Microsoft Entra の基礎

Microsoft Entra ID は、Azure リソースと信頼アプリケーションの ID とアクセスの境界を提供します。 ほとんどの環境分離要件は、シングル Microsoft Entra テナントでの委任された管理で満たすことができます。 この構成により、システムの管理オーバーヘッドが軽減されます。 ただし、リソースと ID の完全な分離などの特定のケースでは、マルチ テナントが必要です。

ニーズに基づいて環境分離アーキテクチャを決定する必要があります。 次の領域について検討する必要があります。

• リソースの分離。 リソースがユーザー オブジェクトなどのディレクトリ オブジェクトを変更する可能性があり、その変更が他のリソースに干渉する場合は、マルチテナント アーキテクチャでリソースを分離する必要があるかもしれません。

• 構成の分離。 テナント全体の構成は、すべてのリソースに影響します。 テナント全体の構成のうち一部のものの影響については、条件付きアクセス ポリシーやその他の方法でスコープを設定できます。 条件付きアクセス ポリシーでスコープを設定できない別のテナント構成が必要な場合は、マルチテナント アーキテクチャが必要かもしれません。

• 管理上の分離。 シングル テナント内の管理グループ、サブスクリプション、リソース グループ、リソース、一部のポリシーの管理を委任できます。 グローバル管理者は、常にテナント内のすべてに対するアクセス権を持っています。 環境が別の環境と管理者を共有していることがないように保証する必要がある場合は、マルチテナント アーキテクチャが必要です。

セキュリティを維持するには、ID プロビジョニング、認証管理、ID ガバナンス、ライフサイクル管理、および操作に関するベスト プラクティスに従い、それをすべてのテナントで一貫して実行する必要があります。

用語

この用語の一覧は、一般的に Microsoft Entra ID に関連付けられており、このコンテンツに関連しています。

Microsoft Entra テナント. 組織が Microsoft クラウド サービスのサブスクリプションにサインアップしたときに自動的に作成される Microsoft Entra ID の信頼できる専用インスタンス。 サブスクリプションの例としては、Microsoft Azure、Microsoft Intune、Microsoft 365 があります。 Microsoft Entra テナントは、通常、単一の組織またはセキュリティ境界を表します。 Microsoft Entra テナントには、テナント リソースに対して ID およびアクセス管理 (IAM) を実行するために使用されるユーザー、グループ、アプリケーションが含まれています。

環境。 このコンテンツの文脈においては、環境とは、1 つ以上の Microsoft Entra テナントに関連付けられている Azure サブスクリプション、Azure リソース、およびアプリケーションのコレクションです。 Microsoft Entra テナントは、これらのリソースへのアクセスを制御する ID コントロール プレーンを提供します。

運用環境。 このコンテンツの文脈においては、運用環境とは、エンド ユーザーが直接やり取りを行うインフラストラクチャとサービスを備えたライブ環境です。 たとえば、企業や顧客向けの環境などです。

非運用環境。 このコンテンツの文脈においては、非運用環境とは、次の目的で使用される環境を指します。

• 開発

• テスト

• ラボの目的

非運用環境は、一般的にサンドボックス環境と呼ばれます。

ID。 ID とは、リソースへのアクセスの認証と承認を受けられるディレクトリ オブジェクトです。 ID オブジェクトには、人間に与えられる ID と人間以外に与えられる ID があります。 人間以外のエンティティには、次のものがあります。

• アプリケーション オブジェクト

• ワークロード ID (旧称ではサービス プリンシパルと表現されていました)

• マネージド ID

• デバイス

人間に与えられる ID は、通常、組織内のユーザーを表すユーザー オブジェクトです。 これらの ID は、Microsoft Entra ID で直接作成され管理されるか、特定の組織のオンプレミスの Active Directory から Microsoft Entra ID に同期されます。 これらの種類の ID は ローカル ID と呼ばれます。 Microsoft Entra B2B コラボレーションを使用して、パートナー組織またはソーシャル ID プロバイダーから招待されたユーザー オブジェクトもある可能性があります。 このコンテンツでは、これらの種類の ID を外部 ID と呼びます。

