Microsoft Entra ID ガバナンス ライセンスの基礎
次のドキュメントでは、Microsoft Entra ID ガバナンス ライセンスについて説明します。 この記事は、組織に Microsoft Entra ID ガバナンス サービスを検討している IT 意思決定者、IT 管理者、IT プロフェッショナルを対象としています。
ライセンスの種類
商用クラウドでは、次のライセンスを Microsoft Entra ID ガバナンスで使用できます。 テナントで必要なライセンスの選択は、そのテナントで使用している機能によって異なります。
- 無料 - Microsoft Azure、Microsoft 365 などの Microsoft クラウド サブスクリプションに含まれています。
- Microsoft Entra ID P1 - Microsoft Entra ID P1 は、スタンドアロン プロダクトとして使用できるほか、大企業向けの Microsoft 365 E3 および中小企業向けの Microsoft 365 Business Premium に含まれています。
- Microsoft Entra ID P2 - Microsoft Entra ID P2 は、スタンドアロン プロダクトとして使用できるほか、大企業向けの Microsoft 365 E5 に含まれています。
- Microsoft Entra ID Governance - Entra ID Governance は、Microsoft Entra ID P1 と P2 のお客様が利用できる高度な ID ガバナンス機能のセットであり、2 つの製品 Microsoft Entra ID Governance と Microsoft Entra ID P2 用のMicrosoft Entra ID Governance ステップアップ として提供されます。 これらの製品には、Microsoft Entra ID P2 にあった基本的な ID ガバナンス機能と、追加の高度な ID ガバナンス機能が含まれています。
Note
Microsoft Entra ID ガバナンスのシナリオの一部は、Microsoft Entra ID ガバナンスでカバーされていない他の機能に依存するよう構成できるものもあります。 これらの機能には、追加のライセンス要件がある場合があります。 追加機能に依存する ガバナンス シナリオの詳細については、ID ガバナンスの概要 を参照してください。
Microsoft Entra ID ガバナンス製品は、米国政府クラウドまたは米国国内クラウドではまだ利用できません。
ガバナンス製品と前提条件
Microsoft Entra ID ガバナンス機能は現在、商用クラウドの 2 つの製品で利用できます。 これら 2 つの製品は、同じ ID ガバナンス機能を提供します。 2 つの製品の違いは、前提条件が異なっていることです。
- Microsoft Entra ID ガバナンス (ユーザー SL) ライセンスとして製品使用条件に記載されている Microsoft Entra ID ガバナンスのサブスクリプションでは、テナントにも、
AAD_PREMIUMまたはAAD_PREMIUM_P2サービス プランを含む別の製品へのアクティブなサブスクリプションが必要です。 この前提条件を満たす製品の例としては、Microsoft Entra ID P1、Microsoft 365 E3/E5/A3/A5/G3/G5、Enterprise Mobility + Security E3/E5、または Microsoft 365 F1/F3 などがあります。 - Microsoft Entra ID ガバナンス P2 ライセンスとして製品使用条件に記載されている Microsoft Entra ID P2 用の Microsoft Entra ID ガバナンス ステップアップのサブスクリプションでは、テナントにも、
AAD_PREMIUM_P2サービス プランを含む別の製品へのアクティブなサブスクリプションが必要です。 この前提条件を満たす製品の例としては、Microsoft Entra ID P2、Microsoft 365 E5/A5/G5、Enterprise Mobility + Security E5、Microsoft 365 E5/F5 Security、Microsoft 365 F5 Security + Complianceなどがあります。
ライセンスの製品名とサービス プラン識別子には、前提条件となるサービス プランを含む追加の製品が一覧表示されます。
Note
Microsoft Entra ID Governance 製品の前提条件へのサブスクリプションは、テナントでアクティブである必要があります。 前提条件が存在しない場合、またはサブスクリプションの有効期限が切れた場合、Microsoft Entra ID Governance シナリオが想定どおりに機能しない可能性があります。
Microsoft Entra ID Governance 製品の前提条件製品がテナントに存在するかどうかをチェックするには、Microsoft Entra 管理センターまたは Microsoft 365 管理センターを使用して製品の一覧を表示できます。
Microsoft Entra 管理センターにグローバル管理者としてサインインします。
