Microsoft Entra ID とは
Microsoft Entra ID は、従業員が外部リソースへのアクセスに使用できる、クラウドベースの ID およびアクセス管理サービスです。 リソースの例として、Microsoft 365、Azure portal、その他何千という SaaS アプリケーションがあります。
さらに、Microsoft Entra ID は、会社のイントラネット上のアプリなどの内部リソースや、自分の組織向けに開発されたクラウド アプリにアクセスするのにも役立ちます。 テナントの作成方法については、「クイックスタート: Microsoft Entra ID で新しいテナントを作成する」をご覧ください。
Active Directory と Microsoft Entra ID の違いについては、「Active Directory と Microsoft Entra ID の比較」を参照してください。 また、エンタープライズ アーキテクトのための Microsoft Cloud シリーズのポスターを参照すると、Microsoft Entra ID や Microsoft 365 などの Azure での中核を成す ID サービスについて、より深く理解することができます。
Microsoft Entra ID のユーザー
Microsoft Entra ID では、組織のメンバーに、そのロールに基づいて、さまざまなベネフィットが提供されます。
IT 管理者は、Microsoft Entra ID を使用して、アプリやアプリ リソースへのアクセスをビジネス要件に基づいて制御します。 たとえば、IT 管理者が Microsoft Entra ID を使用して、重要な組織リソースへのアクセス時に多要素認証を要求することができます。 また、Microsoft Entra ID を使うと、既存の Windows Server AD とクラウド アプリ (Microsoft 365 など) の間のユーザー プロビジョニングを自動化できます。 最後に、Microsoft Entra ID は、ユーザー ID と資格情報を自動的に保護し、アクセス ガバナンス要件を満たすうえで強力なツールとなります。 まず、30 日間の Microsoft Entra ID P1 または P2 の無料試用版にサインアップしてください。
アプリ開発者は、ユーザーの既存の資格情報で動作するアプリにシングル サインオン (SSO) を追加するのに役立つ標準ベースの認証プロバイダーとして、Microsoft Entra ID を使用できます。 開発者は、組織データを使用してパーソナライズされたエクスペリエンスを、Microsoft Entra API を使用して構築することもできます。 まず、30 日間の Microsoft Entra ID P1 または P2 の無料試用版にサインアップしてください。 詳細については、「開発者向け Microsoft Entra ID」も参照してください。
Microsoft 365、Office 365、Azure、Dynamics CRM Online のすべてのテナントは自動的に Microsoft Entra テナントになるため、Microsoft 365、Office 365、Azure、または Dynamics CRM Online のサブスクライバーは Microsoft Entra ID を既に使用しています。 統合されたクラウド アプリへのアクセスの管理をすぐに始めることができます。
Microsoft Entra ID ライセンスとは
Microsoft 365 や Microsoft Azure などの Microsoft Online ビジネス サービスでは、サインイン アクティビティと ID 保護のために、Microsoft Entra ID が使用されます。 Microsoft Online ビジネス サービスにサブスクライブすると、Microsoft Entra ID Free に自動的にアクセスできるようになります。
Microsoft Entra の実装を強化するために、Microsoft Entra ID P1 または P2 ライセンスにアップグレードするか、Microsoft Entra ID ガバナンスなどの製品のライセンスを追加することで、有料機能を追加することもできます。 既存の無料ディレクトリ上に構築される Microsoft Entra 有料ライセンスを取得することもできます。 このライセンスにより、セルフサービス、強化された監視、セキュリティ レポート、モバイル ユーザーの安全なアクセスが提供されます。
メモ
これらのライセンスの価格オプションについては、「Microsoft Entra 価格」を参照してください。
Microsoft Entra 価格の詳細については、Microsoft Entra フォーラムにお問い合わせください。
