Azure Active Directory とは
Azure Active Directory (Azure AD) は、クラウドベースの ID およびアクセス管理サービスです。 Azure AD を使うと、従業員が Microsoft 365、Azure portal、その他のさまざまな SaaS アプリケーションなどの外部リソースにアクセスできるようになり。 さらに、Azure Active Directory は、会社のイントラネット上のアプリなどの内部リソースや、自分の組織向けに開発されたクラウド アプリにアクセスするのにも役立ちます。 テナントの作成方法については、「クイックスタート: Azure Active Directory で新しいテナントを作成する」をご覧ください。
Active Directory と Azure Active Directory の違いについては、「Active Directory と Azure Active Directory の比較」を参照してください。 また、エンタープライズ アーキテクトのための Microsoft Cloud シリーズのポスターを参照すると、Azure AD や Microsoft 365 などの Azure での中核を成す ID サービスについて、より深く理解することができます。
Azure AD の利用者
Azure AD では、組織のメンバーに、そのロールに基づいて、さまざまなベネフィットが提供されます。
IT 管理者は、Azure AD を使って、アプリやアプリ リソースへのアクセスをビジネス要件に基づいて制御します。 たとえば、IT 管理者は、Azure AD を使って、組織の重要なリソースにアクセスするときの多要素認証を必須にすることができます。 また、Azure AD を使うと、既存の Windows Server AD とクラウド アプリ (Microsoft 365 など) の間のユーザー プロビジョニングを自動化できます。 最後に、Azure AD は、ユーザー ID と資格情報を自動的に保護し、アクセス ガバナンス要件を満たすうえで強力なツールとなります。 使用を開始するには、Azure Active Directory Premium の 30 日間無料試用版にサインアップしてください。
アプリ開発者は、ユーザーの既存の資格情報で動作するアプリにシングル サインオン (SSO) を追加するのに役立つ標準ベースの認証プロバイダーとして、Azure AD を使用できます。 開発者は、組織のデータを使って個人用にカスタマイズされたエクスペリエンスを、Azure AD API を使って構築することもできます。 使用を開始するには、Azure Active Directory Premium の 30 日間無料試用版にサインアップしてください。 詳細については、開発者向け Azure Active Directory に関するページも参照してください。
Microsoft 365、Office 365、Azure、Dynamics CRM Online のすべてのテナントは自動的に Azure AD テナントになるため、Microsoft 365、Office 365、Azure、または Dynamics CRM Online のサブスクライバーは Azure AD を既に使っています。 統合されたクラウド アプリへのアクセスの管理をすぐに始めることができます。
Azure AD のライセンスとは
Microsoft 365 や Microsoft Azure などの Microsoft Online ビジネス サービスでは、サインイン アクティビティと ID 保護のために、Azure AD が使われます。 Microsoft Online ビジネス サービスにサブスクライブすると、Azure AD Free に自動的にアクセスできるようになります。
Azure AD の実装を強化するため、Azure Active Directory Premium P1 または Premium P2 ライセンスにアップグレードして、有料機能を追加することもできます。 Azure AD の有料ライセンスは、既存の無料ディレクトリの上に構築されます。 このライセンスにより、セルフサービス、強化された監視、セキュリティ レポート、モバイル ユーザーの安全なアクセスが提供されます。
Note
これらのライセンスの価格オプションについては、「Azure Active Directory の価格」を参照してください。
Azure AD の価格の詳細については、Azure Active Directory フォーラムにお問い合わせください。
Azure Active Directory Free。 ユーザーとグループの管理、オンプレミス ディレクトリ同期、基本レポート、クラウド ユーザー向けのセルフサービスのパスワード変更のほか、Azure、Microsoft 365、および多くの一般的な SaaS アプリ全体のシングル サインオンを提供します。
Azure Active Directory Premium P1。 P1 では、Free の機能に加えて、ハイブリッド ユーザーがオンプレミスとクラウドの両方のリソースにアクセスすることもできます。 さらに、動的グループ、セルフサービス グループ管理、Microsoft Identity Manager、オンプレミス ユーザーによるセルフサービス パスワード リセットを可能にするクラウドの書き戻し機能など、高度な管理機能もサポートしています。
Azure Active Directory Premium P2。 P2 では、Free および P1 の機能に加えて、アプリや重要な企業データへのリスクベースの条件付きアクセスを提供するのに役立つ Azure Active Directory Identity Protection のほか、管理者と管理者によるリソースへのアクセスを検出、制限、監視するのに役立ち、必要に応じてジャストインタイム アクセスを提供できる Privileged Identity Management が提供されます。