[ID] メニューの [請求先] を展開し、[ライセンス] を選択します。
[管理] メニューの [ライセンスありの機能] を選択します。 情報バーには、現在の Microsoft Entra ID ライセンス プランが表示されます。
テナント内の既存の製品を表示するには、[管理] メニューの [すべての製品] を選択します。
試用版の開始
Microsoft Entra ID P1 など、適切な前提条件製品を所有しており、既に購入済みで、現在 Microsoft Entra ID ガバナンスを使用していない、または試用版を使用したことがないテナントのグローバル管理者は、そのテナントで Microsoft Entra ID ガバナンスの試用版を要求できます。
Microsoft 365 管理センターにグローバル管理者としてサインインします。
[課金] メニューの [サービスの購入] を選択します。
[すべての製品カテゴリを検索する] ボックスに「
"Microsoft Entra ID Governance"」と入力します。Microsoft Entra ID Governance の下にある [詳細] を選択して、製品の試用版と購入情報を表示します。 テナントに Microsoft Entra ID P2 がある場合は、Microsoft Entra ID P2 用の Microsoft Entra ID Governance ステップ アップ の下にある [詳細] を選択します。
製品の詳細ページで、[試用版の開始] を選択します。
次の表は、Microsoft Entra ID ガバナンス機能のライセンス要件を示しています。 ライセンス情報と、エンタイトルメント管理、アクセス レビュー、ライフサイクル ワークフローのライセンス シナリオの例を表の後に示します。
ライセンス別の機能
次の表は、各ライセンスので使用できる機能を示しています。 すべての機能がすべてのクラウドで使用できるわけではありません。Azure Government の「Microsoft Entra 機能の可用性」を参照してください。
| 機能 | Free | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID Governance |
|---|---|---|---|---|
| API 駆動型のプロビジョニング | ✅ | ✅ | ✅ | |
| 人事主導のプロビジョニング | ✅ | ✅ | ✅ | |
| SaaS アプリへの自動ユーザー プロビジョニング | ✅ | ✅ | ✅ | ✅ |
| SaaS アプリへの自動グループ プロビジョニング | ✅ | ✅ | ✅ | |
| オンプレミス アプリへの自動プロビジョニング | ✅ | ✅ | ✅ | |
| 条件付きアクセス - 使用条件の構成証明 | ✅ | ✅ | ✅ | |
| エンタイトルメント管理 - 基本的なエンタイトルメント管理 | ✅ | ✅ | ||
| エンタイトルメント管理 - 条件付きアクセス スコープ | ✅ | ✅ | ||
| エンタイトルメント管理 MyAccess 検索 | ✅ | ✅ | ||
| 検証済み ID を使用したエンタイトルメント管理 | ✅ | |||
| エンタイトルメント管理 + カスタム拡張機能 (Logic Apps) | ✅ | |||
| エンタイトルメント管理 + 自動割り当てポリシー | ✅ | |||
| エンタイトルメント管理 - 任意のユーザーを直接割り当てる (プレビュー) | ✅ | |||
| エンタイトルメント管理 - ゲスト変換 API | ✅ | |||
| エンタイトルメント管理 - 猶予期間 (プレビュー) | ✅ | ✅ | ||
| マイ アクセス ポータル | ✅ | ✅ | ||
| エンタイトルメント管理 - Microsoft Entra ロール (プレビュー) | ✅ | |||
| エンタイトルメント管理 - スポンサー ポリシー | ✅ | |||
| Privileged Identity Management (PIM) | ✅ | ✅ | ||
| グループの PIM | ✅ | ✅ | ||
| PIM CA コントロール | ✅ | ✅ | ||
| アクセス レビュー - 基本的なアクセス認定とレビュー | ✅ | ✅ | ||
| アクセス レビュー - グループの PIM (プレビュー) | ✅ | |||
| アクセス レビュー - 非アクティブなユーザーのレビュー | ✅ | |||
| アクセス レビュー - 非アクティブなユーザーのレコメンデーション | ✅ | ✅ | ||
| アクセス レビュー - 機械学習支援によるアクセス認定とレビュー | ✅ | |||
| ライフサイクル ワークフロー (LCW) | ✅ | |||
| LCW + カスタム拡張機能 (Logic Apps) | ✅ | |||
| Identity Governance ダッシュボード (プレビュー) | ✅ | ✅ | ✅ | |
| 分析情報とレポート - 非アクティブなゲスト アカウント (プレビュー) | ✅ |
エンタイトルメント管理
組織のユーザーがこの機能を使うには、Microsoft Entra ID Governance のサブスクリプションが必要です。 この機能に含まれる一部の機能は、Microsoft Entra ID P2 サブスクリプションで動作する場合があります。
