Microsoft Entra ID に関してよく寄せられる質問

Microsoft Entra 管理センターまたは Azure ポータルにアクセスするには、各ユーザーは有効なサブスクリプションを使用したアクセス許可が必要です。 有料の Microsoft 365 または Microsoft Entra サブスクリプションをお持ちでない場合は、無料の Azure アカウントをアクティブ化する、または有料サブスクリプションを設定する必要があります。 Azure サブスクリプションは、有料であれ無料であれ、Microsoft Entra テナント との間に信頼関係があります。 すべてのサブスクリプションは、Microsoft Entra テナント (ディレクトリ) に依存して、セキュリティ プリンシパルとデバイスの認証と承認を行います。

詳細については、Azure サブスクリプションを Microsoft Entra ID に関連付ける方法に関するページを参照してください。

Microsoft Entra ID を使用すると、すべての Web サービスに共通の ID とアクセス機能が提供されます。 Microsoft サービス (Microsoft 365、Power Platform、Dynamics 365、その他の Microsoft 製品など) のいずれかを使用していれば、すべてのクラウド サービスのサインオンとアクセス管理を実現するために Microsoft Entra ID を使用していることになります。

Microsoft サービスを使用するように設定されているすべてのユーザーは、1 つ以上の Microsoft Entra インスタンスのユーザー アカウントとして定義され、これらのアカウントに Microsoft Entra ID へのアクセス権が付与されます。

詳細については、Microsoft Entra ID のプランと価格に関する記事を参照してください

Enterprise Mobility + Security (Microsoft Enterprise Mobility + Security) などの Microsoft Entra 有料サービスは、エンタープライズ規模の包括的な開発、管理、セキュリティ ソリューションによって、Microsoft 365 などの他の Microsoft サービスを補完します。

詳細については、Microsoft Cloudに関する記事を参照してください。

既定では、Microsoft Entra または Azure サブスクリプションにサインアップしたユーザーには、Azure リソースの所有者ロールが割り当てられます。 所有者は、Microsoft アカウントと、Microsoft Entra または Azure サブスクリプションが関連付けられているディレクトリの職場または学校アカウントのどちらも使用できます。 このロールには、Azure Portal でのサービスの管理も許可されています。

他のユーザーが同じサブスクリプションを使用してサービスにサインインしてアクセスする必要がある場合は、適切な組み込みロールを割り当てることができます。 詳細については、Azure portal を使用して Azure ロールを割り当てる方法に関するページを参照してください。

既定では、Microsoft Entra または Azure サブスクリプションにサインアップしたユーザーには、ディレクトリの全体管理者ロールが割り当てられます。 全体管理者は、すべての Microsoft Entra ディレクトリ機能にアクセスできます。 Microsoft Entra ID には、ディレクトリおよび ID 関連の機能を管理するために異なる管理者ロールのセットがあります。 これらの管理者は、Azure portal のさまざまな機能にアクセスできるようになります。 管理者のロールによって、ユーザーの作成または編集、他のユーザーへの管理者ロールの割り当て、ユーザー パスワードのリセット、ユーザー ライセンスの管理、ドメインの管理など、管理者が実行できる操作が決まります。

詳細については、Microsoft Entra ID でユーザーの管理者ロールへの割り当てと、Microsoft Entra ID での管理者ロールの割り当てに関する記事を参照してください。

いいえ。 これは、現在利用できません。

ご利用のネットワークと Microsoft Entra 管理センターおよびそのサービスとの間の接続性を最適化するために、Microsoft Entra 管理センターの特定の URL を許可リストに追加することをお勧めします。 そうすることにより、ローカルまたはワイド エリア ネットワークとの間のパフォーマンスと接続性が向上します。 プロキシ サーバーやファイアウォールなどのデバイスがネットワーク管理者によってデプロイされていることは少なくありません。これらのデバイスによって、ユーザーのインターネット アクセスに対するセキュリティと制御を向上させることができます。 ユーザーを保護するように設計されたルールは、ビジネスに関連する正当なインターネットトラフィックをブロックまたは低速化する場合があります。 このトラフィックには、以下の URL で行われるユーザーと Microsoft Entra 管理センターとの間の通信が含まれます。

