この記事のポイント
Entra IDはクラウドベースのID管理サービスで、リモートワークにも対応した安全なアクセス管理を実現- 条件付きアクセス、多要素認証、シングルサインオンなど、高度なセキュリティ機能を提供
- オンプレミスADとの違いを理解し、ハイブリッド環境での効果的な活用が可能
- 無料版から高機能なPremiumプランまで、ニーズに合わせた選択が可能
- Azure PortalやPowerShellを通じた柔軟な管理と、自動プロビジョニングによる効率化を実現
監修者プロフィール
坂本 将磨
Microsoft AIパートナー、LinkX Japan代表。東京工業大学大学院で技術経営修士取得、研究領域:自然言語処理、金融工学。NHK放送技術研究所でAI、ブロックチェーン研究に従事。学会発表、国際ジャーナル投稿、経営情報学会全国研究発表大会にて優秀賞受賞。シンガポールでのIT、Web3事業の創業と経営を経て、LinkX Japan株式会社を創業。
クラウドサービスとしてのアイデンティティ管理ツールは、一昔前に比べると格段に進化し、今や多くの企業で利用されています。「Azure AD」もそんなサービスの一つであり、Microsoftが提供するディレクトリおよびアイデンティティ管理サービスです。
この記事では、Azure ADの概要から始まり、オブジェクトIDの確認方法や、オンプレミスのADとの違い、便利な機能、さらには選ぶべきプランに至るまで、初心者にも分かりやすく説明しています。
テレワークが急速に普及する中、Azure ADの機能を理解し使いこなせるかどうかが、企業のIT環境を左右する可能性もあります。
これからAzure ADを利用しようと考えている方は必見の内容となっていますので、ぜひ最後までお読みください。
Azureの基本知識や料金体系、利用方法についてはこちらの記事で詳しく解説しています。
➡️Microsoft Azureとは?できることや各種サービスを徹底解説
目次
Microsoft Entra ID(旧Azure AD)とは
Azure EntraID(Azure AD)のオブジェクトID確認方法
Microsoft Entra ID(旧Azure AD)とは
Microsoft Entra は、ID管理とネットワークアクセス制御を提供する製品群の総称で、その一部としてMicrosoft Entra IDがあります。
このサービスは、多様なクラウドプラットフォーム上でのアクセスを管理する能力を持ち、従業員や顧客、そしてパートナーが各自のアプリケーション、デバイス、データへ安全にアクセスできるようにします。
以前は、オンプレミスで利用する認証システムが一般的でした。しかし、コロナ禍や、働き方改革の推進などの動きから、テレワークが普及し、社内だけではなく自宅などからも仕事を行える環境となったため、オンプレミスの認証に代わり、Entra IDが普及しています。
アクセスの場所を問わず、セキュリティ機能もしっかりしていて、業務負担を減らしてくれるEntra IDを使いこなしましょう!
Azure ADはEntra IDに名称変更
Entra IDの主な機能
Entra IDは主に以下の機能があります。
こちらの表で、各機能の概要を簡単に説明しています。詳細は各項目をご覧ください。
Entra IDの主な機能
| 機能 | 説明 |
|---|---|
| 条件付きアクセス | ユーザーの状況に基づいてアクセスを制御します。 |
| ID管理 | アイデンティティのライフサイクル全体を管理します。 |
| 特権のID管理(PIM) | 特権アクセスを管理し、セキュリティを強化します。 |
| アプリ統合とシングルサインオン(SSO) | 複数のアプリへのアクセスを1つの認証で可能にします。 |
| 多要素認証(MFA) | パスワード以外の方法でユーザーを認証し、セキュリティを向上させます。 |
| 統合型の管理センター | すべての機能を一元的に管理できる場所です。 |
条件付きアクセス
条件付きアクセスは、アクセスをブロックする、または制限するための条件を設定するものです。ユーザーごとに、アクセスできるサービスやアプリケーションの制限が可能です。
例えば、アクセス条件に「○○部門」かつ「Windowsユーザー」を設定した場合、○○部門以外のユーザーであったり、使用しているPCがMacOSであったりするとアクセスがブロックされます。
ソースIP・デバイスの状態・対象サービスなどの条件の組み合わせることで、ユーザーのアカウント毎に細かくアクセス権を設定することができます。そのうちの1つでもポリシーに反していた場合にアクセスをブロックする、あるいは制限することができます。
ID管理
IDベースのリスクの検出と修復を自動化できます。Entra IDでは、Amazon Web ServiceやGoogle Cloud、Salesforceなど、クラウド上の様々なアプリケーション情報を登録できます。
またセキュリティをより高度なものにするために、二段階認証や多要素認証の導入も可能です。さらにAzure ADにあらかじめ備わっている検知機能により、怪しいサインインの検出もできます。
個人情報や企業の情報を盗もうと、巧妙化したサイバー攻撃が絶えず行われている現在において、不正なログインを防ぐ検知機能は、大きな役割であるといえるでしょう。
