Microsoft Entra の概要

10 分

セキュリティで保護しつつ、アプリケーションやサービスに簡単にアクセスできるようにすることを役員会は望んでいます。そのようなアプリケーションは、社内スタッフとさまざまな国/地域の医師が利用できます。チームマネージャーは、Microsoft Entra ID がこれらのニーズに対応できると考えています。マネージャーはあなたに Microsoft Entra ID とはどのようなもので、どのように動作し、何を行うのかを明らかにして欲しいと考えています。

ここでは、Microsoft Entra ID の概要とそれを使う理由を説明します。また、Microsoft Entra ID と従来のオンプレミスの Active Directory の違いについて学習します。

Microsoft Entra Connect とは

Microsoft Entra ID は、クラウドベースの ID 管理ソリューションです。社内ユーザーが次のことを行うのに役立ちます。

Azure サービス、Microsoft 365、サードパーティの SaaS アプリケーションなどの外部リソースにのアクセスする。
企業ネットワーク上のアプリケーションや社内で作成されたクラウドベースのアプリケーションなどの内部リソースにアクセスする。

さらに、Microsoft Entra ID は、条件付きアクセスや ID 保護などの機能を通して、ユーザー ID とアプリケーションをセキュリティで保護するのにも役立ちます。

Diagram of Microsoft Entra ID.

Microsoft Entra ID は、組織を表す "テナント" にユーザーを格納します。たとえば、会社のテナントに全従業員のユーザーアカウントが格納されているとします。このテナントのユーザーをグループに追加し、共通のアクセスレベルを共有できます。開発者用に 1 つのグループを作成し、アプリケーションのテスト担当者用に別のグループを作成できます。これらのグループには、アプリケーションに対して異なるアクセスレベルを付与します。各テナントには、複数のユーザーを保持する複数のグループを含めることができます。

Microsoft Entra ID の恩恵を受けるのは誰ですか?

Microsoft Entra ID は、さまざまな種類のユーザーのニーズを満たします。たとえば、IT 管理者は、Microsoft Entra ID を使用して、会社の要件に基づき、アプリケーションやリソースに誰がアクセスできるべきなのかを決定できます。管理者は、サインイン時に多要素認証を強制することで、アプリケーションやサービスに対する別の保護レイヤーを追加できます。

アプリケーション開発者は、ユーザーが既存の資格情報を使ってアプリケーションにアクセスするのを、Microsoft Entra ID を使って許可できます。また、開発者は、Microsoft Entra ID を使い、Microsoft Entra ID に固有の API を通して組織のユーザーデータにアクセスすることで、エンドユーザーエクスペリエンスをカスタマイズすることもできます。

Azure や Microsoft 365 などのサービスに登録しているのであれば、Microsoft Entra ID を既に利用していることになります。 Microsoft Entra ID を使用して、クラウドアプリケーションへのアクセスをさらに管理できます。

Microsoft Entra ID の ID セキュリティスコア

あなたが管理者であるなら、Microsoft Entra テナントがどの程度セキュリティで保護されているかを把握する必要があります。 ID セキュリティスコアは、これを把握するのに役立ちます。 Microsoft Entra ID は、1 から 100 の間の全体的なパーセンテージを提供します。この値は、Microsoft がテナントセキュリティに提示する推奨事項とベストプラクティスをどの程度満たしているかを表します。 ID セキュリティスコアは、お客様のセキュリティがどの程度有効であるかを明らかにし、改善に役立ちます。

テナントの ID セキュリティスコアは、Azure portal で確認できます。 Microsoft Entra テナントにアクセスして、[セキュリティ] を選択した後、[ID セキュリティスコア] ダッシュボードを選択します。

Secure identity score.

このダッシュボードには、お客様の現状と業界平均との比較、同じ規模の他のテナントとの比較などの情報が表示されます。また、ダッシュボードには時間を追ったスコアの変化を示すグラフも表示されます。スコアを改善するためにすべきことや、各改善によってスコアにどの程度の影響を与えることができるかを確認できます。

ID セキュリティスコアを使用して、Microsoft Entra ID 内の ID のセキュリティを改善し監視します。

Microsoft Entra ID と Active Directory の比較

Active Directory と Microsoft Entra ID は、異なる目的のために使用される別個のサービスです。

Microsoft Entra ID は、ユーザーとアプリケーションを管理するのに役立つクラウドベースの ID ソリューションです。 Active Directory は、オンプレミスのネットワーク上にあるデバイスやユーザーなどのオブジェクトを管理します。その他の違いを次に示します。

サービス	認証	構造	用途
Active Directory	Kerberos、NTLM	フォレスト、ドメイン、組織単位	オンプレミスのプリンター、アプリケーション、ファイルサービスなどの認証と承認
Microsoft Entra ID	SAML、OAuth、WS-Federation など	テナント	Microsoft 365、Azure サービス、サードパーティ製 SaaS アプリケーションなどのインターネットベースのサービスおよびアプリケーション

A comparison between Active Directory and Microsoft Entra ID.