人間以外に与えられる ID には、人間に関連付けられていないすべての ID が含まれます。 この種類の ID は、実行に ID を必要とするアプリケーションなどのオブジェクトです。 このコンテンツでは、この種類の ID をワークロード ID と呼びます。 この種類の ID は、アプリケーション オブジェクトやサービス プリンシパルなど、さまざまな用語を使用して表現されます。

• アプリケーション オブジェクト。 Microsoft Entra アプリケーションは、それ自身のアプリケーション オブジェクトで定義されます。 オブジェクトはアプリケーションが登録された Microsoft Entra テナントに存在します。 テナントは、アプリケーションの "ホーム" テナントと呼ばれます。

  • シングルテナント アプリケーションは、"ホーム" テナントからの ID のみを承認するように作成されます。

  • マルチテナント アプリケーションでは、任意の Microsoft Entra テナントからの ID を認証できます。

• サービス プリンシパル オブジェクト。 例外はありますが、アプリケーション オブジェクトはアプリケーションの定義と考えることができます。 サービス プリンシパル オブジェクトは、アプリケーションのインスタンスと考えることができます。 一般的に、サービス プリンシパルはアプリケーション オブジェクトを参照し、1 つのアプリケーション オブジェクトはディレクトリを超えて複数のプリンシパルによって参照されます。

サービス プリンシパル オブジェクトも、人間の介入とは関係なくタスクを実行できるディレクトリ ID です。 サービス プリンシパルは、その Microsoft Entra テナント内のユーザーまたはアプリケーションのアクセス ポリシーとアクセス許可を定義します。 このメカニズムによって、サインイン時のユーザーまたはアプリケーションの認証、リソースへのアクセス時の承認などのコア機能を利用できるようになります。

Microsoft Entra ID を使用すると、アプリケーション オブジェクトとサービス プリンシパル オブジェクトは、パスワード (アプリケーション シークレットとも呼ばれる) または証明書を使用して認証できます。 サービス プリンシパルにパスワードを使用することはお勧めしません。可能な限り証明書を使用することをお勧めします。

• Azure リソースの管理 ID。 マネージド ID は、Microsoft Entra ID の特別なサービス プリンシパルです。 この種類のサービス プリンシパルを使用すると、コードに資格情報を格納したりシークレット管理を処理したりする必要なく、Microsoft Entra 認証をサポートするサービスに対する認証を行うことができます。 詳細については、「Azure リソースのマネージド ID とは」を参照してください。

• デバイス ID: デバイス ID は、認証フロー中のデバイスが、デバイスが正当であり、技術的要件を満たしていることを証明するプロセスを通り抜けたことを確証します。 デバイスがこのプロセスを正常に完了すると、関連付けられている ID を使用して、組織のリソースへのアクセスをさらに制御できます。 Microsoft Entra ID を使用すると、デバイスは証明書を使用して認証できます。

一部のレガシ シナリオでは、人間以外のシナリオで人間に与えられる ID を使用する必要がありました。 たとえば、スクリプトやバッチ ジョブなどのオンプレミス アプリケーションで使用されているサービス アカウントが Microsoft Entra ID へのアクセスを必要とする場合です。 このパターンはお勧めしません。証明書の使用をお勧めします。 ただし、認証に人間の ID とパスワードを使用する場合は、Microsoft Entra 多要素認証を使用して Microsoft Entra アカウントを保護してください。

ハイブリッド ID。 ハイブリッド ID は、オンプレミス環境とクラウド環境にまたがる ID です。 これにより、同じ ID を使用してオンプレミス リソースとクラウドのリソースにアクセスできるという利点があります。 このシナリオの認証元は通常、オンプレミス ディレクトリであり、プロビジョニング、プロビジョニング解除、リソースの割り当てといった ID ライフサイクルもオンプレミス主導で行われます。 詳細については、「ハイブリッド ID のドキュメント」を参照してください。

