Microsoft Entra ID と Google SecOps を統合する

このドキュメントでは、Microsoft Entra ID を Google Security Operations(Google SecOps)と統合する方法について説明します。

この統合では、1 つ以上のオープンソース コンポーネントを使用します。この統合の完全なソースコードの zip 形式のコピーを Cloud Storage バケットからダウンロードできます。

ユースケース

Microsoft Entra ID と Google SecOps を統合すると、次のユースケースを解決できます。

  • ユーザー アカウントの管理: Google SecOps の機能を使用して、Microsoft Entra ID でのユーザー アカウントの無効化と有効化を、セキュリティ イベント(侵害の疑い、従業員のオフボーディングなど)に基づいて自動化します。

  • パスワードの再設定: Google SecOps の機能を使用して、不正使用されたアカウントやアカウントからロックアウトされたユーザーのパスワードの再設定をオーケストレートします。パスワードをリセットすると、パスワード復元プロセスを効率化し、ヘルプデスク チケットを減らすことができます。

  • グループ管理: Google SecOps の機能を使用して、Microsoft Entra ID グループの作成、変更、削除を自動化します。

  • 条件付きアクセス ポリシーの適用: Google SecOps プレイブック内で Microsoft Entra ID の条件付きアクセス ポリシーを使用して、コンテキストに基づいてアクセスを動的に制御し、場所、デバイス、ユーザーのリスクなどの要素に基づいてリソースへのアクセスをきめ細かく制御できるようにします。

  • セキュリティ アラートとインシデント対応: Microsoft Entra ID のセキュリティ アラートを Google SecOps に統合して、インシデント対応ワークフローを自動化します。

始める前に

Google SecOps で統合を構成する前に、Microsoft 環境で次の要件が満たされていることを確認します。

  • Azure アプリの登録: クライアント ID とテナント ID を取得するには、Microsoft Entra 管理センターでアプリケーションを登録する必要があります。

    詳細な手順については、Microsoft Entra ID でアプリケーションを登録するをご覧ください。

  • API 権限: アプリに次の Microsoft Graph > アプリケーションの権限を付与し、管理者の同意を提供します。

    • Directory.Read.All
    • Directory.ReadWrite.All
    • Group.ReadWrite.All
    • User.ReadWrite.All
    • AuditLog.Read.AllInclude MFA Details パラメータを使用する場合は必須)

  • ロールの割り当て: パスワードの強制更新ユーザー パスワードのリセットなどのパスワード関連のアクションを実行するには、Microsoft Entra ID 内のアプリケーションに Password Administrator ロールを割り当てる必要があります。

  • クライアント シークレット: Azure アプリの [証明書とシークレット] セクションでクライアント シークレットを生成します。シークレットの値(シークレット ID ではない)は 1 回しか表示されず、構成に必要となるため、すぐに保存してください。

統合のパラメータ

Microsoft Entra ID との統合には、次のパラメータが必要です。

パラメータ 説明
Login API Root 省略可

Microsoft ID プラットフォームでの認証に使用される API ルート。

デフォルト値は https://login.microsoftonline.com です。
API Root 省略可

Azure Active Directory インスタンスの API ルート。

デフォルト値は https://graph.microsoft.com です。
Client ID 必須

Microsoft Entra ID アカウントのアプリケーション(クライアント)ID 値。
Client Secret 必須

Microsoft Entra ID アカウントのクライアント シークレット値。
Directory ID 必須

Microsoft Entra ID アカウントのディレクトリ(テナント)ID 値。
Verify SSL 省略可

選択すると、統合によって Microsoft Entra ID サーバーへの接続に使用される SSL 証明書が有効かどうかが検証されます。

デフォルトで選択されています。

Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。

必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。

操作

アクションの詳細については、 デスクから保留中のアクションに対応する手動による対策を実行するをご覧ください。

ユーザーをグループに追加する

[グループにユーザーを追加] アクションを使用して、特定の Microsoft Entra ID グループにユーザーを追加します。このアクションでは、username@domain 形式で User エンティティを構成する必要があります。

このアクションは Google SecOps User エンティティに対して実行されます。

アクション入力

[Add User to a Group] アクションには、次のパラメータが必要です。

パラメータ 説明
Group ID 必須

ユーザーを追加する Microsoft Entra ID グループの ID(00e40000-1971-439d-80fc-d0e000001dbd など)。

アクションの出力

[ユーザーをグループに追加] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[ユーザーをグループに追加] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Member USER_ID was added to the group GROUP_ID successfully.

