ユーザー |
|
|
プロビジョニング: ユーザー |
組織では、手動で内部ユーザーを作成するか、Microsoft Identity Manager などの社内または自動のプロビジョニング システムを使用して、HR システムと統合します。 |
既存の Microsoft Windows Server Active Directory 組織では Microsoft Entra Connect を使用して、ID をクラウドに同期します。 Microsoft Entra ID では、クラウド HR システムからユーザーを自動的に作成するためのサポートを追加します。 Microsoft Entra では、クロスドメイン ID 管理システム (SCIM) 対応のサービスとしてのソフトウェア (SaaS) アプリ内で ID をプロビジョニングして、ユーザーにアクセスを許可するために必要な詳細情報を自動的にアプリに提供します。 |
プロビジョニング: 外部 ID |
組織では、専用の外部 Microsoft Windows Server Active Directory フォレスト内に外部ユーザーを通常のユーザーとして手動で作成します。これにより、外部 ID (ゲスト ユーザー) のライフサイクルを管理するための管理オーバーヘッドが生じます |
Microsoft Entra ID では、外部 ID をサポートするための特殊な ID クラスを提供しています。 Microsoft Entra B2B では、外部ユーザーが確実に有効になるように、外部ユーザー ID へのリンクが管理されます。 |
エンタイトルメントの管理とグループ |
管理者は、ユーザーをグループのメンバーにすることができます。 アプリとリソースの所有者は、アプリまたはリソースへのアクセス権をグループに付与します。 |
また、グループは Microsoft Entra ID でも使用でき、管理者はグループを使用してリソースへのアクセス許可を付与することも可能です。 Microsoft Entra ID では、管理者はグループにメンバーシップを手動で割り当てるか、またはクエリを使用してユーザーをグループに動的に含めることができます。 管理者は Microsoft Entra ID にあるエンタイトルメント管理を使用し、ワークフローと (必要な場合は) 時間ベースの条件を使って、アプリとリソースのコレクションへのアクセス権をユーザーに付与できます。 |
管理者の管理 |
組織では、Microsoft Windows Server Active Directory 内のドメイン、組織単位、およびグループの組み合わせを使用して管理者権限を委任し、管理対象のディレクトリとリソースを管理します。 |
Microsoft Entra ID には、Microsoft Entra ロールベースのアクセス制御 (RBAC) システムを備えた組み込みのロールが用意されていますが、制御する ID システム、アプリ、リソースへの特権アクセスを委任するためのカスタム ロールの作成のサポートは限定されています。 Just-In-Time、時間制限付き、またはワークフローベースのアクセスを特権ロールに付与するために、ロールの管理は Privileged Identity Management (PIM) を使用して拡張できます。 |
資格情報の管理 |
Active Directory での資格情報は、パスワード、証明書の認証、およびスマートカード認証に基づいています。 パスワードは、パスワードの長さ、有効期限、および複雑さに基づくパスワード ポリシーを使用して、管理されます。 |
Microsoft Entra ID では、クラウドとオンプレミスに対してインテリジェントなパスワード保護を使用します。 保護には、スマート ロックアウトに加えて、共通およびカスタムのパスワード フレーズと代替のブロック機能が含まれます。 Microsoft Entra ID では、多要素認証と FIDO2 のようなパスワードレス技術を使用して、セキュリティを大幅に向上させています。 Microsoft Entra では、ユーザーにセルフサービス パスワード リセットのシステムを提供することで、サポートのコストを削減しています。 |
アプリ |
|
|
インフラストラクチャ アプリ |
Active Directory では、DNS、動的ホスト構成プロトコル (DHCP)、インターネット プロトコル セキュリティ (IPSec)、WiFi、NPS、VPN アクセスなど、多くのインフラストラクチャのオンプレミス コンポーネントの基礎を形成します |
新しいクラウド環境では、Microsoft Entra ID は、アプリにアクセスするためと、ネットワーク コントロールに依存するための新しいコントロール プレーンです。 ユーザーが認証を行うときに、条件付きアクセスでは、必要な条件下でどのユーザーがどのアプリへのアクセス権を持つかを制御します。 |
従来のアプリとレガシ アプリ |
