターで絞り込みます。「状態」で「失敗」を選べば、不正アクセスの試みを特定しやすくなります。
- 詳細を確認: リストから特定のサインイン行をクリックすると、IPアドレス、デバイス情報、認証方法などの詳細が表示されます。不審な場合は「不正」として報告することも可能です。
- エクスポートして保存: 履歴をCSVファイルとしてエクスポートするには、画面右上の「エクスポート」ボタンをクリックします。退職者の履歴は後日の監査に備えて必ず保存しておくことをお勧めします。
確認すべき主要な項目と判断基準
サインイン履歴には多くの情報が含まれていますが、特に注目すべき項目は以下のとおりです。これらの項目をチェックすることで、正常なアクセスか不正なアクセスかを判断できます。
サインインの状態(成功/失敗)
まずはサインインの状態を確認します。「成功」は正しいパスワードまたは多要素認証を通過したことを示します。退職後に成功したサインインがある場合は、アカウントがまだ有効であるか、パスワードが流出している可能性があります。一方、「失敗」が多数連続している場合は、ブルートフォース攻撃やなりすましの試みが疑われます。
IPアドレスと場所
サインイン元のIPアドレスから、おおよその地理的な位置を特定できます。退職者が通常使用していたIPアドレス範囲(会社のオフィスや自宅)と異なる地域からのアクセスがあれば、不正の可能性が高いです。特に海外からのアクセスや、過去に使用したことのないプロバイダからのアクセスは注意が必要です。
クライアントアプリとデバイス
サインインに使用されたクライアントアプリ(Outlook、Teams、ブラウザなど)やデバイス情報も確認します。退職者が普段使っていなかったアプリやデバイスからのサインインは、アカウントが侵害されている兆候かもしれません。例えば、退職者が普段使っていなかったモバイル端末からのサインインが突然現れた場合、要注意です。
サインインの日時
退職日以降のサインインは当然ながら異常です。また退職日前であっても、深夜や休日など通常の勤務時間外のアクセスが頻発している場合は、データ持ち出しの準備などの可能性があります。日時とIPアドレスを組み合わせて分析するとより正確な判断ができます。
多要素認証の要求状況
サインインの詳細を見ると、多要素認証(MFA)が要求されたかどうかもわかります。MFAを通過している場合、攻撃者はパスワードだけでなく認証アプリや電話なども入手している可能性が高く、深刻なインシデントと考えられます。
退職者のサインイン履歴を確認する際の失敗パターン
実際の運用では、以下のような失敗や見落としがよく発生します。これらを避けることで、正確な調査が可能になります。
- 削除済みユーザーの履歴を見落とす: 退職者のアカウントをすぐに削除してしまうと、アクティブなユーザーの一覧に表示されなくなります。その場合、「削除されたユーザー」から対象を選択し、サインインタブを確認する必要があります。ただし、アカウント削除から30日以上経過すると履歴も消える場合があるため、注意が必要です。
- サインインログの保持期間を理解していない: 既定ではサインインログは30日間しか保持されません。古い履歴を確認したい場合は、Azure ADの診断設定を使ってストレージアカウントやLog Analyticsにエクスポートしておく必要があります。
- 「成功」しか見ていない: 失敗したサインインも重要な手がかりになります。連続した失敗は攻撃の試みを示唆するため、必ず失敗ログも確認しましょう。
- 委任された管理者権限を考慮しない: 退職者が自分以外のユーザーに代理アクセス権限を付与している場合、そのユーザー経由でサインインされる可能性もあります。サインイン履歴だけでなく、委任アクセスの設定も確認する必要があります。
- エクスポートせずに確認を終える: その場で目視確認しただけで証跡を残さないと、後で監査が必要になったときにデータが失われている可能性があります。必ずCSVでエクスポートして保存しましょう。
状況別の比較表
| 状況 | サインイン履歴の特徴 | 推奨アクション |
|---|---|---|
| 退職後も同じIPから継続アクセス | 毎日ほぼ同じ時間帯に成功ログ、クライアントアプリも同一 | アカウントの即時無効化、パスワードリセット、IT部門に報告 |