Some errors occurred. Please check the logs.

 アクションが成功しました。
Member could not be added successfully.

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[Add User to a Group] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

アカウントを無効にする

アカウントの無効化アクションを使用して、Microsoft Entra ID でアカウントを無効にします。このアクションでは、username@domain 形式で User エンティティを構成する必要があります。

[Disable Account] アクションを実行するには、統合で使用する Microsoft Entra ID アカウントに管理者権限を付与します。

このアクションは Google SecOps User エンティティに対して実行されます。

追加の権限を設定する

[Disable Account] アクションでは、アプリケーションに対して次の API 権限を追加で構成する必要があります。

  • User.EnableDisableAccount.All

Microsoft Entra ID で API 権限を構成する方法については、このドキュメントの API 権限を構成するセクションをご覧ください。

アクション入力

なし

アクションの出力

[Disable Account] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[アカウントを無効にする] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

User account disabled successfully.

Some errors occurred. Please check the logs.

 アクションが成功しました。
Disable user account was not successful.

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[アカウントを無効にする] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

アカウントを有効にする

アカウントを有効にするアクションを使用して、Microsoft Entra ID でアカウントを有効にします。このアクションでは、username@domain 形式で User エンティティを構成する必要があります。

このアクションは Google SecOps User エンティティに対して実行されます。

追加の権限を設定する

[Enable Account] アクションでは、アプリケーションに対して次の API 権限を追加で構成する必要があります。

  • User.EnableDisableAccount.All

Microsoft Entra ID で API 権限を構成する方法については、このドキュメントの API 権限を構成するセクションをご覧ください。

アクション入力

なし

アクションの出力

[Enable Account] アクションは次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[Enable Account] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

User account was enabled successfully.

Some errors occurred. Please check the logs.

 アクションが成功しました。
Enable user account was not successful.

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[Enable Account] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

ホストを拡充する

ホストを拡充アクションを使用して、Microsoft Entra ID の情報で Google SecOps の Host エンティティを拡充します。このアクションは、Microsoft Entra ID のデバイス displayName フィールドを使用して、指定された Host エンティティの一致を検索します。

このアクションは Google SecOps Host エンティティに対して実行されます。

アクション入力

なし

アクションの出力

[ホストを拡充] アクションは次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
エンティティ拡充テーブル 利用可能
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
エンティティ拡充テーブル

[ホストを拡充] アクションは、次のエンティティの拡充をサポートしています。

拡充フィールド ロジック
AAD_Name JSON の結果に存在する場合に返します。
AAD_Enabled JSON の結果に存在する場合に返します。
AAD_Property Device ID JSON の結果に存在する場合に返します。
AAD_OS JSON の結果に存在する場合に返します。
AAD_Version JSON の結果に存在する場合に返します。
AAD_Profile Type JSON の結果に存在する場合に返します。
AAD_Compliant JSON の結果に存在する場合に返します。
AAD_Last Sign In JSON の結果に存在する場合に返します。
JSON の結果

次の例は、[ホストの強化] アクションを使用したときに受信した JSON 結果の出力を示しています。

[
    {
        "EntityResult": {
            "deletedDateTime": "1234569",
            "complianceExpirationDateTime": "1234567",
            "profileType": "RegisteredDevice",
            "key": "007",
            "if":"889922-aaaa-123123"
        },
        "Entity": "us-lt-v13001"
    }
]
出力メッセージ

[ホストを拡充] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Host details were fetched successfully: HOSTNAME.

Some errors occurred. Please check log.

 アクションが成功しました。
Host details were not found.

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、ホストの拡充アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

ユーザーを拡充

ユーザーの拡充アクションを使用して、Microsoft Entra ID の情報で Google SecOps の User エンティティを拡充します。このアクションでは、username@domain 形式で User エンティティを構成する必要があります。

このアクションは Google SecOps Host エンティティに対して実行されます。

アクション入力

[ユーザーを拡充] アクションには、次のパラメータが必要です。

パラメータ 説明
Include MFA Details

省略可。

選択すると、アクションでユーザーの MFA の詳細が返されます。
Include Last Sign In Details

省略可。

選択すると、ユーザーのログイン アクティビティ(対話型と非対話型の両方のログイン タイムスタンプを含む)が取得されます。

アクションの出力

[ユーザーを拡充] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
エンティティ拡充テーブル 利用可能
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
エンティティ拡充テーブル