Microsoft Entra ID Free: ユーザーとグループの管理、オンプレミス ディレクトリ同期、基本レポート、クラウド ユーザー向けのセルフサービスのパスワード変更のほか、Azure、Microsoft 365、および多くの一般的な SaaS アプリ全体のシングル サインオンを提供します。
Microsoft Entra ID P1: P1 では、Free の機能に加えて、ハイブリッド ユーザーがオンプレミスとクラウドの両方のリソースにアクセスすることもできます。 さらに、動的メンバーシップ グループ、セルフサービス グループ管理、Microsoft Identity Manager、オンプレミス ユーザーによるセルフサービス パスワード リセットを可能にするクラウドの書き戻し機能など、高度な管理機能もサポートしています。
Microsoft Entra ID P2: P2 では、Free および P1 の機能に加えて、アプリや重要な企業データへのリスクベースの条件付きアクセスを提供するのに役立つ Microsoft Entra ID 保護 のほか、管理者と管理者によるリソースへのアクセスを検出、制限、監視するのに役立ち、必要に応じてジャストインタイム アクセスを提供できる Privileged Identity Management が提供されます。
Microsoft Entra ID ライセンスに加えて、次のような他の Microsoft Entra 製品のライセンスを使用して、追加の ID 管理機能を有効にすることができます。
Microsoft Entra ID ガバナンス: Microsoft Entra ID ガバナンス は、Microsoft Entra ID P1 および P2 の顧客向けの高度な ID ガバナンス機能のセットです。
Microsoft Entra Permissions Management: Microsoft Entra Permissions Management は、クラウド インフラストラクチャ エンタイトルメント管理 (CIEM) ソリューションであり、クラウド インフラストラクチャの Microsoft Azure、アマゾン ウェブ サービス (AWS)、Google Cloud Platform (GCP) 全体の、すべての ID (ユーザーとワークロード)、アクション、リソースに割り当てられたアクセス許可を包括的に可視化します。
「従量課金制」の機能ライセンス: Microsoft Entra Domain Services や Microsoft Entra Business-to-Customer (B2C) などの機能のライセンスを取得することもできます。 B2C は、顧客向けアプリ用の ID およびアクセス管理ソリューションの提供に役立てることができます。 詳細については、「Azure Active Directory B2C のドキュメント」を参照してください。
Microsoft Entra 製品ファミリの詳細については、「Microsoft Entra」を参照してください。
既存の Azure サブスクリプションを Microsoft Entra ID に関連付ける方法の詳細については、「Microsoft Entra ID への Azure サブスクリプションの関連付けまたは追加」を参照してください。 ユーザーにライセンスを割り当てる方法の詳細については、「方法: Microsoft Entra ID ライセンスの割り当てまたは削除」を参照してください。
Microsoft Entra ID ではどの機能が動作しますか?
Microsoft Entra ID ライセンスを選ぶと、次の機能の一部またはすべてにアクセスできるようになります。
カテゴリ | 説明 |
---|---|
アプリケーション管理 | アプリケーション プロキシ、シングル サインオン、マイ アプリ ポータル、サービスとしてのソフトウェア (SaaS) アプリを使用して、クラウドおよびオンプレミスのアプリを管理します。 詳細については、「オンプレミス アプリケーションへの安全なリモート アクセスを実現する方法」および「アプリケーション管理のドキュメント」を参照してください。 |
認証 | Microsoft Entra のセルフサービス パスワード リセット、多要素認証、カスタム禁止パスワード リスト、スマート ロックアウトを管理します。 詳細については、「Microsoft Entra 認証に関するドキュメント」を参照してください。 |
開発者向け Microsoft Entra ID | すべての Microsoft ID にサインインし、Microsoft Graph、その他の Microsoft API、またはカスタム API を呼び出すトークンを取得するアプリを構築します。 詳細については、「Microsoft ID プラットフォーム (開発者向け Microsoft Entra ID)」を参照してください。 |
企業間 (B2B) | 自社データの管理を続けながら、ゲスト ユーザーと外部パートナーを管理します。 詳細については、「Microsoft Entra B2B のドキュメント」を参照してください。 |