ディレクトリ オブジェクト。 Microsoft Entra テナントには、次の共通オブジェクトが含まれています。

• ユーザー オブジェクトは、現在サービス プリンシパルをサポートしていないサービスの人間用 ID と人間以外用の ID を表します。 ユーザー オブジェクトには、個人の詳細、グループ メンバーシップ、デバイス、ユーザーに割り当てられたロールなど、ユーザーに関する必要な情報をもつ属性が含まれます。

• デバイス オブジェクトは、Microsoft Entra テナントに関連付けられているデバイスを表します。 デバイス オブジェクトには、デバイスに関する必要な情報をもつ属性が含まれています。 これには、オペレーティング システム、関連付けられているユーザー、コンプライアンスの状態、および Microsoft Entra テナントとの関連付けの性質が含まれます。 この関連付けは、デバイスの相互作用と信頼レベルの性質に応じて、複数の形式を取ることができます。

  • ハイブリッド ドメイン参加済み。 組織が所有し、オンプレミスの Active Directory と Microsoft Entra ID の両方に参加しているデバイス。 通常、デバイスは組織によって購入および管理され、System Center Configuration Manager によって管理されます。

  • Microsoft Entra ドメイン参加済み。 組織が所有し、組織の Microsoft Entra テナントに参加しているデバイス。 通常、Microsoft Entra ID に参加し、Microsoft Intune などのサービスによって管理されている、組織によって購入および管理されるデバイスです。

  • Microsoft Entra 登録済み。 会社のリソースへのアクセスに使用される個人のデバイスなど、組織が所有していないデバイス。 組織は、デバイスをモバイル デバイス管理 (MDM) 経由で登録するか、リソースにアクセスするための登録なしでモバイル アプリケーション管理 (MAM) を経由するよう強制するか、いずれかを求める場合があります。 この機能は、Microsoft Intune などのサービスによって提供できます。

• グループ オブジェクトには、リソース アクセスの割り当て、コントロールの適用、または構成を目的としたオブジェクトが含まれます。 グループ オブジェクトには、名前、説明、グループ メンバー、グループ所有者、グループの種類など、グループに関する必要な情報をもつ属性が含まれます。 Microsoft Entra ID のグループは、組織の要件に基づいて複数の形式を取ります。Microsoft Entra ID をマスターとすることも、オンプレミスの Active Directory Domain Services (AD DS) から同期することもあります。

  • 割り当てられたグループ。 割り当てられたグループでは、ユーザーは手動でグループに追加または削除されるか、オンプレミスの AD DS から同期されるか、自動化されたスクリプト記述のワークフローの一部として更新されます。 割り当てられたグループは、オンプレミスの AD DS から同期することも、Microsoft Entra ID をホームとすることもできます。

  • 動的メンバーシップ グループ。 動的グループでは、ユーザーは定義された属性に基づいて自動的にグループに割り当てられます。 これにより、ユーザー オブジェクト内に保持されているデータに基づいて、グループ メンバーシップを動的に更新できます。 動的グループは、Microsoft Entra ID のみをホームとすることができます。

Microsoft アカウント (MSA). Microsoft アカウント (MSA) を使用して Azure サブスクリプションとテナントを作成できます。 Microsoft アカウントは個人アカウント (組織アカウントとは対照的に) であり、開発者が、トライアル シナリオで使用するのが一般的です。 使用する場合、個人アカウントは常に Microsoft Entra テナントのゲストになります。

Microsoft Entra 機能領域

Microsoft Entra ID によって提供される、分離された環境に関連する機能領域を次に示します。 Microsoft Entra ID の機能の詳細については、「Microsoft Entra ID とは」を参照してください。

認証

[認証] : Microsoft Entra ID では、Open ID Connect、OAuth、SAML などのオープン標準に準拠した認証プロトコルのサポートを提供しています。 また、Microsoft Entra ID には、Active Directory フェデレーション サービス (AD FS) (AD FS) などの既存のオンプレミス ID プロバイダーをフェデレーションして、Microsoft Entra 統合アプリケーションへのアクセスを認証するための機能も用意されています。