[ユーザーを拡充] アクションは、次のエンティティ拡充をサポートしています。

拡充フィールド ロジック
AAD_Name JSON の結果に存在する場合に返します。
AAD_Mobile Phone JSON の結果に存在する場合に返します。
AAD_Preferred Language JSON の結果に存在する場合に返します。
AAD_Job Title JSON の結果に存在する場合に返します。
AAD_Username JSON の結果に存在する場合に返します。
JSON の結果

次の例は、[ユーザー情報を拡充] アクションを使用したときに受信した JSON 結果の出力例を示しています。

[
  {
    "Entity": "user@domain.com",
    "EntityResult": {
      "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users/$entity",
      "accountEnabled": true,
      "ageGroup": null,
      "businessPhones": [],
      "city": "New York",
      "companyName": "ExampleCorp",
      "consentProvidedForMinor": null,
      "country": "US",
      "createdDateTime": "2025-01-01T00:00:00Z",
      "creationType": null,
      "department": "Security",
      "displayName": "User Name",
      "mail": "user@domain.com",
      "employeeId": "12345",
      "employeeHireDate": null,
      "employeeType": null,
      "externalUserStateChangeDateTime": null,
      "faxNumber": null,
      "givenName": "User",
      "imAddresses": [],
      "externalUserState": null,
      "jobTitle": "Security Analyst",
      "surname": "Surname",
      "lastPasswordChangeDateTime": "2025-01-01T00:00:00Z",
      "legalAgeGroupClassification": null,
      "mailNickname": "usernickname",
      "mobilePhone": "+11234567890",
      "id": "user-id-12345",
      "officeLocation": null,
      "onPremisesSamAccountName": null,
      "onPremisesDistinguishedName": null,
      "onPremisesDomainName": null,
      "onPremisesImmutableId": null,
      "onPremisesLastSyncDateTime": null,
      "onPremisesProvisioningErrors": [],
      "onPremisesSecurityIdentifier": null,
      "onPremisesSyncEnabled": null,
      "onPremisesUserPrincipalName": null,
      "otherMails": [],
      "passwordPolicies": "None",
      "preferredDataLocation": null,
      "preferredLanguage": "en-US",
      "proxyAddresses": [],
      "signInSessionsValidFromDateTime": "2025-01-01T00:00:00Z",
      "state": "NY",
      "streetAddress": "123 Main St",
      "usageLocation": "US",
      "userPrincipalName": "user@domain.com",
      "userType": "Member",
      "postalCode": "10001",
      "deletedDateTime": null,
      "showInAddressList": null,
      "isResourceAccount": null,
      "refreshTokensValidFromDateTime": "2025-01-01T00:00:00Z",
      "employeeOrgData": null,
      "passwordProfile": null,
      "authorizationInfo": {
        "certificateUserIds": []
      },
      "mfa_details": {
        "id": "user-id-12345",
        "userPrincipalName": "user@domain.com",
        "userDisplayName": "User Name",
        "userType": "member",
        "isAdmin": false,
        "isSsprRegistered": true,
        "isSsprEnabled": true,
        "isSsprCapable": true
        "isMfaRegistered": true,
        "isMfaCapable": true,
        "isPasswordlessCapable": false,
        "methodsRegistered": [
          "email",
          "mobilePhone"
        ],
        "defaultMfaMethod": "mobilePhone",
        "isSystemPreferredAuthenticationMethodEnabled": false,
        "systemPreferredAuthenticationMethods": [],
        "userPreferredMethodForSecondaryAuthentication": "oath",
        "lastUpdatedDateTime": "2026-01-01T00:00:00Z"
      }
    }
  }
]
出力メッセージ

[ユーザー情報を取得] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

User details were fetched successfully: USERNAME.

Some errors occurred. Please check the logs.

 アクションが成功しました。
Users list fetch was not successful.

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[ユーザーを拡充] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

パスワードの更新を強制する

[パスワードの更新を強制する] アクションを使用して、ユーザーのパスワードの更新を強制します。この操作を行うと、ユーザーは次回ログイン時にパスワードを変更する必要があります。

[Force Password Update] アクションでは、username@domain 形式で User エンティティを構成する必要があります。

このアクションは Google SecOps User エンティティに対して実行されます。

追加の権限を設定する

[パスワードの更新を強制する] アクションでは、アプリケーションに対して次の API 権限を追加で構成する必要があります。

  • User-PasswordProfile.ReadWrite.All

Microsoft Entra ID で API 権限を構成する方法については、このドキュメントの API 権限を構成するセクションをご覧ください。

アプリケーションにロールを割り当てる

[パスワードの更新を強制する] アクションを使用するには、アプリケーションに Password Administrator ロールを割り当てる必要があります。

アプリケーションに Password Administrator ロールを割り当てるには、次の操作を行います。

  1. Microsoft アカウントを使用して Azure Portal にログインします。
  2. Microsoft Entra ID で、[ロールと管理者] を検索します。
  3. リストから Password Administrator ロールを選択するか、検索します。
  4. [割り当てを追加] をクリックします。
  5. 統合で使用するアカウント(メンバー)を選択し、[次へ] をクリックします。
  6. ロールの割り当ての理由を入力します。
  7. [割り当て] をクリックします。