特権IDの管理
特権のID管理(PIM)とは、アクセスを管理、制御、監視できるようになるサービスです。 会社では、セキュリティで保護された情報やリソースへのアクセス権を持つユーザーの数を最小限に抑える必要があります。
そうすることにより、悪意のあるアクターによるアクセス権の取得や許可されているユーザーによる機密リソースの誤操作といったリスクを防ぐことができます。
シングルサインオン
アプリ統合とシングルサインオン(SSO)
シングルサインオンは、通常必要である認証手続きをスキップできるシステムです。
シングルサインオンでは、すべてのクラウドサービスを網羅しているわけではありませんが、GoogleやFacebook、Box、DocuSignなど、日常で多く使われているSaaSサービスに対応しています。
セキュリティレベルを下げることなく 複数のクラウドサービスが管理できるシングルサインオンは、便利な機能です。Azure AD内のSSO機能に各クラウドサービスを登録することで、Microsoft 365をはじめとするSaaSサービスの認証を、一括で済ませることが可能となります。
パスワードレスと多要素認証(MFA)
データとアプリへのアクセスを安全に守るのに役立ちます。パスワード固有のリスクを排除して使いやすさを実現できます。
ユーザーIDとパスワードだけでのアカウント管理で心ともない時代です。サイバー攻撃によりパスワードなどが漏えいし、いつ不正アクセスが発生するか分かりません。
そこで多要素認証を活用することで、ログインセキュリティを飛躍的に向上できます。電話やSMS、ワンタイムパスワードなど複数の認証でログインを強制すれば、不正アクセスの可能性がグッと下がるでしょう。
多要素認証例
【関連記事】
➡️Azureの多要素認証とは?その概要やメリット、認証方式を徹底解説
統合型の管理センター
統合型の管理センターとは、Azure ADの主たる機能はクラウドサービスのアカウントを一元管理できることです。
対象のサービスはMicrosoftが提供するものに限らず、「Box」や「Google Workspace」などの他社製品に対しても管理することができます。
さらに、あるサービスへのログインで使用した認証情報を利用し、他のサービスへログイン作業を不要化する「シングルサインオン」も適用することも可能です。
従来、社内でしか適用できなかったActive Directoryの機能を社外のクラウドサービスに利用できるようになるイメージでしょう。
Entra IDとオンプレミスADの違い
| Entra ID | オンプレミスAD | |
|---|---|---|
| 使用目的 | クラウドサービスのアカウントに対する認証基盤 | オンプレミスのアカウントや社内リソースを認証するための基盤 |
| 接続環境 | 外部ネットワーク | 社内ネットワーク |
| 認証方法 | SAML、WS-Federation、OpenID Connect、OAuth | Kerberosプロトコル |
| ディレクトリのアクセス | RESTベースのAPI | LDAP |
認証方法の違い
オンプレミスADとAEntra IDでは認証方法が異なります。
オンプレミスADではKerberosやNTLMといった伝統的な認証プロトコルが使用されるのに対し、Azure ADではより現代的でセキュリティが強化されたプロトコル、例えばOAuth 2.0やOpenID Connectが使用されます。
これらは多様なデバイスやアプリケーションで安全な認証を可能にし、例えばクラウドアプリへのシングルサインオンが容易に実現できます。
クラウド統合の利便性
Entra IDはMicrosoft 365、Azure、および多くのサードパーティのSaaSアプリケーションとシームレスに統合されます。
このため、ユーザーマネジメントやアクセス権限の設定を、中央集約されたクラウドベースのインターフェースを通じて簡単に行うことができるようになります。
ユーザーは地理的な位置に関係なく、必要なサービスやアプリケーションにアクセス可能です。
これにより、オンプレミスADのような物理的な制約を受けることなく、組織全体で一貫したアイデンティティとアクセスポリシーを維持できます。
Entra IDの利用シナリオ
働き方改革の推進や、コロナ禍の影響を受け、リモートワークとオフィスワークをミックスさせた「ハイブリッドワーク」が急速に浸透しました。
急激な環境変化は、IT部門の負荷も高める結果となりました。オンプレミスを中心にシステムを運用している場合は、機器の設置や設定、増設など環境構築や保守のために、追加の工数やコストが必要になります。
また、慣れない在宅での業務に関して、パスワード忘れやアクセスできないといったユーザー部門からの問い合わせ対応も増加しました。
Entra IDの利用効果が紹介されています。
Entra IDの利用効果
Microsoft Entra IDは、従業員の生産性を高め、ITの問題を減少させる効果があるとされています。
具体的には、ユーザーの生産性が年間で13時間向上 し、IAM(アイデンティティアクセスマネジメント)チームの効率が50%向上 しています。さらに、パスワードリセットのリクエストが75%減少 していることが示されています。
Azure ADをうまく活用することで、これらの実際の効果につなげることが可能です。