ライセンスのシナリオ例
必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。
| シナリオ | 計算 | ライセンス数 |
|---|---|---|
| Woodgrove Bank の ID ガバナンス管理者が初期カタログを作成します。 ポリシーの 1 つで、すべての従業員 (2,000 の従業員) は特定のアクセス パッケージのセットを要求できることが指定されています。 150 人の従業員がアクセス パッケージを要求します。 | アクセス パッケージを要求できる 2,000 人の従業員 | 2,000 |
| Woodgrove Bank の ID ガバナンス管理者が初期カタログを作成します。 ポリシーの 1 つで、すべての従業員 (2,000 の従業員) は特定のアクセス パッケージのセットを要求できることが指定されています。 150 人の従業員がアクセス パッケージを要求します。 | 2,000 人の従業員にライセンスが必要です。 | 2,000 |
| Woodgrove Bank の ID ガバナンス管理者が初期カタログを作成します。 営業部門のすべてのメンバー (350 人の従業員) に特定のアクセス パッケージへのアクセス権を付与する自動割り当てポリシーを作成します。 350 人の従業員がアクセス パッケージに自動的に割り当てられます。 | 350 人の従業員にライセンスが必要です。 | 351 |
アクセス レビュー
この機能を使用するには、アクセスをレビューしているやアクセスがレビューしされているすべての従業員を含む、組織のユーザー向けの Microsoft Entra ID ガバナンス サブスクリプションが必要です。 この機能に含まれる一部の機能は、Microsoft Entra ID P2 サブスクリプションで動作する場合があります。
ライセンスのシナリオ例
必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。
| シナリオ | 計算 | ライセンス数 |
|---|---|---|
| 管理者は、ユーザーが 75 人でグループ所有者が 1 人のグループ A のアクセス レビューを作成し、そのグループ所有者をレビュー担当者として割り当てます。 | レビュー担当者としてのグループ所有者のライセンスが 1 つ、75 人のユーザーに対して 75 ライセンス。 | 76 |
| 管理者は、ユーザーが 500 人でグループ所有者が 3 人のグループ B のアクセス レビューを作成し、その 3 人のグループ所有者をレビュー担当者として割り当てます。 | ユーザーには 500 ライセンス、レビュー担当者としてグループ所有者ごとに 3 つのライセンス。 | 503 |
| 管理者は、ユーザーが 500 人のグループ B のアクセス レビューを作成します。 自己レビューにします。 | 自己レビュー担当者としての各ユーザー用に 500 ライセンス | 500 |
| 管理者は、メンバー ユーザーが 50 人のグループ C のアクセス レビューを作成します。 自己レビューにします。 | 自己レビュー担当者としての各ユーザー用に 50 ライセンス。 | 50 |
| 管理者は、メンバー ユーザーが 6 人のグループ D のアクセス レビューを作成します。 自己レビューにします。 | 自己レビュー担当者としての各ユーザー用に 6 ライセンス。 その他のライセンスは不要です。 | 6 |
ライフサイクル ワークフロー
ライフサイクル ワークフローの Entra Governance ID ライセンスを使用すると、次のことができます:
- 合計 50 ワークフローまで作成、管理、削除できます。
- オンデマンドおよびスケジュールされたワークフロー実行をトリガーします。
- 既存のタスクを管理および構成して、ニーズに固有のワークフローを作成します。
- ワークフローで使用するカスタム タスク拡張機能を最大 100 個作成します。
組織のユーザーがこの機能を使うには、Microsoft Entra ID Governance のサブスクリプションが必要です。
ライセンスのシナリオ例
| シナリオ | 計算 | ライセンス数 |
|---|---|---|
| ライフサイクル ワークフロー管理者は、マーケティング部門の新入社員をマーケティング チーム グループに追加するワークフローを作成します。 このワークフローを介して、250 人の新入社員がマーケティング チーム グループに割り当てられます。 | ライフサイクル ワークフロー管理者用ライセンスが 1 つ、ユーザー用ライセンスが 250 あります。 | 251 |
| ライフサイクル ワークフロー管理者は、雇用最終日になる前に従業員のグループに事前オフボードするためのワークフローを作成します。 事前オフボードされるユーザーの範囲は、40 人のユーザーです。 | ユーザー用ライセンスが 40、ライフサイクル ワークフロー管理者用ライセンスが 1 つ あります。 | 41 |
Privileged Identity Management