企業-消費者間 (B2C) | アプリの使用時にユーザーがサインアップおよびサインインする方法や自分のプロファイルを管理する方法をカスタマイズして制御します。 詳細については、「Azure Active Directory B2C のドキュメント」を参照してください。 |
条件付きアクセス | クラウド アプリへのアクセスを管理します。 詳細については、「Microsoft Entra の条件付きアクセスのドキュメント」を参照してください。 |
デバイス管理 | クラウドまたはオンプレミスのデバイスが会社のデータにアクセスする方法を管理します。 詳細については、「Microsoft Entra デバイス管理のドキュメント」を参照してください。 |
ドメイン サービス | ドメイン コントローラーを使用せずにドメインに Azure 仮想マシンを参加させます。 詳細については、「Microsoft Entra Domain Services のドキュメント」を参照してください。 |
エンタープライズ ユーザー | グループと管理者のロールを使用して、ライセンスの割り当てとアプリへのアクセスを管理し、委任の設定を行います。 詳細については、「Microsoft Entra ユーザー管理のドキュメント」を参照してください。 |
ハイブリッド ID | Microsoft Entra Connect と Connect Health を使用して、場所 (クラウドまたはオンプレミス) に関係なく、すべてのリソースに対する認証と認可のための単一のユーザー ID を提供します。 詳細については、「ハイブリッド ID のドキュメント」を参照してください。 |
Identity Governance | Microsoft Entra ID P2 には、Privileged Identity Management (PIM)、アクセス レビュー、エンタイトルメント管理の基本的な機能が含まれています。 Microsoft Entra ID ガバナンスの顧客は、従業員、ビジネス パートナー、ベンダー、サービス、アプリの包括的な制御を通じて、組織の ID とアクセスを管理できます。 詳細については、「Microsoft Entra ID ガバナンスのドキュメント」および「ライセンス別の機能」を参照してください。 |
Microsoft Entra ID 保護 | 組織の ID に影響を及ぼす潜在的な脆弱性を検出するほか、疑わしいアクションに対応するようにポリシーを設定し、適切なアクションを行って解決します。 詳細については、「Microsoft Entra ID 保護」を参照してください。 |
Azure リソース用マネージド ID | キー コンテナーを含む、Microsoft Entra でサポートされている任意の認証サービスに対して認証できる、Microsoft Entra ID の自動管理されたマネージド ID を Azure サービスに提供します。 詳細については、「Azure リソース用マネージド ID とは?」を参照してください。 |
Privileged Identity Management (PIM) | 組織内でのアクセスを管理、制御、および監視します。 この機能には、Microsoft Entra ID と Azure のリソースへのアクセスと、その他 Microsoft Online Services (Microsoft 365、Intune など) へのアクセスが含まれます。 詳細については、「Microsoft Entra Privileged Identity Management」を参照してください。 |
監視と正常性 | 環境におけるセキュリティや使用パターンに関する分析情報を得ることができます。 詳細については、「Microsoft Entra の監視と正常性」を参照してください。 |
ワークロード ID | 他のサービスやリソースを認証してアクセスするためにソフトウェア ワークロード (アプリケーション、サービス、スクリプト、コンテナーなど) に対して ID を付与します。 詳細については、ワークロード ID に関する FAQ を参照してください。 |
用語
Microsoft Entra ID とそのドキュメントをより深く理解するために、次の用語を確認しておくことをおすすめします。
用語または概念 | 説明 |
---|---|
ID | 認証を受けることができるもの。 ID とは、ユーザー名とパスワードを持つユーザーのことです。 ID には、秘密鍵または証明書による認証が必要となる場合があるアプリケーションやその他のサーバーも含まれます。 |
アカウント | データが関連付けられている ID です。 ID を持たないアカウントを使用することはできません。 |
Microsoft Entra アカウント | Microsoft Entra ID またはそれ以外の Microsoft クラウド サービス (Microsoft 365 など) を通じて作成される ID です。 ID は Microsoft Entra ID に保存され、組織のクラウド サービスのサブスクリプションで利用できます。 このアカウントは、職場または学校アカウントと呼ばれることもあります。 |