アクション入力

なし

アクションの出力

[Force Password Update] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[パスワードの更新を強制する] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Force password update on the user was successful.

Some errors occurred. Please check the logs.

 アクションが成功しました。
Attempt to Force user password update was not successful.

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[パスワードの強制更新] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

マネージャーの連絡先情報を取得する

Get Manager Contact Details アクションを使用して、ユーザーの管理者の連絡先情報を取得します。

[Get Manager Contact Details] アクションでは、User エンティティを username@domain 形式で構成する必要があります。

このアクションは Google SecOps User エンティティに対して実行されます。

アクション入力

[Get Manager Contact Details] アクションには、次のパラメータが必要です。

パラメータ 説明
Fields To Return

省略可。

取得する特定の管理者プロファイル属性のカンマ区切りのリスト。

値が指定されていない場合、アクションは API で定義されたデフォルトの属性セットを返します。

デフォルト値は accountEnabled,ageGroup,assignedLicenses, businessPhones,city,companyName,consentProvidedForMinor,country, createdDateTime,creationType,department,displayName,mail,employeeId, employeeHireDate,employeeOrgData,employeeType,onPremisesExtensionAttributes, externalUserStateChangeDateTime,faxNumber,givenName,imAddresses,identities, externalUserState,jobTitle,surname,lastPasswordChangeDateTime, legalAgeGroupClassification,mailNickname,mobilePhone,id,officeLocation, onPremisesSamAccountName,onPremisesDistinguishedName,onPremisesDomainName, onPremisesImmutableId,onPremisesLastSyncDateTime, onPremisesProvisioningErrors,onPremisesSecurityIdentifier, onPremisesSyncEnabled,onPremisesUserPrincipalName,otherMails, passwordPolicies,passwordProfile,preferredDataLocation,preferredLanguage, proxyAddresses,signInSessionsValidFromDateTime,sponsors,state,streetAddress, usageLocation,userPrincipalName,userType,postalCode,authorizationInfo, deletedDateTime,showInAddressList,isResourceAccount, refreshTokensValidFromDateTime です。
Include MFA Details

省略可。

選択すると、アクションでユーザーの MFA の詳細が返されます。
Include Last Sign In Details

省略可。

選択すると、ユーザーのログイン アクティビティ(対話型と非対話型の両方のログイン タイムスタンプを含む)が取得されます。

アクションの出力

[Get Manager Contact Details] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用可能
エンティティ拡充テーブル 利用可能
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
ケースウォール テーブル

Get Manager Contact Details アクションは、Google SecOps で次のテーブルを返すことができます。

テーブル名: Manager contact

列:

  • 名前
  • 電話番号
エンティティ拡充テーブル

[Get Manager Contact Details] アクションは、次のエンティティの拡充をサポートしています。

拡充フィールド ロジック
Display Name JSON の結果に存在する場合に返します。
Mobile Phone JSON の結果に存在する場合に返します。
@odata.context JSON の結果に存在する場合に返します。
AAD_Job Title JSON の結果に存在する場合に返します。
AAD_Username JSON の結果に存在する場合に返します。
JSON の結果