Azure Entra IDのプランと料金
Entra IDには、機能や特徴・価格帯の異なる4種類(Free、Office 365、Premium P1、Premium P2)のプランが提供されています。
こちらはプランの一覧表です。詳細はプラン詳細をご確認ください。
| エディション | 説明 | 価格 |
|---|---|---|
| Microsoft Entra ID 無料 | Microsoft AzureやMicrosoft 365などのクラウドサブスクリプションに含まれる。 | 無料 |
| Microsoft Entra ID P1 | エンタープライズ顧客はMicrosoft 365 E3に、中小規模企業はMicrosoft 365 Business Premiumに含まれる。スタンドアロン版も利用可能。 | 750円/ユーザー/月(税別) |
| Azure Active Directory Premium P2 | エンタープライズ顧客はMicrosoft 365 E5に含まれる。スタンドアロン版も利用可能。 | 1,130円/ユーザー/月(税別) |
| Microsoft Entra ID Governance | Microsoft Entra ID P1およびP2の顧客向けのIDガバナンス機能の高度なセット。Microsoft Entra P2利用顧客には特別価格適用。 | 880円/ユーザー/月(税別) |
【関連記事】
➡️Azureの料金体系を解説!サービスごとの料金例や確認方法も紹介
プランの詳細
Microsoft Entra IDの各プランの詳細は以下のとおりです。
Microsoft Entra ID 無料
- 概要: Microsoftのクラウドサービス(Azure、Microsoft 365など)に無料で含まれる基本的なID管理機能。
- 価格: 無料(クラウドサブスクリプションに含まれる)。
- 特徴:
- ユーザーの管理と基本的な認証。
- シングルサインオン (SSO)。
- 基本的なセキュリティと利用規模に合わせた管理。
Microsoft Entra ID P1
- 概要: より高度な保護と管理機能を提供し、エンタープライズ顧客向けにMicrosoft 365 E3、中小規模企業にはMicrosoft 365 Business Premiumに含まれる。
- 価格: 750円/ユーザー/月(税別)。
- 特徴:
- 条件付きアクセスポリシー。
- マルチファクタ認証 (MFA)。
- リスクベースのアクセス制御。
- プライベートグループとアプリのロールベースのアクセス制御。
Azure Active Directory Premium P2
- 概要: 最も包括的なID保護と管理機能を提供し、エンタープライズ顧客向けにMicrosoft 365 E5に含まれる。
- 価格: 1,130円/ユーザー/月(税別)。
- 特徴:
- P1のすべての機能に加え、
- ID保護と機械学習による異常検知。
- 特権アイデンティティ管理 (PIM)。
- アイデンティティガバナンスとアクセス管理の高度な機能。
Microsoft Entra ID Governance
- 概要: Microsoft Entra ID P1およびP2の顧客向けに提供される、IDガバナンス機能をさらに強化したセット。
- 価格: 880円/ユーザー/月(税別)。Microsoft Entra P2を利用している顧客には特別価格が適用されます。
- 特徴:
- 詳細なアクセスポリシーの設定。
- アクセスレビューと監査のためのツール。
- 組織のポリシーに基づく自動アクセス管理。
各プランは、特定のサイズやニーズに合わせて設計されており、企業のセキュリティ要件と管理の複雑さを軽減するためのものです。具体的なニーズに合わせて適切なプランを選択することができます。
また、Azureの料金計算ツールを利用する事で、月々の利用料金の見積もりを簡単に算出できます。
プランごとの対応範囲一覧
こちらはプランごとのサービス対応範囲の一覧表です。
承知しました。チェックマークを丸と三角で使い分けて表を更新します。
| 機能/プラン | Microsoft Entra ID 無料 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID Governance |
|---|---|---|---|---|
| 管理とハイブリッド ID | △ | ○ | ○ | |
| エンドユーザー セルフサービス | △ | ○ | ○ | |
| 多要素認証と条件付きアクセス | △ | △ | ○ | |
| ID 保護 | ○ | ○ | ||
| イベント ログとレポート | △ | ○ | ○ | |
| ID ガバナンス | △ | △ | △ | ○ |
:::mesage
この表では、丸(○)は機能が完全に含まれていることを、三角(△)は機能が部分的に含まれているまたは制限付きであることを示しています。
:::
Azue EntraIDの作成方法と使い方
前提準備として、Azureアカウントの作成を行ってください。
- Azuer Potalにログインします。
【Azureportalの操作方法はこちら】
➡️Azure Portalとは?操作方法やメリットをわかりやすく解説!