"従量課金制" の機能ライセンス。 Azure Active Directory B2C (企業-消費者間) などの機能のライセンスを入手することもできます。 B2C は、顧客向けアプリ用の ID およびアクセス管理ソリューションを提供するのに役立ちます。 詳細については、「Azure Active Directory B2C のドキュメント」を参照してください。
既存の Azure サブスクリプションを Azure AD に関連付ける方法の詳細については、「Azure Active Directory への Azure サブスクリプションの関連付けまたは追加」を参照してください。 ユーザーにライセンスを割り当てる方法の詳細については、「方法: Azure Active Directory ライセンスの割り当てまたは削除」を参照してください。
Azure AD で利用できる機能
Azure AD ライセンスを選ぶと、次の機能の一部またはすべてにアクセスできるようになります。
| カテゴリ | 説明 |
|---|---|
| アプリケーション管理 | アプリケーション プロキシ、シングル サインオン、マイ アプリ ポータル、サービスとしてのソフトウェア (SaaS) アプリを使用して、クラウドおよびオンプレミスのアプリを管理します。 詳細については、「オンプレミス アプリケーションへの安全なリモート アクセスを実現する方法」および「アプリケーション管理のドキュメント」を参照してください。 |
| 認証 | Azure Active Directory のセルフサービス パスワード リセット、Multi-Factor Authentication、カスタムの禁止パスワード リスト、スマート ロックアウトを管理します。 詳細については、「Azure AD Authentication のドキュメント」を参照してください。 |
| 開発者のための Azure Active Directory | すべての Microsoft ID にサインインし、Microsoft Graph、その他の Microsoft API、またはカスタム API を呼び出すトークンを取得するアプリを構築します。 詳細については、「Microsoft ID プラットフォーム (開発者向け Azure Active Directory)」を参照してください。 |
| 企業間 (B2B) | 自社データの管理を続けながら、ゲスト ユーザーと外部パートナーを管理します。 詳細については、「Azure Active Directory B2B のドキュメント」を参照してください。 |
| 企業-消費者間 (B2C) | アプリの使用時にユーザーがサインアップおよびサインインする方法や自分のプロファイルを管理する方法をカスタマイズして制御します。 詳細については、「Azure Active Directory B2C のドキュメント」を参照してください。 |
| 条件付きアクセス | クラウド アプリへのアクセスを管理します。 詳細については、「Azure AD の条件付きアクセスのドキュメント」を参照してください。 |
| デバイスの管理 | クラウドまたはオンプレミスのデバイスが会社のデータにアクセスする方法を管理します。 詳細については、「Azure AD デバイス管理のドキュメント」を参照してください。 |
| ドメイン サービス | ドメイン コントローラーを使用せずにドメインに Azure 仮想マシンを参加させます。 詳細については、「Azure AD Domain Services のドキュメント」を参照してください。 |
| エンタープライズ ユーザー | グループと管理者のロールを使用して、ライセンスの割り当てとアプリへのアクセスを管理し、委任の設定を行います。 詳細については、「Azure Active Directory のユーザー管理のドキュメント」を参照してください。 |
| ハイブリッド ID | Azure Active Directory Connect と Connect Health を使用して、場所 (クラウドまたはオンプレミス) に関係なく、すべてのリソースに対する認証と認可のための単一のユーザー ID を提供します。 詳細については、「ハイブリッド ID のドキュメント」を参照してください。 |
| Identity Governance | 従業員、ビジネス パートナー、ベンダー、サービス、およびアプリのアクセス制御を通じて、組織の ID を管理します。 アクセス レビューを実行することもできます。 詳細については、「Azure AD Identity Governance とは」および Azure AD アクセス レビューに関するページを参照してください。 |
| Identity Protection | 組織の ID に影響を及ぼす潜在的な脆弱性を検出するほか、疑わしいアクションに対応するようにポリシーを構成し、適切なアクションを行って解決します。 詳細については、Azure AD Identity Protection に関するページを参照してください。 |
| Azure リソースのマネージド ID | Key Vault を含む、Azure AD でサポートされている任意の認証サービスに対して認証できる、Azure AD の自動管理されたマネージド ID を Azure サービスに提供します。 詳細については、「Azure リソースのマネージド ID とは」を参照してください。 |
| Privileged Identity Management (PIM) | 組織内でのアクセスを管理、制御、および監視します。 この機能には、Azure AD と Azure のリソースへのアクセスと、その他 Microsoft Online Services (Microsoft 365、Intune など) へのアクセスが含まれます。 詳しくは、Azure AD Privileged Identity Management に関するページを参照してください。 |