Microsoft Entra Privileged Identity Management を使用するには、テナントに有効なライセンスが必要です。 また、管理者と関連ユーザーにライセンスを割り当てることも必要です。 この記事では、Privileged Identity Management を使用するためのライセンス要件について説明します。 Privileged Identity Management を使用するには、次のライセンスのいずれかが必要です。
PIM の有効なライセンス
PIM とそのすべての設定を使用するには、Microsoft Entra ID ガバナンス ライセンスまたは Microsoft Entra ID P2 ライセンスが必要です。 現時点では、アクセス レビューのスコープを、Microsoft Entra ID へのアクセス権を持つサービス プリンシパルと、テナントで Microsoft Entra ID P2 または Microsoft Entra ID ガバナンス エディションがアクティブになっているユーザーの Azure リソース ロールに設定できます。 サービス プリンシパルのライセンス モデルは、この機能の一般提供のために終了する予定です。このため、追加のライセンスが必要になる場合があります。
PIM に必要なライセンス
次のユーザー カテゴリについて、お使いのディレクトリに Microsoft Entra ID P2 または Microsoft Entra ID ガバナンスのライセンスがあることを確認します:
- PIM を使用して管理される Microsoft Entra ID または Azure ロールへの適格な割り当てや期限付き割り当てを持つユーザー
- グループの PIM のメンバーまたは所有者として、資格のある割り当てまたは期限付きの割り当てを持つユーザー
- PIM でアクティブ化要求を承認または却下できるユーザー
- アクセス レビューに割り当てられたユーザー
- アクセス レビューを実行するユーザー
PIM のライセンスのシナリオ例
必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。
| シナリオ | 計算 | ライセンス数 |
|---|---|---|
| Woodgrove Bank には、各部門に 10 人の管理者がいて、PIM を構成および管理するグローバル管理者が 2 人います。 5 人の管理者を対象とします。 | 資格のある管理者用の 5 ライセンス | 5 |
| Graphic Design Institute には 25 人の管理者がいて、そのうちの 14 人は PIM で管理されています。 ロールのアクティブ化には承認が必要であり、組織にはアクティブ化を承認できるユーザーが 3 人います。 | 資格のあるロール用の 14 ライセンス + 3 承認者 | 17 |
| Contoso には 50 人の管理者がいて、そのうちの 42 人は PIM で管理されています。 ロールのアクティブ化には承認が必要であり、組織にはアクティブ化を承認できるユーザーが 5 人います。 また、Contoso では、管理者ロールに割り当てられているユーザーのレビューが毎月行われており、レビュー担当者はユーザーのマネージャーで、そのうちの 6 人は PIM によって管理される管理者ロールにはなっていません。 | 資格のあるロール用の 42 ライセンス + 5 承認者 + 6 レビュー担当者 | 53 |
PIM のライセンスの有効期限が切れた場合
Microsoft Entra ID P2、Microsoft Entra ID Governance、または試用版のライセンスの有効期限が切れた場合、お使いのディレクトリで Privileged Identity Management の機能を使用できなくなります。
- Microsoft Entra ロールへの永続的なロールの割り当てには影響しません。
- 特権ロールのアクティブ化、特権アクセスの管理、または特権ロールのアクセス レビューの実行のために、Microsoft Entra 管理センターの Privileged Identity Management サービスと、Privileged Identity Management の Graph API コマンドレットおよび PowerShell インターフェイスを利用することはできなくなります。
- ユーザーが特権ロールをアクティブ化できなくなったので、Microsoft Entra ロールの有資格ロールの割り当ては削除されます。
- Microsoft Entra ロールのすべての実行中のアクセス レビューが終了し、Privileged Identity Management の構成設定が削除されます。
- ロールの割り当てを変更しても、Privileged Identity Management からメールが送信されなくなります。
API 駆動型のプロビジョニング
この機能は、Microsoft Entra ID P1、P2、Microsoft Entra ID ガバナンスのサブスクリプションで使用できます。 /bulkUpload API を使用して取得され、オンプレミスの Active Directory または Microsoft Entra ID にプロビジョニングされるすべての ID には、サブスクリプション ライセンスが必要です。
ライセンス シナリオ
| カスタマー ライセンス | API 駆動型のプロビジョニングのテナント レベルで適用される使用制限 |
|---|---|