-
新しいリソースを作成します。
リソースの作成 -
IDを選択します。
IDの選択 -
EntraIDを選択し、作成します。
EntraIDをクリック
- EntraIDが作成できます
Azure EntraID(Azure AD)のオブジェクトID確認方法
Entra IDを管理する上で必要なオブジェクトIDやテナントIDの確認は、、AzureポータルやPowerShell、Azure CLIを通して行えます。
【参考記事】
➡️Azure ADオブジェクトIDの確認方法をわかりやすく解説!
Entra ID connect(Azure AD Connect)とは
Microsoft Entra Connectを使用すると、オンプレミスのWindows Server Active DirectoryをMicrosoft Entra IDに簡単に接続し、同期させることができます。
これは無料ツールで、インストールするだけで、ローカルのADとAzureディレクトリ間の同期を実現できます。
その結果、ハイブリッドID環境を通じて、Microsoft 365やAzure、さまざまなSaaSアプリケーションに対する一元管理されたIDをユーザーに提供することが可能になります。
Windows Server Active Directoryとの接続 (参考:Microsoft)
Microsoft Entra Connectの主な機能は以下の通りです。
- 同期サービス
ユーザー、グループ、その他のオブジェクトを同期し、オンプレミスとクラウドのID情報を一致させます。
- 稼働状況の監視
Microsoft Entra Connect Healthを通じて同期の健全性を監視し、Azureポータルからその状況を確認できます。
- AD FS
オプションのフェデレーションコンポーネントで、オンプレミスのAD FSからハイブリッド環境を構築することが可能です。
- パスワードハッシュの同期
オンプレミスのパスワードハッシュをMicrosoft Entra IDと同期させ、セキュリティを維持しつつサインインできます。
- :パススルー認証*
オンプレミスとクラウドのアプリケーションの両方で同じパスワードを使用し、サインインの手間を省きます。
Microsoft Entra Connectについては、こちらの記事で詳しく解説しています。
➡️Microsoft Entra Connectとは?主な機能をわかりやすく解説!
Entra IDプロビジョニングとは
プロビジョニングとは、新しいスタッフが入社した際に、彼らがスムーズに仕事を始められるように必要な道具や情報を全て揃えておくようなものです。
具体的には、新入社員が会社に加わった瞬間に、彼らが必要とする全てのシステムやアプリケーションへのアクセス権を自動でセットアップするプロセスです。
たとえば、新しい社員が人事部によってシステムに登録されると、その情報をもとに、必要なメールアカウント、社内利用のソフトウェア、ファイル共有サービスへのアクセス権が自動で割り当てられます。
この自動化されたプロセスにより、人的ミスが減り、セキュリティが強化され、新しいスタッフが迅速に業務に取り掛かれるようになります。
また、その社員が退職すると、同じように彼らのアクセス権は自動的に削除されます。これにより、不要なアクセス権が残ることなく、セキュリティの維持にも貢献します。
要するに、プロビジョニングは、社員が効率的に、かつ安全に仕事を行えるようにするためのビジネスプロセスの自動化です。
Azure AD B2C
マイクロソフトが提供するクラウドベースのアイデンティティ管理サービスです。このサービスは、外部の顧客に対して、ウェブアプリケーションやモバイルアプリケーション上でのサインイン、サインアップ、プロファイル管理、パスワードリセットなどのアイデンティティサービスを提供します。
サポートとリソースのご紹介
マイクロソフトlearnを利用したEntra IDの利用方法を学ぶことができます。
Microsoft Entra ID で ID とアクセスを管理する - Training
ワークロードの Microsoft Entra ID を構成して、サブスクリプション、ユーザー、グループを操作する方法について説明します。
https://learn.microsoft.com/ja-jp/training/paths/manage-identity-and-access/
また、Azure についてはAI総研に無料相談も可能です。ご気軽にご相談ください。
お問い合わせ | AI総合研究所
AI導入に関するご相談はAI総合研究所へ。数名規模の企業から大手企業まで、幅広いニーズに対応します。
https://www.ai-souken.com/contact
まとめ
この記事では、Entra IDの基礎から、機能、料金、導入方法、移行方法を紹介してみました。ぜひ、Entra IDを導入して、働きやすい職場づくりに役立ててください。
この記事が、皆様のお役に立てたら幸いです。