ほとんどのオンプレミス アプリでは、LDAP、Windows 統合認証 (NTLM と Kerberos)、またはヘッダーベースの認証を使用して、ユーザーへのアクセスを制御します。 |
Microsoft Entra ID では、オンプレミスで実行されている Microsoft Entra アプリケーション プロキシ エージェントを使用して、これらの種類のオンプレミス アプリへのアクセスを提供できます。 この方法を利用して、Microsoft Entra ID では、移行しているとき、またはレガシ アプリと共存する必要があるときに、Kerberos を使ってオンプレミスで Active Directory ユーザーを認証できます。 |
SaaS アプリ |
Active Directory では、SaaS アプリがネイティブでサポートされず、AD FS などのフェデレーション システムを必要とします。 |
OAuth2、Security Assertion Markup Language (SAML)、および WS-* 認証をサポートしている SaaS アプリは、認証に Microsoft Entra ID を使用するように統合できます。 |
先進認証を使用した基幹業務 (LOB) アプリ |
組織では Active Directory と共に AD FS を使用して、先進認証を必要とする LOB アプリをサポートできます。 |
先進認証を必要とする LOB アプリは、認証に Microsoft Entra ID を使用するように構成できます。 |
中間層/デーモン サービス |
オンプレミス環境で実行されているサービスは通常、Microsoft Windows Server Active Directory サービス アカウントまたはグループ管理サービス アカウント (gMSA) を使用して実行されます。 これらのアプリでは、サービス アカウントのアクセス許可を継承します。 |
Microsoft Entra ID には、クラウド内の他のワークロードを実行するためのマネージド ID が用意されています。 これらの ID のライフサイクルは Microsoft Entra ID によって管理され、リソース プロバイダーに関連付けられているため、他の目的でバックドア アクセスを取得するために使用することはできません。 |
デバイス |
|
|
モバイル |
Active Directory では、サードパーティのソリューションを使用しないモバイル デバイスはネイティブにサポートされていません。 |
Microsoft のモバイル デバイス管理ソリューションである Microsoft Intune は、Microsoft Entra ID と統合されています。 Microsoft Intune では、認証中に評価するために、ID システムにデバイスの状態情報を提供しています。 |
Windows デスクトップ |
Active Directory では、グループ ポリシー、System Center Configuration Manager、またはその他のサードパーティのソリューションを使用して Windows デバイスを管理するために、デバイスをドメインに参加させる機能を提供しています。 |
Windows デバイスは、Microsoft Entra ID に参加させることができます。 条件付きアクセスでは、認証プロセスの一部としてデバイスが Microsoft Entra に参加しているかどうかを確認できます。 また、Windows デバイスは、Microsoft Intune を使って管理することもできます。 この場合、条件付きアクセスでは、アプリへのアクセスを許可する前に、デバイスの適合性 (最新のセキュリティ更新プログラムやウイルス署名など) を検討します。 |
Windows サーバー |
Active Directory では、グループ ポリシーまたはその他の管理ソリューションを使用して、オンプレミスの Windows サーバーに強固な管理機能を提供します。 |
Azure の Windows サーバー仮想マシンは、Microsoft Entra Domain Services を使って管理できます。 マネージド ID は、VM が ID システム ディレクトリまたはリソースにアクセスする必要がある場合に、使用できます。 |
Linux/Unix ワークロード |
Active Directory では、サードパーティのソリューションを使用しない Windows 以外はネイティブでサポートされません。ただし、Active Directory を使って Kerberos 領域として認証するように Linux コンピューターを構成することはできます。 |
Linux/Unix VM では、ID システムまたはリソースにアクセスするために、マネージド ID を使用できます。 組織によっては、これらのワークロードをマネージド ID も使用できるクラウド コンテナー テクノロジに移行します。 |