| Microsoft Entra ID P1 または P2 | 1 日あたりの使用量のクォータ (24 時間にわたってアップロードできるユーザー レコードの数): 10 万個のユーザー レコード (各要求に最大 50 レコードを含む 2,000 回の /bulkUpload API の呼び出し)。 各フローの API 駆動型プロビジョニング ジョブの最大数: 2 o オンプレミス Active Directory への API 駆動型プロビジョニングでは最大 2 つのアプリ。 o Microsoft Entra ID への API 駆動型プロビジョニングでは最大 2 つのアプリ。 |
| Microsoft Entra ID ガバナンス (Microsoft Entra ID P1 または P2 とともに利用) | 1 日あたりの使用量のクォータ (24 時間にわたってアップロードできるユーザー レコードの数): 300,000 個のユーザー レコード (各要求に最大 50 レコードを含む 6000 回の /bulkUpload API の呼び出し)。 各フローの API 駆動型プロビジョニング ジョブの最大数: 20 o オンプレミス Active Directory への API 駆動型プロビジョニングでは最大 20 のアプリ。 o Microsoft Entra ID への API 駆動型プロビジョニングでは最大 20 のアプリ。 |
ライセンスに関する FAQ
ID ガバナンス機能を使用するには、ライセンスをユーザーに割り当てる必要がありますか?
ユーザーに Microsoft Entra ID ガバナンス ライセンスを割り当てる必要はありませんが、ID ガバナンス機能のスコープまたは構成者のすべてのユーザーを含めるには、テナント内に同数のライセンスシートが必要です。
ビジネス ゲストに Microsoft Entra ID Governance 機能の使用をライセンス許可するにはどうすればよいですか?
請負業者、パートナー、外部コラボレーターなどのビジネス ゲストを含め、Microsoft Entra ID Governance 機能の対象となるすべてのユーザーには、ライセンスが必要です。 ビジネス ゲスト向けの新しい Microsoft Entra ID Governance ライセンスを作成しています。 このライセンスは、毎月のアクティブな使用状況 (MAU) モデルで動作します。 お客様は、想定されるビジネス ゲスト MAU に合致するライセンスを取得できます。
これらのライセンスは、2024 年春の提供を見込んでいます。 その間、Microsoft Entra ID Governance を使用して従業員の ID を管理している組織は、追加コストなしでビジネス ゲストの ID を管理できます。 現時点では、Microsoft Entra 外部 ID をおもちの Microsoft Entra ID P1 または P2 の既存のお客様は、Microsoft Entra External ID ライセンスを通じて、ビジネス ゲストについての P1 または P2 に含まれる機能のサブセットを引き続き使用できます。
詳細情報については、「ビジネス ゲスト向けの Microsoft Entra ID Governance ライセンス」を参照してください。
PIM ライセンスの有効期限が切れた場合に発生すること
Microsoft Entra ID P2 または Microsoft Entra ID Governance ライセンスの有効期限が切れた場合、または試用期間が終了した場合、お使いのディレクトリで Privileged Identity Management の機能を使用できなくなります。 以下で説明する変更は、Microsoft Entra 役割の PIM、Azure リソースの PIM、グループの PIM に適用されます。
- アクティブな永続的な割り当ては影響を受けません。
- アクティブな期限付き割り当てはアクティブな永続的になります。つまり、指定された時間に有効期限が切れなくなります。
- ユーザーが今後特権ロールをアクティブ化できなくなるため、候補ロールの割り当ては削除されます。
- ロールのアクティブ化、割り当ての管理、または特権ロールのアクセス レビューの実行のために、Microsoft Entra 管理センターまたは Azure portal の Privileged Identity Management ブレードと、Privileged Identity Management の API、および PowerShell インターフェイスを利用することはできなくなります。
- Microsoft Entra ロールのすべての実行中のアクセス レビューが終了し、Privileged Identity Management の構成設定が削除されます。
- ロールの割り当て変更や PIM アラートの際に、Privileged Identity Management から電子メールが送信されなくなります。
IGA の特徴と機能は Microsoft Entra ID P2 ライセンスに追加されますか?
現在一般公開されている Microsoft Entra ID P2 の機能はすべて残りますが、新しい IGA の特徴や機能は Microsoft Entra ID P2 SKU に追加されません。