アカウント管理者 | この従来のサブスクリプション管理者ロールは、概念的にはサブスクリプションの課金の所有者です。 このロールを使用すると、アカウントのすべてのサブスクリプションを管理できます。 詳細については、「Azure ロール、Microsoft Entra ロール、従来のサブスクリプション管理者ロール」を参照してください。 |
サービス管理者 | この従来のサブスクリプション管理者ロールでは、アクセスを含め、すべての Azure リソースを管理することができます。 このロールは、サブスクリプション スコープで所有者ロールを割り当てられているユーザーと同等のアクセス権を持ちます。 詳細については、「Azure ロール、Microsoft Entra ロール、従来のサブスクリプション管理者ロール」を参照してください。 |
所有者 | このロールは、アクセスを含め、すべての Azure リソースを管理するのに役立ちます。 このロールは、Azure リソースへのきめ細かなアクセス管理を提供する Azure ロールベースのアクセス制御 (Azure RBAC) と呼ばれる新しい承認システムをベースに構築されています。 詳細については、「Azure ロール、Microsoft Entra ロール、従来のサブスクリプション管理者ロール」を参照してください。 |
Microsoft Entra 全体管理者 | この管理者の役割は、Microsoft Entra テナントを作成したユーザーに自動的に割り当てられます。 このロールには複数のアカウントを設定できますが、特権ロール管理者以上の権限を持つユーザー全員が、管理者ロールをユーザーに割り当てることができます。 さまざまな管理者ロールの詳細については、「Microsoft Entra ID での管理者の役割のアクセス許可」を参照してください。 |
Azure サブスクリプション | Azure Cloud Services の支払いに使用されます。 多数のサブスクリプションをご利用いただけます。サブスクリプションはクレジット カードにリンクされます。 |
テナント | Microsoft Entra ID の専用の信頼されたインスタンス。 テナントは、組織が Microsoft クラウド サービスのサブスクリプションにサインアップしたときに自動的に作成されます。 これらのサブスクリプションには、Microsoft Azure、Microsoft Intune、Microsoft 365 が含まれます。 このテナントは単一の組織を表し、従業員、ビジネス アプリ、およびその他の内部リソースを管理することを目的としています。 このため、従業員テナント構成と見なされます。 これに対し、"外部" 構成ではテナントを作成できます。これは、コンシューマー向けアプリの顧客 ID およびアクセス管理 (CIAM) ソリューションで使用されます (Microsoft Entra 外部 ID の詳細を参照してください)。 |
シングル テナント | 専用の環境で他のサービスにアクセスする Azure テナントは、シングル テナントと見なされます。 |
マルチテナント | 複数の組織の共有環境で他のサービスにアクセスする Azure テナントは、マルチテナントと見なされます。 |
Microsoft Entra ディレクトリ | Azure の各テナントには、信頼された専用の Microsoft Entra ディレクトリが用意されます。 Microsoft Entra ディレクトリは、テナントのユーザー、グループ、およびアプリを含み、テナント リソースに対して ID およびアクセス管理機能を実行するために使用されます。 |
カスタム ドメイン | 新しい Microsoft Entra ディレクトリにはすべて、domainname.onmicrosoft.com のような初期ドメイン名が付けられます。 その初期ドメイン名に加えて、組織のドメイン名を追加することもできます。 組織のドメイン名には、ビジネスを行うために使用する名前と、ユーザーが組織のリソースにアクセスするために使用する名前が含まれ、一覧に表示されます。 カスタム ドメイン名を追加すると、alain@contoso.com など、ユーザーになじみのあるユーザー名を作成するのに役立ちます。 |
Microsoft アカウント (別称: MSA) | コンシューマー向けの Microsoft 製品とクラウド サービスへのアクセスを提供する個人アカウントです。 これらの製品とサービスには、Outlook、OneDrive、Xbox LIVE、Microsoft 365 が含まれます。 お使いの Microsoft アカウントは、Microsoft が運営する Microsoft コンシューマー ID アカウント システムを使用して作成、保存されます。 |