次の例は、[Get Manager Contact Details] アクションを使用した場合に受信される JSON 結果の出力です。

[
  {
    "Entity": "user@example.com",
    "EntityResult": {
      "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users/$entity",
      "accountEnabled": true,
      "ageGroup": null,
      "businessPhones": [],
      "city": "Anytown",
      "companyName": "Example Corporation",
      "consentProvidedForMinor": null,
      "country": "US",
      "createdDateTime": "2025-01-01T00:00:00Z",
      "creationType": null,
      "department": "Security Operations",
      "displayName": "Internal User",
      "mail": "user@example.com",
      "employeeId": "ID-00001",
      "employeeHireDate": null,
      "employeeType": "Full-time",
      "externalUserStateChangeDateTime": null,
      "faxNumber": null,
      "givenName": "Alex",
      "imAddresses": [],
      "externalUserState": null,
      "jobTitle": "Security Lead",
      "surname": "Doe",
      "lastPasswordChangeDateTime": "2025-01-01T00:00:00Z",
      "legalAgeGroupClassification": null,
      "mailNickname": "alexdoe",
      "mobilePhone": "+1 555-0100",
      "id": "00000000-0000-0000-0000-000000000000",
      "officeLocation": null,
      "usageLocation": "US",
      "userPrincipalName": "user@example.com",
      "userType": "Member",
      "postalCode": "00000",
      "deletedDateTime": null,
      "showInAddressList": null,
      "isResourceAccount": null,
      "refreshTokensValidFromDateTime": "2025-01-01T00:00:00Z",
      "employeeOrgData": null,
      "authorizationInfo": {
        "certificateUserIds": []
      },
      "sponsors": [],
      "mfa_details": {
        "id": "00000000-0000-0000-0000-000000000000",
        "userPrincipalName": "user@example.com",
        "userDisplayName": "Internal User",
        "userType": "member",
        "isAdmin": true,
        "isSsprRegistered": false,
        "isSsprEnabled": true,
        "isSsprCapable": false,
        "isMfaRegistered": true,
        "isMfaCapable": true,
        "isPasswordlessCapable": false,
        "methodsRegistered": [
          "mobilePhone",
          "softwareOneTimePasscode"
        ],
        "defaultMfaMethod": "softwareOneTimePasscode",
        "isSystemPreferredAuthenticationMethodEnabled": true,
        "systemPreferredAuthenticationMethods": [
          "SoftwareOTP"
        ],
        "userPreferredMethodForSecondaryAuthentication": "oath",
        "lastUpdatedDateTime": "2026-01-01T00:00:00Z"
      }
    }
  }
]
出力メッセージ

[Get Manager Contact Details] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

User manager details were fetched successfully.

Some errors occurred. Please check the logs.

 アクションが成功しました。
Could not fetch user manager's details successfully.

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、Get Manager Contact Details アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

ユーザーがグループに属しているか

ユーザーがグループに所属しているかアクションを使用して、ユーザーが特定の Microsoft Entra ID グループに所属しているかどうかを確認します。このアクションでは、username@domain 形式で User エンティティを構成する必要があります。

このアクションは Google SecOps User エンティティに対して実行されます。

アクション入力

[Is User in Group] アクションには、次のパラメータが必要です。

パラメータ 説明
Group ID 必須

ユーザーを追加する Microsoft Entra ID グループの ID(00e40000-1971-439d-80fc-d0e000001dbd など)。

アクションの出力

[ユーザーがグループに属しているか] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、[ユーザーがグループに属しているか] アクションを使用した場合に受信される JSON 結果の出力例を示しています。

[
    {
        "EntityResult": "true",
        "Entity": "user@example.com"
    }
]
出力メッセージ

[Is User in Group] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

The following user was found in the group: USER_ID.

Some errors occurred. Please check the logs.

 アクションが成功しました。
User was not found in the group.

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[Is User in Group] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

グループの一覧表示

グループを一覧表示アクションを使用して、指定した検索条件を使用して Microsoft Entra ID グループを一覧表示します。

グループを一覧表示アクションの場合、フィルタリングは Name フィールドで機能します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

グループを一覧表示アクションには、次のパラメータが必要です。

パラメータ 説明
Order By 省略可

返されたグループを名前で並べ替える順序。

デフォルト値は ASC です。

値は次のいずれかになります。

  • DESC
  • ASC
Results Limit 省略可

返されるグループの最大数。
Filter Logic 省略可

グループを名前でフィルタするロジック。

デフォルト値は Equal です。

値は次のいずれかになります。

  • Equal
  • Contains
Filter Value 省略可

選択したフィルタ ロジックを使用してグループをフィルタする値。この値はグループ名に適用されます。

Equal を選択すると、アクションは結果から完全一致を探します。Contain を選択すると、アクションは指定された部分文字列を含む結果を検索します。

値を設定しない場合、フィルタは適用されません。

アクションの出力

[List Groups] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用可能
エンティティ拡充テーブル 利用可能
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
ケースウォール テーブル

[グループを一覧表示] アクションは、Google SecOps で次の表を返すことができます。

テーブル名: Groups

列:

  • 名前
  • ID
  • 説明
  • メール
  • 作成日時
  • グループタイプ
エンティティ拡充テーブル

グループを一覧表示アクションは、次のエンティティの拡充をサポートしています。

拡充フィールド ロジック
Group Type JSON の結果に存在する場合に返します。
ID JSON の結果に存在する場合に返します。
Name JSON の結果に存在する場合に返します。
Description JSON の結果に存在する場合に返します。
Created Time JSON の結果に存在する場合に返します。
JSON の結果

次の例は、グループを一覧表示アクションを使用した場合に受信される JSON 結果の出力です。

[
  {
    "Group_Type": "managed",
    "Id": "1212-12312-123",
    "Name": "Group Name",
    "Description": "This group is ...",
    "Created_Time": "2019-10-24T19:10:18Z",
    "onPremisesSamAccountName": "alext"
  }
]
出力メッセージ

[グループを一覧表示] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Groups list was fetched successfully.

Some errors occurred. Please check the logs.

 アクションが成功しました。
Groups list fetch was not successful.

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、グループを一覧表示アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

グループのメンバーを一覧表示する

グループのメンバーを一覧表示アクションを使用して、指定された Microsoft Entra ID グループのメンバーを一覧表示します。

フィルタリング ロジックは、Filter Key パラメータの値に基づいて機能します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[List Members in the Group] アクションには、次のパラメータが必要です。

パラメータ 説明
Max Records To Return 省略可

返されるレコードの最大数。

デフォルト値は 50 です。
Group Name 省略可

メンバーを一覧表示する Microsoft Entra ID グループの名前。
Group ID 省略可

メンバーを一覧表示する Microsoft Entra ID グループの ID。Group Name パラメータと Group ID パラメータの両方を構成すると、アクションは Group ID パラメータ値を使用します。
Filter Key 省略可

グループ メンバーをフィルタするフィールド(User Display Name など)。

値は次のいずれかになります。

  • Select One
  • User Display Name
  • User Principal Name
  • User Mail Name
Filter Logic 省略可

フィルタに適用するロジック。

値は次のいずれかになります。

  • Not Specified
  • Equal
  • Contains
Filter Value 省略可

選択した Filter Key パラメータ値と Filter Logic パラメータ値に基づいてグループ メンバーをフィルタリングするために使用する値。

Equal を選択すると、アクションは結果から完全一致を探します。Contain を選択すると、アクションは指定された部分文字列を含む結果を検索します。

値を設定しない場合、フィルタは適用されません。

アクションの出力

[グループのメンバーを一覧表示] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用可能
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
ケースウォール テーブル

[List Members in the Group] アクションは、Google SecOps で次の表を返すことができます。

テーブル名: グループの利用可能なメンバー

列:

  • ID
  • User Principal Name
  • 表示名
  • Surname
  • メール
  • 役職
  • ビジネス用電話
  • スマートフォン
  • オフィスの所在地
  • 優先言語
JSON の結果

次の例は、[グループのメンバーを一覧表示] アクションを使用した場合に受信される JSON 結果の出力です。

[
  {
    "@odata.type": "#microsoft.graph.user",
    "id": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
    "businessPhones": [],
    "displayName": "Alex T",
    "givenName": "Alex",
    "jobTitle": "Software Engineer",
    "mail": "alex.t@example.com",
    "mobilePhone": null,
    "officeLocation": "Building A",
    "preferredLanguage": "en-US",
    "surname": "T",
    "userPrincipalName": "alex.t@example.com"
  }
]
出力メッセージ

[グループのメンバーを一覧表示] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully found members for the provided criteria in Azure AD group.

No members were found for the provided criteria in Azure AD group.

The filter was not applied, because parameter "Filter Value" has an empty value.

 アクションが成功しました。
Error executing action "List Members in the Group". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[List Members in the Group] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

ユーザーのグループ メンバーシップを一覧表示する

ユーザーのグループ メンバーシップを一覧表示アクションを使用して、ユーザーがメンバーになっている Microsoft Entra ID グループを一覧表示します。

ユーザー名はエンティティまたはアクションの入力パラメータとして指定できます。ユーザー名をエンティティと入力パラメータの両方として構成すると、アクションは入力パラメータを使用します。

ユーザー名を構成するには、username@domain 形式に従います。

このアクションは Google SecOps Username エンティティに対して実行されます。

アクション入力

[List User's Groups Membership] アクションには、次のパラメータが必要です。

パラメータ 説明
User Name 省略可

グループ メンバーシップを取得するユーザー名のカンマ区切りのリスト(username@domain など)。値を設定しない場合、アクションは Username エンティティのユーザー ID を使用します。
Return Only Security Enabled Groups 省略可