| 退職後に海外IPからの失敗ログ多数 | 短時間に数十回の失敗、使用されていないクライアントアプリ | アカウント無効化、IPAまたはセキュリティチームに連絡 |
| 退職日前夜の深夜アクセス | 通常の勤務時間外にファイルダウンロードが発生 | ファイルアクセスログと突き合わせ、データ持ち出しの証拠保全 |
| 退職後もアクセスなし | 退職日以降のログが一切ない | 問題なしと判断、ただしアカウントは一定期間後に削除推奨 |
管理者が事前に準備すべきこと
退職者のサインイン履歴をスムーズに確認するためには、日頃から以下のような準備を整えておくと役立ちます。
- 監査ログの長期保存設定: Azure ADの診断設定で、サインインログをストレージアカウントやLog Analyticsワークスペースにエクスポートするように設定しておきます。これにより30日を超える過去のログも確認できます。
- 退職者用のチェックリストを作成: 退職手続きの一環として、サインイン履歴の確認とエクスポート、アカウントの無効化、データ引き継ぎなどをリスト化しておくと漏れが防げます。
- 権限の委任を定期的に見直す: 退職者が他のユーザーにメールボックスやOneDriveのアクセス権を委任している場合、退職後はその権限を削除する必要があります。
- 多要素認証を必須にする: 全ユーザーにMFAを義務付けることで、仮にパスワードが漏れても不正アクセスを防げる可能性が高まります。
- インシデント対応手順を定める: 不正なサインインを発見した場合の報告先やアカウント停止手順を事前に決めておき、対応を迅速化します。
よくある質問(FAQ)
Q1: 退職者のアカウントを削除してしまいましたが、サインイン履歴は見られますか?
A: 削除されたユーザーの場合、管理センターの「ユーザー」→「削除されたユーザー」から選択すると、削除後30日以内であればサインイン履歴を確認できます。ただし、それ以前の履歴は保持期間に依存します。
Q2: サインイン履歴は何日前までさかのぼれますか?
A: 既定では30日間です。それより古い履歴を確認したい場合は、Azure ADの診断設定で長期保存の構成が必要です。あるいは、過去にエクスポートしたCSVファイルがあればそれを参照してください。
Q3: 退職者が退職前に自分のアカウントでサインインした履歴は、すべて確認できますか?
A: 基本的にすべてのサインイン試行が記録されますが、Microsoftのポリシーやライセンスによっては一部のログが省略される場合があります。また、フェデレーション認証を使用している場合は、別途IDプロバイダーのログも確認する必要があります。
Q4: 退職者のサインイン履歴をチームメンバーに見せることはできますか?
A: 管理画面のアクセス権限が必要です。グローバル管理者以外でも、セキュリティ管理者ロールやユーザー管理者ロールを持っていれば、対象ユーザーのサインインを表示できます。チームメンバーに適切な権限を付与するか、スクリーンショットやCSVで共有するとよいでしょう。
Q5: 不正なサインインを発見した場合、すぐにアカウントを無効化すべきですか?
A: まずは管理者パスワードをリセットし、アカウントを一時的にブロック(サインイン禁止)することをお勧めします。その後、内部のセキュリティポリシーに従い、必要に応じてインシデント報告を行います。
まとめ
退職者のサインイン履歴を確認するには、Microsoft 365管理センターの「サインイン」タブが最も簡単な方法です。成功・失敗の状態、IPアドレス、クライアントアプリ、日時といった項目を確認することで、不正アクセスの有無を判断できます。履歴は30日間しか保持されないため、必要に応じて事前にエクスポートまたは長期保存設定を行ってください。また、退職者アカウントの無効化や委任権限の解除など、一連の退職者管理プロセスにサインイン履歴の確認を組み込むことで、セキュリティリスクを低減できます。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Teams】会議の「参加者リスト」を出席後にダウンロードする!誰が参加したか確認する手順