| レポートと監視 | 環境におけるセキュリティや使用パターンに関する分析情報を得ることができます。 詳細については、「Azure Active Directory のレポートと監視」を参照してください。 |
| ワークロード ID | 他のサービスやリソースを認証してアクセスするためにソフトウェア ワークロード (アプリケーション、サービス、スクリプト、コンテナーなど) に対して ID を付与します。 詳細については、ワークロード ID に関する FAQ を参照してください。 |
用語
Azure AD とそのドキュメントをより深く理解するために、次の用語を確認しておくことをお勧めします。
| 用語または概念 | 説明 |
|---|---|
| ID | 認証を受けることができるもの。 ID は、ユーザー名とパスワードを持つユーザーの可能性があります。 ID には、秘密キーまたは証明書による認証を必要とする可能性があるアプリケーションまたはその他のサーバーも含まれます。 |
| アカウント | データが関連付けられている ID。 ID を持たないアカウントを使用することはできません。 |
| Azure AD アカウント | Azure AD またはそれ以外の Microsoft クラウド サービス (Microsoft 365 など) を通じて作成される ID です。 ID は Azure AD に保存され、組織のクラウド サービスのサブスクリプションで利用できます。 このアカウントは、職場または学校アカウントと呼ばれることもあります。 |
| アカウント管理者 | この従来のサブスクリプション管理者ロールは、概念的にはサブスクリプションの課金の所有者です。 このロールを使用すると、アカウントのすべてのサブスクリプションを管理できます。 詳細については、「Azure ロール、Azure AD ロール、従来のサブスクリプション管理者ロール」を参照してください。 |
| サービス管理者 | この従来のサブスクリプション管理者ロールでは、アクセスを含め、すべての Azure リソースを管理することができます。 このロールは、サブスクリプション スコープで所有者ロールを割り当てられているユーザーと同等のアクセス権を持ちます。 詳細については、「Azure ロール、Azure AD ロール、従来のサブスクリプション管理者ロール」を参照してください。 |
| 所有者 | このロールは、アクセスを含め、すべての Azure リソースを管理するのに役立ちます。 このロールは、Azure リソースへのきめ細かなアクセス管理を提供する Azure ロールベース アクセス制御 (Azure RBAC) と呼ばれる新しい承認システムをベースに構築されています。 詳細については、「Azure ロール、Azure AD ロール、従来のサブスクリプション管理者ロール」を参照してください。 |
| Azure AD 全体管理者 | この管理者ロールは、Azure AD テナントを作成したユーザーに自動的に割り当てられます。 全体管理者は複数人配置することができますが、管理者ロールをユーザーに割り当てることができるのは全体管理者に限られます (これには他の全体管理者を割り当てることも含まれます)。 さまざまな管理者ロールの詳細については、「Azure Active Directory での管理者ロールのアクセス許可」を参照してください。 |
| Azure サブスクリプション | Azure クラウド サービスの支払いに使用されます。 多数のサブスクリプションをご利用いただけます。サブスクリプションはクレジット カードにリンクされます。 |
| Azure テナント | Azure AD の信頼された専用インスタンス。 テナントは、組織が Microsoft クラウド サービスのサブスクリプションにサインアップしたときに自動的に作成されます。 これらのサブスクリプションには、Microsoft Azure、Microsoft Intune、Microsoft 365 が含まれます。 1 つの Azure テナントは単一の組織を表します。 |
| シングル テナント | 専用の環境で他のサービスにアクセスする Azure テナントは、単一のテナントと見なされます。 |
| マルチテナント | 複数の組織の共用環境で他のサービスにアクセスする Azure テナントは、マルチテナントと見なされます。 |
| Azure AD ディレクトリ | Azure の各テナントには、信頼された専用の Azure AD ディレクトリが用意されます。 Azure AD ディレクトリは、テナントのユーザー、グループ、およびアプリを含み、テナント リソースに対して ID およびアクセス管理機能を実行するために使用されます。 |
| カスタム ドメイン | 新しい Azure AD ディレクトリにはすべて、domainname.onmicrosoft.com のような初期ドメイン名が付けられます。 その初期ドメイン名に加えて、組織のドメイン名を追加することもできます。 組織のドメイン名には、ビジネスを行うために使用する名前と、ユーザーが組織のリソースにアクセスするために使用する名前が含まれ、一覧に表示されます。 カスタム ドメイン名を追加すると、alain@contoso.com など、ユーザーになじみのあるユーザー名を作成するのに役立ちます。 |
| Microsoft アカウント (別称: MSA) | コンシューマー向けの Microsoft 製品とクラウド サービスへのアクセスを提供する個人アカウントです。 これらの製品とサービスには、Outlook、OneDrive、Xbox LIVE、Microsoft 365 が含まれます。 お使いの Microsoft アカウントは、Microsoft が運営する Microsoft コンシューマー ID アカウント システムを使用して作成、保存されます。 |