Microsoft Entra ID は、クラウドに対する次世代の ID およびアクセス管理のソリューションです。 Microsoft では、ユーザーごとに 1 つの ID を使用して複数のオンプレミス インフラストラクチャ コンポーネントとシステムを管理する機能を組織に提供するために、Windows 2000 に Active Directory Domain Services を導入しました。
Microsoft Entra ID ではこのアプローチを、クラウドとオンプレミス全体のすべてのアプリに対するサービスとしての ID (IDaaS) ソリューションを組織に提供することで、次のレベルに引き上げます。
ほとんどの IT 管理者は、Active Directory Domain Services の概念を理解しています。 次の表に、Active Directory の概念と Microsoft Entra ID 間の相違点と類似点を示します。
| 概念 | Windows Server Active Directory | マイクロソフト エントラ ID |
|---|---|---|
| ユーザー | ||
| プロビジョニング: ユーザー | 組織では、手動で内部ユーザーを作成するか、Microsoft Identity Manager などの社内または自動のプロビジョニング システムを使用して、HR システムと統合します。 | 既存の Microsoft Windows Server Active Directory 組織は 、Microsoft Entra Connect を使用して ID をクラウドに同期します。 Microsoft Entra ID では、クラウド人事システムからユーザーを自動的に作成するためのサポートが追加されています。 Microsoft Entra ID は、クロスドメイン アイデンティティ管理 (SCIM) に対応したサービスとしてのソフトウェア (SaaS) アプリ に ID をプロビジョニングし、ユーザーのアクセス許可に必要な詳細をアプリに自動的に提供できます。 |
| プロビジョニング: 外部 ID | 組織は、外部ユーザーを専用の外部 Microsoft Windows Server Active Directory フォレストに通常のユーザーとして手動で作成します。その結果、外部 ID (ゲスト ユーザー) のライフサイクルを管理するための管理オーバーヘッドが発生します。 | Microsoft Entra ID では、外部 ID をサポートするための特殊な ID クラスが提供されています。 Microsoft Entra B2B では、外部ユーザーの ID へのリンクを管理して、それらの有効性を確保します。 |
| エンタイトルメントの管理とグループ | 管理者は、ユーザーをグループのメンバーにすることができます。 アプリとリソースの所有者は、アプリまたはリソースへのアクセス権をグループに付与します。 | また、グループは Microsoft Entra ID でも使用でき、管理者はグループを使用してリソースへのアクセス許可を付与することもできますす。 Microsoft Entra ID では、管理者はグループにメンバーシップを手動で割り当てるか、またはクエリを使用してユーザーをグループに動的に含めることができます。 管理者は、Microsoft Entra ID にあるエンタイトルメント管理を使用し、ワークフローと (必要な場合は) 時間ベースの条件を使って、アプリとリソースのコレクションへのアクセス権をユーザーに付与できます。 |
| 管理者の管理 | 組織は、Microsoft Windows Server Active Directory のドメイン、組織単位、グループの組み合わせを使用して、管理するディレクトリとリソースを管理するための管理者権限を委任します。 | Microsoft Entra ID は、Microsoft Entra のロールベースのアクセス制御 (RBAC) システムが提供する組み込みロールが用意されており、ID システム、アプリ、および制御するリソースへの特権アクセスを委任するためのカスタム ロール作成のサポートは制限されています 。Privileged Identity Management (PIM) を使用することで、ロールの管理を強化し、必要に応じたオンデマンド、時間制限付き、またはワークフローに基づくアクセスを特権ロールに提供することができます。 |
| 資格情報の管理 | Active Directory の資格情報は、パスワード、証明書認証、スマート カード認証に基づいています。 パスワードは、パスワードの長さ、有効期限、および複雑さに基づくパスワード ポリシーを使用して、管理されます。 | Microsoft Entra ID では、クラウドとオンプレミスに対してインテリジェントなパスワード保護を使用します。 保護には、スマート ロックアウトに加えて、共通およびカスタムのパスワード フレーズと代替のブロック機能が含まれます。 Microsoft Entra ID は、FIDO2 などの 多要素認証 と パスワードレス テクノロジによってセキュリティを大幅に強化します。 Microsoft Entra ID では、ユーザーにセルフサービス パスワード リセットのシステムを提供することで、サポートのコストを削減しています。 |
| アプリ | ||