選択すると、ユーザーが属するセキュリティ対応グループのみが返されます。

デフォルトでは選択されていません。
Return Detailed Groups Information 省略可

選択すると、アクションは Microsoft Entra ID グループに関する詳細情報を返します。

デフォルトでは選択されていません。
Filter Key 省略可

グループのフィルタリングに使用するキー。

デフォルト値は Select One です。

値は次のいずれかになります。

  • Select One
  • Group Display Name
  • Group Description
Filter Logic 省略可

グループをフィルタリングするときに適用するロジック。

デフォルト値は Not Specified です。

次の値を指定できます。

  • Not Specified
  • Equal
  • Contains
Filter Value 省略可

グループのフィルタリングに使用する値。

Equal を選択すると、アクションは結果から完全一致を探します。Contain を選択すると、アクションは指定された部分文字列を含む結果を検索します。

値を設定しない場合、フィルタは適用されません。
Max Records To Return 省略可

返すレコードの最大数。値を設定しない場合、アクションはデフォルトで 50 件のレコードを返します。

アクションの出力

[List User's Groups Membership] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用可能
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
ケースウォール テーブル

[List User's Groups Membership] アクションは、Google SecOps で次の表を返すことができます。

テーブル名: Group Memberships

列:

  • ID
  • 表示名
  • 説明
  • セキュリティが有効
  • セキュリティ ID
  • Created DateTime
  • 分類
  • 公開設定
  • メール
  • メールが有効
  • メールのニックネーム
JSON の結果

次の例は、List User's Groups Membership アクションを使用した場合に受信される JSON 結果の出力を示しています。

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(Edm.String)",
    "value": [
        "ID",
        "ID",
        "ID",
    ]
}
出力メッセージ

[List User's Groups Membership] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Successfully found groups for the provided criteria for the following entities: ENTITY_ID

The following entities were not found in the Azure AD: ENTITY_ID

No groups were found in Azure Active Directory for the following entities: ENTITY_ID

The filter was not applied, because parameter "Filter Value" has an empty value.

 アクションが成功しました。
Error executing action "List User's Groups Membership". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、List User's Groups Membership アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

ユーザーの一覧表示

ユーザーを一覧表示アクションを使用して、指定した検索条件で Microsoft Entra ID ユーザーを一覧表示します。

[ユーザーを一覧表示] アクションの場合、フィルタリングは UsernameuserPrincipalName)フィールドで機能します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[ユーザーを一覧表示] アクションには、次のパラメータが必要です。

パラメータ 説明
Filter 省略可

結果に含めるフィールド。

デフォルト値は All Fields です。

値は次のいずれかになります。

  • All Fields
  • displayName
  • userPrincipalName
  • id
  • jobTitle
  • mail
  • mobilePhone
  • preferredLanguage
  • surname
  • givenName
Order By Field 省略可

結果の並べ替えに使用するフィールド。

デフォルト値は displayName です。

値は次のいずれかになります。

  • displayName
  • userPrincipalName
Order By 省略可

結果の順序(昇順または降順)。

デフォルト値は ASC です。

値は次のいずれかになります。

  • DESC
  • ASC
Results Limit 省略可

返すユーザーの最大数。
Advanced Filter Logic 省略可

UsernameuserPrincipalName)フィールドに適用される高度なフィルタリングに使用するロジック。

デフォルト値は Equal です。

次の値を指定できます。

  • Equal
  • Contains
Advanced Filter Value 省略可

UsernameuserPrincipalName)フィールドの詳細フィルタで使用する値。

Equal を選択すると、アクションは結果から完全一致を探します。Contain を選択すると、アクションは指定された部分文字列を含む結果を検索します。

値を設定しない場合、フィルタは適用されません。

アクションの出力

[ユーザーを一覧表示] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用可能
エンティティ拡充テーブル 利用可能
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
ケースウォール テーブル

[ユーザーを一覧表示] アクションは、Google SecOps で次の表を返します。

テーブル名: Users

列:

  • 名前
  • ユーザー名
  • ID
  • 優先言語
  • メール
  • スマートフォン
  • Surname
  • 役職
エンティティ拡充テーブル

ユーザーを一覧表示アクションは、次のエンティティの拡充をサポートしています。

拡充フィールド ロジック
Username JSON の結果に存在する場合に返します。
Surname JSON の結果に存在する場合に返します。
Name JSON の結果に存在する場合に返します。
Job Title JSON の結果に存在する場合に返します。
Mail JSON の結果に存在する場合に返します。
JSON の結果

次の例は、[ユーザーを一覧表示] アクションを使用した場合に受信される JSON 結果の出力を示しています。

[
    {
        "Group Type": "managed",
        "Id": "ID",
        "Name": "Example",
        "Description": "Example",
        "Created Time":"2019-10-24T19:10:18Z"
    }
]
出力メッセージ

ユーザーを一覧表示アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

List of users was fetched successfully.