• *.entra.microsoft.com
• *.entra.microsoft.us
• *.entra.microsoft.scloud
• *.entra.microsoft.eaglex.ic.gov
• *.entra.microsoftonline.cn

詳細については、Microsoft Entra アプリケーション プロキシを使用して、リモート ユーザーにオンプレミス アプリを公開するに関する記事を参照してください。 含める必要がある追加の URL は、「ファイアウォールまたはプロキシ サーバー上での Azure portal の URL の許可」の記事に記載されています。

通常、管理者に連絡することなく独自の判断で組織を脱退することができます。 ただし、場合によっては、このオプションを使用できないため、外部組織のアカウントを削除できるテナント管理者に問い合わせる必要があります。

詳細については、外部ユーザーとして組織を脱退するに関する記事を参照してください。

Microsoft Entra Connect を使用して、オンプレミスのディレクトリを Microsoft Entra ID に接続できます。

詳細については、 オンプレミス ID と Microsoft Entra ID の統合に関する記事を参照してください。

オンプレミスのディレクトリと Microsoft Entra ID の間でシングル サインオン (SSO) を設定するだけです。 Microsoft Entra ID を介してクラウド アプリケーションにアクセスしている限り、自動的にこのサービスによって、オンプレミスの資格情報を使ったユーザー認証が正しく行われます。

オンプレミスからの SSO は、Active Directory フェデレーション サービス (ADFS) などのフェデレーション ソリューションを使用するか、パスワード ハッシュ同期を構成すると、簡単に実装できます。どちらのオプションも Microsoft Entra Connect 構成ウィザードを使って簡単にデプロイできます。

詳細については、 オンプレミス ID と Microsoft Entra ID の統合に関する記事を参照してください。

はい。Microsoft Entra ID には、ユーザーによるアプリケーションのセルフ サービス アクセス用に Microsoft Entra ID アクセス パネルが用意されています。 Microsoft 365 を利用している場合、同じ機能の多くを Office 365 ポータルで使用できます。

詳細については、アクセス パネルの概要に関する記事を参照してください。

はい。 Microsoft Entra ID P1 または P2 エディションでは、Microsoft Entra Connect Health が提供されます。 Microsoft Entra Connect Health では、オンプレミスの ID インフラストラクチャと同期サービスを監視、分析できます。

詳細については、クラウド内のオンプレミスの ID インフラストラクチャと同期サービスの監視に関する記事を参照してください。

(例えば、クラウドにパスワードを保存せずに、パスワード ライトバックで Microsoft Entra のセルフサービス パスワード リセット (SSPR) を使用できますか?)

このシナリオ例では、オンプレミスのパスワードを Microsoft Entra で追跡する必要はありません。 その理由は、ライトバックを有効にするために、Active Directory パスワードを Microsoft Entra ID に同期する必要がないからです。 フェデレーション環境では、Microsoft Entra シングル サインオン (SSO) は、ユーザーの認証のためにオンプレミスのディレクトリを利用します。

パスワード ライトバックはリアルタイムで行われます。

詳細については、パスワード管理の概要に関する記事を参照してください。

はい。パスワード ライトバックが有効な状態であれば、管理者によって実行されるパスワード操作は、オンプレミスの環境に書き戻されます。

パスワード関連の質問に対する回答については、「パスワード管理に関するよく寄せられる質問 (FAQ)」を参照してください。

上記のシナリオには、複数のオプションが可能です。 使用可能な場合はセルフサービス パスワード リセット (SSPR) を使用してください。 SSPR が動作するかどうかは、その構成方法によって決まります。 Microsoft Entra パスワードのリセットに関する詳細については、「パスワード リセット ポータルのしくみ」を参照してください。

Microsoft 365 ユーザーの場合は、「ユーザー パスワードの再設定」で説明されている手順を使用して、パスワードをリセットできます。

Microsoft Entra アカウントの場合、管理者は、次のいずれかの方法を使用してパスワードをリセットできます。

• Microsoft Entra ID を使用してユーザーのパスワードをリセットする
• PowerShell を使用して VM パスワードをリセットする

Microsoft Entra ID では、より高度な戦略を使用してアカウントをロックします。 これは、使用の IP と入力したパスワードに基づいています。 また、ロックアウト期間は、攻撃されている可能性に応じて長くなります。