Microsoft Entra ID は Active Directory に取って代わるものではありません。使用するサービスは、組織のニーズによって異なります。この 2 つのサービスを合わせて使用し、それぞれの特徴と機能を組み合わせて活用できます。

オンプレミスの Active Directory を Microsoft Entra ID とリンクさせるためのハイブリッド ID

ユーザーは、クラウドとオンプレミスの両方からアプリケーションにアクセスすることを望んでいます。 Microsoft Entra ID と Active Directory を合わせて使用することで、オンプレミスとクラウドにまたがる ID ソリューションを提供できます。ユーザーは、認証用の単一のユーザー ID を使用して、どこにいてもアプリケーションやリソースにアクセスすることができます。このユーザー ID をハイブリッド ID と呼びます。

複数の認証方法でユーザーにハイブリッド ID を与えることができます。

Microsoft Entra パスワードハッシュ同期。ここで、ユーザーのパスワードは 2 回ハッシュ化され、オンプレミスの Active Directory と Microsoft Entra ID の間で同期されます。オンプレミスとクラウドの両方にあるリソースやアプリケーションにアクセスするための資格情報は、同じものがユーザーに与えられます。
Microsoft Entra パススルー認証。ここでは、オンプレミスの Active Directory に対して認証を行うオンプレミスサーバーにエージェントがインストールされます。 Microsoft Entra ユーザーアカウントが認証を試みると、こららのサーバーと Active Directory を通してパスワード認証がオンプレミスで処理されます。
フェデレーション認証。ここでは、ユーザーのパスワードの有効性を検証するオンプレミスの Active Directory Federation Services (AD FS) サーバーによって認証プロセスが実行されます。スマートカードを基盤とする認証など、高度な手法をユーザーに与える場合、この認証方法を使用します。

これらの認証オプションを利用することで、シングルサインオン機能をユーザーに与えることができます。シングルサインオンを使用すると、会社のデバイスを使用しているとき、社内ネットワークに接続しているときに、ユーザーは自動的にサインインします。

特定のシナリオで使用すべき選択肢をまとめたのが下の表です。参照としてご利用ください。

目的:	パスワードハッシュの同期	パススルー認証	フェデレーション認証
オンプレミスの Active Directory で設定されているユーザー、連絡先、グループをクラウドに自動的に同期する	はい	イエス	はい
ユーザーが、自分のオンプレミスパスワードを使用して、クラウドのアプリケーションとリソースにアクセスできるようにする	はい	イエス	はい
パスワードハッシュがクラウドに格納されないようにする	いいえ	イエス	はい
クラウドベースの多要素認証を使用する	はい	イエス	はい
オンプレミスの多要素認証を使用する	いいえ	番号	はい
保護を強化するために、スマートカード認証を使用する	いいえ	番号	はい

ヨーロッパの ID データストレージ

Azure や Microsoft 365 などのサービスに登録すると、ID データはすべて、サブスクリプションプロセスで入力したアドレスに基づいて格納されます。あなたがヨーロッパのアドレスを使用しているお客様である場合、Microsoft Entra ID は、あなたのデータのほとんどをヨーロッパのデータセンターに保存します。ただし、Microsoft Entra ID で使うサービスでは、一部のデータがヨーロッパの域外に格納されます。ヨーロッパの域外に格納されるデータの例としては、次のようなものがあります。

Microsoft Entra ID ベースのサービス	データの場所
Microsoft Entra B2B (Microsoft Entra B2B)	ゲストユーザーは、招待メールのリンクか、直接渡されたリンクを経由してアプリケーションにアクセスします。この引き換えリンクは米国のデータセンターに格納されます。ユーザーが招待メッセージからサブスクリプションを解除した場合、その電子メールアドレスも米国のデータセンターに格納されます。
Azure Active Directory B2C (Azure AD B2C)	ヨーロッパの外に個人データが格納されることはありませんが、ポリシー構成データは米国のデータセンターに格納されます。
Microsoft Entra 多要素認証	電話による呼び出しとテキストメッセージは米国のデータセンターから届きます。経路指定はグローバルプロバイダーが処理します。 OAuth コードの有効性は米国で確認されます。 Microsoft Authenticator アプリのプッシュ通知は米国のデータセンターから届きます。

自分の知識をチェックする

Microsoft Entra ID のテナントとは?

テナントは組織全体を表します。

テナントは組織内のユーザーを表します。

テナントは組織の地理的な場所を表します。

ID セキュリティスコアとは何ですか?

これは、組織内でセキュリティ保護されている ID の正確な個数を示す 1 から 100 までのパーセンテージです。

これは、セキュリティが Microsoft のベストプラクティスにどの程度一致しているかを示す 1 から 100 までのパーセンテージです。

これは組織のテナントが相互にどの程度一致しているかを示す 1 から 100 までのパーセンテージです。

作業を確認する前にすべての問題に回答する必要があります。

続行