| インフラストラクチャ アプリ | Active Directory は、DNS、動的ホスト構成プロトコル (DHCP)、インターネット プロトコル セキュリティ (IPSec)、WiFi、NPS、VPN アクセスなど、オンプレミスの多くのインフラストラクチャ コンポーネントの基礎となります | 新しいクラウド環境では、Microsoft Entra ID は、アプリにアクセスするためと、ネットワーク コントロールに依存するための新しいコントロール プレーンです。 ユーザーが認証を行うときに、条件付きアクセス では、必要な条件下でどのユーザーがどのアプリへのアクセス権を持つかを制御します。 |
| 従来のアプリとレガシ アプリ | ほとんどのオンプレミス アプリでは、LDAP、Windows 統合認証 (NTLM と Kerberos)、またはヘッダーベースの認証を使用して、ユーザーへのアクセスを制御します。 | Microsoft Entra ID では、オンプレミスで実行されている Microsoft Entra アプリケーション プロキシ エージェントを使用して、これらの種類のオンプレミス アプリへのアクセスを提供できます。 この方法を利用して、Microsoft Entra ID では、移行しているとき、またはレガシ アプリと共存する必要があるときに、Kerberos を使ってオンプレミスで Active Directory ユーザーを認証できます。 |
| SaaS アプリ | Active Directory では、SaaS アプリがネイティブでサポートされず、AD FS などのフェデレーション システムを必要とします。 | OAuth2、Security Assertion Markup Language (SAML)、および WS-* 認証をサポートする SaaS アプリを統合して、認証に Microsoft Entra ID を使用できます。 |
| 先進認証を使用した基幹業務 (LOB) アプリ | 組織では Active Directory と共に AD FS を使用して、先進認証を必要とする LOB アプリをサポートできます。 | 先進認証を必要とする LOB アプリは、認証に Microsoft Entra ID を使用するように構成できます。 |
| 中間層/デーモン サービス | オンプレミス環境で実行されているサービスは、通常、Microsoft Windows Server Active Directory サービス アカウントまたはグループ管理サービス アカウント (gMSA) を使用して実行します。 これらのアプリでは、サービス アカウントのアクセス許可を継承します。 | Microsoft Entra ID には、クラウド内の他のワークロードを実行するためのマネージド ID が用意されています。 これらの ID のライフサイクルは Microsoft Entra ID によって管理され、リソース プロバイダーに関連付けられているため、他の目的でバックドア アクセスを取得するために使用することはできません。 |
| デバイス | ||
| モバイル | Active Directory では、サードパーティのソリューションを使用しないモバイル デバイスはネイティブにサポートされていません。 | Microsoft のモバイル デバイス管理ソリューションである Microsoft Intune は、Microsoft Entra ID と統合されています。 Microsoft Intune では、認証中に評価するために、ID システムにデバイスの状態情報を提供しています。 |
| Windows デスクトップ | Active Directory では、グループ ポリシー、System Center Configuration Manager、またはその他のサードパーティのソリューションを使用して Windows デバイスを管理するために、デバイスをドメインに参加させる機能を提供しています。 | Windows デバイスを、Microsoft Entra ID に参加させることができます。 条件付きアクセスでは、認証プロセスの一部としてデバイスが Microsoft Entra に参加しているかどうかの確認を行うことができます。 また、Windows デバイスは、Microsoft Intune を使って管理することもできます。 この場合、条件付きアクセスでは、アプリへのアクセスを許可する前に、デバイスが準拠しているかどうか (最新のセキュリティ更新プログラムやウイルス署名など) の確認を行います。 |
| Windows サーバー | Active Directory では、グループ ポリシーまたはその他の管理ソリューションを使用して、オンプレミスの Windows サーバーに強固な管理機能を提供します。 | Azure にある Windows サーバー仮想マシンは、Microsoft Entra Domain Servicesを使って管理できます。 マネージド ID は、VM が ID システム ディレクトリまたはリソースにアクセスする必要がある場合に使用できます。 |
| Linux/Unix ワークロード | Active Directory では、サードパーティのソリューションを使用しない Windows 以外はネイティブでサポートされません。ただし、Active Directory を使って Kerberos 領域として認証するように Linux コンピューターを構成することはできます。 | Linux/Unix VM では、ID システムまたはリソースにアクセスするために、マネージド ID を使用できます。 組織によっては、これらのワークロードをマネージド ID も使用できるクラウド コンテナー テクノロジに移行します。 |