Microsoft Entra ID には、組織がリソースへのアクセスをセキュリティで保護するために使用できる、業界をリードする強力な認証オプションが用意されています。 Microsoft Entra 多要素認証、デバイス認証、パスワードレス機能により、組織は従業員の要件に合った強力な認証オプションをデプロイできます。

シングル サインオン (SSO)。 シングル サインオンを使用すると、ユーザーは 1 つのアカウントで 1 回サインインすることで、ドメイン参加済みデバイス、会社のリソース、サービスとしてのソフトウェア (SaaS) アプリケーション、すべての Microsoft Entra 統合アプリケーションなど、ディレクトリを信頼するすべてのリソースにアクセスできます。 詳細については、「Microsoft Entra ID でのアプリケーションへのシングル サインオン」を参照してください。

承認

リソース アクセスの割り当て。 Microsoft Entra ID では、リソースへのアクセスを、セキュリティで保護された状態で提供します。 Microsoft Entra ID のリソースへのアクセス権の割り当てには、次の 2 つの方法があります。

• ユーザーの割り当て: ユーザーにリソースへのアクセス権が直接割り当てられ、適切なロールまたはアクセス許可がユーザーに割り当てられます。

• グループの割り当て: 1 人以上のユーザーを含むグループがリソースに割り当てられ、適切なロールまたはアクセス許可がグループに割り当てられます

アプリケーションのアクセス ポリシー。 Microsoft Entra ID には、組織のアプリケーションへのアクセスをさらに制御し、セキュリティで保護する機能が用意されています。

条件付きアクセス。 Microsoft Entra ID 条件付きアクセス ポリシーは、Microsoft Entra ID リソースにアクセスするときにユーザーとデバイスのコンテキストを承認フローに取り込むためのツールです。 組織は、ユーザー、リスク、デバイス、ネットワーク コンテキストに基づいて認証を許可、拒否、または強化するために、条件付きアクセス ポリシーの使用を検討する必要があります。 詳細については、「Microsoft Entra の条件付きアクセスのドキュメント」を参照してください。

Microsoft Entra ID 保護。 この機能によって、組織は、ID ベースのリスクの検出と修復の自動化、リスク調査、さらなる分析のためのサードパーティ製ユーティリティへのリスク検出データのエクスポートを実行できます。 詳細については、「Microsoft Entra ID 保護の概要」を参照してください。

管理

ID 管理。 Microsoft Entra ID には、ユーザー ID、グループ ID、およびデバイス ID のライフサイクルを管理するためのツールが用意されています。 Microsoft Entra Connect を使用すると、組織は現在のオンプレミスの ID 管理ソリューションをクラウドに拡張できます。 Microsoft Entra Connect は、これらの ID の Microsoft Entra ID でのプロビジョニング、プロビジョニング解除、更新を管理します。

Microsoft Entra ID には、組織が ID を管理したり、Microsoft Entra ID 管理を既存のワークフローや自動化に統合したりできるようにするためのポータルと Microsoft Graph API も用意されています。 Microsoft Graph の詳細については、「Microsoft Graph API を使用する」を参照してください。

デバイスの管理。 Microsoft Entra ID は、クラウドおよびオンプレミスのデバイス管理インフラストラクチャのライフサイクルと統合を管理するために使用されます。 また、クラウドまたはオンプレミスのデバイスから組織のデータへのアクセスを制御するポリシーを定義するためにも使用されます。 Microsoft Entra ID では、ディレクトリ内のデバイスのライフサイクル サービスと、認証を有効にする資格情報のプロビジョニングが提供されます。 さらに、信頼レベルというシステム内のデバイスの重要な属性も管理します。 この詳細は、リソース アクセス ポリシーを設計するときに重要です。 詳細については、「Microsoft Entra デバイス管理のドキュメント」を参照してください。

構成管理。 Microsoft Entra ID には、サービスが確実に組織の要件に合わせて構成されるように構成し管理する必要があるサービス要素があります。 ドメイン管理、SSO 構成、アプリケーション管理などは、これらの要素のごく一部です。 Microsoft Entra ID にはポータルと Microsoft Graph API が用意されており、組織がこれらの要素を管理したり、既存のプロセスに統合したりできます。 Microsoft Graph の詳細については、「Microsoft Graph API を使用する」を参照してください。