パスワードが拒否された場合、"このパスワードを使いすぎています" というメッセージが返されます。 これは、パスワードが、"Password"、"123456" など、一般的によく使用されるものであることを意味します。

要求をフィルター処理するゲートウェイによって、ボットネットからの保護を提供します。また、これは B2C テナントすべてに適用されます。

Microsoft Entra ID には、Microsoft、アプリケーション サービス プロバイダー、パートナーが提供する、2,600 個を超える事前統合されたアプリケーションがあります。 事前統合されたアプリケーションすべてで、シングル サインオン (SSO) がサポートされています。 SSO を使用すると、アプリへのアクセスに、所属する組織の資格情報を使うことができます。 また、一部のアプリケーションでは、プロビジョニングとプロビジョニング解除の自動化がサポートされています。

事前統合されたアプリケーションの完全な情報については、「Azure Marketplace」を参照してください。

Microsoft Entra ID P1 または P2 を使用すると、任意のアプリケーションを追加して構成できます。 アプリケーションの機能と必要性に応じて SSO と自動プロビジョニングを構成できます。

詳細については、 シングル サインオン SAML プロトコル 」および 「SCIM エンドポイントのプロビジョニングの開発と計画に関する記事を参照してください。

Microsoft Entra ID では、ユーザーがアプリケーションを表示してアクセスする方法が複数あります。たとえば、次の方法があります。

• Microsoft Entra アクセス パネル
• Microsoft 365 アプリケーション起動プログラム
• フェデレーション アプリへの直接サインイン
• フェデレーション アプリ、パスワードベースのアプリ、または既存のアプリへのディープ リンク

詳細については、アプリケーションのエンド ユーザー エクスペリエンスに関する記事を参照してください。

Microsoft Entra ID では、SAML 2.0、OpenID Connect、OAuth 2.0、WS-Federation など、認証と承認に関する標準化されたプロトコルが多数サポートされています。 Microsoft Entra ID では、フォーム ベース認証しかサポートしていないアプリのために、パスワード保管と自動サインインの機能もサポートされています。

詳細については、ID の基礎」および「Microsoft Entra ID でのアプリケーションのシングル サインオンに関する記事を参照してください。

Microsoft Entra アプリケーション プロキシを使用すれば、選択したオンプレミスの Web アプリケーションに簡単かつ安全にアクセスできます。 これらのアプリケーションには、Microsoft Entra ID でサービスとしてのソフトウェア (SaaS) アプリにアクセスするのと同じ方法でアクセスできます。 VPN を使用したり、ネットワーク インフラストラクチャを変更したりする必要はありません。

詳細については、オンプレミス アプリケーションへの安全なリモート アクセスを実現する方法に関する記事を参照してください。

Microsoft Entra 条件付きアクセスを使用して、各アプリケーションに一意のアクセス ポリシーを割り当てることができます。 ポリシーでは、多要素認証を常に要求することも、ユーザーがローカル ネットワークに接続されていない場合に要求することもできます。

詳細については、Microsoft Entra ID に接続されている Microsoft 365 やその他のアプリへのアクセスのセキュリティ保護に関する記事を参照してください。

Microsoft Entra ID を使用すると、多くの一般的なクラウド SaaS アプリでユーザー ID の作成、保守、削除を自動化できます。

詳細については、Microsoft Entra ID でのアプリのプロビジョニングとはに関する記事を参照してください。

不正解です。 Microsoft Entra ID では、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) や Secure LDAP は直接サポートされません。 ただし、Azure のネットワークを通じてネットワーク セキュリティ グループを適切に構成すれば、Microsoft Entra テナント上で Microsoft Entra Domain Services インスタンスを有効にして、LDAP 接続を実現できます。

詳細については、Microsoft Entra Domain Services のマネージド ドメインに対するセキュリティで保護された LDAP の構成に関する記事を参照してください。