Some errors occurred. Please check the logs.

 アクションが成功しました。
User list fetch was not successful.

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、ユーザーを一覧表示アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

Ping

Ping アクションを使用して、Microsoft Entra ID への接続をテストします。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

なし

アクションの出力

[Ping] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

Ping アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Connection established successfully.

 アクションが成功しました。
Connection could not be established successfully.

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

グループからユーザーを削除する

グループからユーザーを削除アクションを使用して、Microsoft Entra ID の指定されたグループからユーザーを削除します。

ユーザー名はエンティティまたはアクションの入力パラメータとして指定できます。ユーザー名をエンティティと入力パラメータの両方として構成すると、アクションは入力パラメータを使用します。

ユーザー名を構成するには、username@domain 形式に従います。

このアクションは Google SecOps Username エンティティに対して実行されます。

アクション入力

[Remove User from the Group] アクションには、次のパラメータが必要です。

パラメータ 説明
User Name 省略可

指定したグループから削除するユーザー名のカンマ区切り文字列。このパラメータ値を構成するには、username@domain 形式を使用します。

値を設定しない場合、アクションはアクション インシデントのユーザー エンティティのユーザー名で実行されます。
Group Name 省略可

ユーザーを削除するグループの名前。
Group ID 省略可

ユーザーを削除するグループの ID。

Group Name パラメータと Group ID パラメータの両方を設定すると、アクションは Group ID 値を優先します。

アクションの出力

[Remove User from the Group] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[Remove User from the Group] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully removed the following entities from the Azure AD group: ENTITY_ID

The following entities were not found in the Azure AD: ENTITY_ID

No usernames were removed from the Azure AD group.

 アクションが成功しました。
Error executing action "Remove User from the Group". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[Remove User from the Group] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

ユーザーのパスワードを再設定する

ユーザー パスワードの再設定アクションを使用して、ユーザー パスワードをアクションで指定したパスワードに再設定します。この操作を行うと、ユーザーは次回ログイン時にパスワードを変更する必要があります。

[Reset User Password] アクションでは、User エンティティを username@domain 形式で構成する必要があります。

このアクションは Google SecOps User エンティティに対して実行されます。

アプリケーションにロールを割り当てる

[Reset User Password] アクションを使用するには、アプリケーションに Password Administrator ロールを割り当てる必要があります。

アプリケーションに Password Administrator ロールを割り当てるには、次の操作を行います。

  1. Microsoft アカウントを使用して Azure Portal にログインします。
  2. Microsoft Entra ID で、[ロールと管理者] を検索します。
  3. リストから Password Administrator ロールを選択するか、検索します。
  4. [割り当てを追加] をクリックします。
  5. 統合で使用するアカウント(メンバー)を選択し、[次へ] をクリックします。
  6. ロールの割り当ての理由を入力します。
  7. [割り当て] をクリックします。

アクション入力

[Reset User Password] アクションには、次のパラメータが必要です。

パラメータ 説明
Password 必須

ユーザーに設定する新しいパスワード。

アクションの出力

[ユーザー パスワードを再設定] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[Reset User Password] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

User password was reset successfully.

Some errors occurred. Please check the logs.

 アクションが成功しました。
User password reset was not successful.

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[Reset User Password] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

ユーザー セッションを取り消す

ユーザー セッションを取り消すには、[ユーザー セッションを取り消す] アクションを使用します。

このアクションは、次の Google SecOps エンティティに対して実行されます。

  • Username
  • Email Address

アクション入力

なし

アクションの出力

[ユーザー セッションを取り消す] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、[ユーザー セッションを取り消す] アクションを使用した場合に受信される JSON 結果の出力例を示しています。

  • ユーザーが存在する場合:

    {
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Edm.Boolean",
    "value": true
}

  • ユーザーが見つからない場合:

    {
    "error": "User not found."
}
出力メッセージ

[Revoke User Session] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Successfully revoked sessions for the following users in Azure AD: ENTITY_ID

Action wasn't able to find the following users in Azure AD: ENTITY_ID

None of the provided users were found in Azure AD.

 アクションが成功しました。
Error executing action "Revoke User Session". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[ユーザー セッションを取り消す] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。