ガバナンス

ID ライフサイクル。 Microsoft Entra ID には、ディレクトリ内で (外部 ID を含む) ID を作成、取得、削除、更新する機能が用意されています。 Microsoft Entra ID には、組織のニーズに合わせて維持されるよう ID ライフサイクルを自動化するためのサービスも用意されています。 たとえば、アクセス レビューを使用して、指定した期間サインインしていない外部ユーザーを削除するなどです。

レポートと分析。 ID ガバナンスの重要な側面は、ユーザー アクションの可視性です。 Microsoft Entra ID は、環境のセキュリティと使用パターンに関する分析情報を提供します。 これらの分析情報には、次に関する詳細情報が含まれます。

• ユーザーがアクセスする対象

• アクセスを行う場所

• 使用するデバイス

• アクセスに使用されるアプリケーション

Microsoft Entra ID では、Microsoft Entra ID 内で実行されているアクションに関する情報や、セキュリティ リスクに関するレポートも提供されます。 詳細については、「Microsoft Entra レポートと監視」を参照してください。

監査。 監査により、Microsoft Entra ID 内の特定の機能によって行われるすべての変更について、ログによる追跡可能性を提供します。 監査ログで確認できるアクティビティの例としては、ユーザー、アプリ、グループ、ロール、ポリシーの追加や削除など、Microsoft Entra ID 内のあらゆるリソースに対して行われる変更があります。 Microsoft Entra ID のレポートを使用すると、サインイン アクティビティ、危険なサインイン、およびリスクのフラグが設定されたユーザーを監査できます。 詳細については、「Azure portal の監査アクティビティ レポート」を参照してください。

アクセス認定。 アクセス認定とは、ユーザーがある時点であるリソースにアクセスする権利があることを証明するプロセスです。 Microsoft Entra アクセス レビューでは、グループやアプリケーションのメンバーシップを継続的に確認し、アクセスが必要かどうか、または削除する必要があるかどうかを判断するための分析情報を提供します。 これにより、組織はグループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、ロールの割り当てを効果的に管理して、適切なユーザーのみが引き続きアクセスするようにできます。 詳細については、「Microsoft Entra アクセス レビューとは」を参照してください。

特権アクセス。 Microsoft Entra Privileged Identity Management (PIM) によって、時間ベースおよび承認ベースのロールのアクティブ化が提供され、Azure リソースに対する過剰、不要、または誤用であるアクセス許可のリスクが軽減されます。 特権の露出時間を短縮し、レポートとアラートを通じて使用状況の可視性を高めることにより、特権アカウントを保護するために使用されます。

セルフサービス管理

資格情報の登録。 Microsoft Entra ID には、組織のヘルプデスクのワークロードを軽減するために、ユーザー ID ライフサイクルのすべての側面を管理する機能とセルフサービス機能が用意されています。

グループ管理。 Microsoft Entra ID には、ユーザーがリソース アクセス用のグループのメンバーシップを要求したり、リソースやコラボレーションのセキュリティ保護に使用できるグループを作成したりできる機能が用意されています。 これらの機能は、適切なコントロールが行われるよう、組織による制御が可能です。

コンシューマーの ID とアクセスの管理 (IAM)

Azure AD B2C。 Azure AD B2C は、Azure サブスクリプションで有効にして、組織の顧客向けアプリケーションのコンシューマーに ID を提供できるサービスです。 これは別個の ID のアイランドであり、こうしたユーザーは組織の Microsoft Entra テナントには表示されません。 Azure AD B2C は、Azure サブスクリプションに関連付けられているテナントの管理者によって管理されます。

次のステップ

• 委任された管理と分離された環境の概要

• Azure リソース管理の基礎

• シングル テナントでのリソースの分離

• マルチ テナントでのリソースの分離

• ベスト プラクティス