Microsoft Entra ID のライセンスと用語を理解する
あなたの会社は、経験豊富な医療プロフェッショナルや社外の請負業者を常に探しています。 研究プロジェクトは、適切に管理しないとコストが高くなる可能性があります。 あなたの会社は、コスト効果を向上させたいと考えています。 あなたは、会社から、Microsoft Entra ID のライセンスの取得方法を調査するよう求められました。 また、Microsoft Entra ID で使われる可能性のある重要な用語を明確かつ簡潔に説明することも求められています。
このユニットでは、Microsoft Entra ID のライセンス方法と、各ライセンスに含まれる機能を確認します。 Microsoft Entra ID でライセンスを追加または変更する方法を確認し、Microsoft Entra ID を使うときに理解する必要がある重要な用語について学びます。
Microsoft Entra ID のライセンス
選択したライセンスの種類に応じて、Microsoft Entra ID のさまざまな機能を使用できます。
Microsoft Entra ID Free。 ユーザーとグループを管理し、必要なレポート、オンプレミスの Active Directory 同期、Microsoft Entra ユーザーのセルフサービス パスワード リセットを利用できます。 また、Microsoft 365、Azure サービス、Microsoft 以外の SaaS アプリケーションへのシングル サインオンも利用できます。
特定の機能の従量課金制ライセンス。 Azure AD B2C など、Microsoft Entra の特定の機能には、従量課金制でアクセスできます。 Azure AD B2C を使用すると、コンシューマー ユーザーおよびユーザーが使用するアプリケーションに対する ID とアクセスを管理できます。
Office 365 アプリ。 Free レベルのすべての機能を利用できるほか、カスタムのサインインおよびサインアウト ページ、クラウド ユーザー用のセルフサービスのパスワード リセット、デバイスの書き戻しを行うこともできます。
Microsoft Entra ID P1。 Free レベルのすべての機能に加えて、ユーザーにオンプレミスおよびクラウドベースのサービスとリソースへのアクセスを許可することもできます。 また、セルフサービス グループ管理や、条件に基づいてユーザーが自動的に追加および削除される動的グループを使用できます。 このレベルでは、Microsoft Identity Manager のようなオンプレミスの ID 管理スイートがサポートされます。 セルフサービス パスワード リセットは、オンプレミス ベースのユーザーにもサポートされています。
Microsoft Entra ID P2。 前の 2 つのレベルのすべての機能に加えて、Active Directory Identity Protection が提供されます。 この機能を使用すると、リスクベースの条件付きアクセスを構成し、アプリケーションを ID のリスクから保護することができます。 また、Privileged Identity Management を使用して、管理者を監視し、詳細な制限を設けることもできます。
組織のニーズに基づいて、必要なライセンスの種類を選択します。
Azure portal でアクティブなライセンス プランを表示するには、[Microsoft Entra ID]>[ライセンス]>[すべての製品] を選択してください。 ここでは、新しいライセンスを購入または試用することもできます。
ライセンス プランを選択すると、それに含まれるユーザーを確認できます。 プランでは、ユーザーやユーザー グループを追加したり、削除したりできます。
Microsoft Entra の用語
Microsoft Entra ID を効果的に使用するには、Active Directory の主要な用語をいくつか理解する必要があります。
ここではそれらの用語のいくつかを説明します。
| 用語 | 説明 |
|---|---|
| ID | 識別して認証する必要があるもの。 ID は通常、ユーザー名とパスワードの資格情報を持つユーザーですが、この用語はアプリケーションやサービスにも使われることがあります。 |
| アカウント | ID とそれに関連付けられたデータ。 ID を持たずにアカウントが存在することはできません。 |
| Microsoft Entra アカウント | Microsoft Entra ID または Microsoft 365 などのサービスで作成された ID。 これらの ID は Microsoft Entra ID に格納されます。 たとえば、社内スタッフは Microsoft Entra アカウントを職場で毎日使う場合があります。 |
| Azure サブスクリプション | Azure とそのサービスを使用する際のアクセス レベル。 従量課金制アクセスの場合、クレジット カードを使用して Azure サブスクリプションを設定します。 サブスクリプションにはいくつかの種類があります。 たとえば、エンタープライズ レベルのお客様は、Azure Enterprise Agreement サブスクリプションを使用できます。 1 つのアカウントで多くのサブスクリプションを使用できます。 |
| Microsoft Entra テナント | Microsoft Entra ID のインスタンス。 このテナントは、お客様が Azure または Microsoft 365 などの他のサービスに初めてサインアップしたときに自動的に作成されます。 テナント (組織を表す) は、ユーザー、ユーザー グループ、アプリケーションを保持します。 |
| マルチテナント | 複数のテナントから共有環境内の同じアプリケーションやサービスに対するアクセス。 これらのテナントは複数の組織を表します。 |
| Microsoft Entra ディレクトリ | Azure をサブスクライブすると自動的に作成される Azure リソース。 Microsoft Entra ディレクトリは多数作成できます。 ディレクトリのそれぞれがテナントを表わします。 |
| カスタム ドメイン | Microsoft Entra ディレクトリ用にカスタマイズするドメイン。 Microsoft Entra ディレクトリを作成するとき、Azure によって、<your-organization>.onmicrosoft.com のような既定のドメインが自動的に割り当てられます。 ただし、ドメイン名をカスタマイズできます。 その場合、ユーザーのアカウントは user@contoso.onmicrosoft.com ではなく user@contoso.com のようになります。 |
| 所有者ロール | このロールを使用し、ユーザーがリソースに対して必要とするアクセス レベルを含め、Azure のすべてのリソースを管理します。 |
| グローバル管理者 | Microsoft Entra ID のあらゆる管理機能にアクセスできるロール。 テナントを作成すると、そのテナントを対象とするこのロールが自動的に与えられます。 このロールがあれば、たとえば、すべてのユーザーと管理者のパスワードをリセットできます。 |
既定のユーザー アクセス許可
Microsoft Entra ID では、テナント内のすべてのユーザーに既定のアクセス許可セットが付与されます。 アクセス許可によって、ユーザーが実行できる操作と実行できない操作が規定されます。 既定で付与される一連のアクセス許可は、ユーザーがテナントの当然のメンバーである (社内の従業員など) か、外部組織に属しているかによって異なります。 後者はゲストと見なされます。 ゲストの例としては、あなたの代わりに業務を遂行するが、組織に正式に属していないベンダーがあります。 ゲスト ユーザーは、Microsoft Entra B2B と呼ばれる Microsoft Entra の機能を通じてテナントに招待されます。
メンバー ユーザーは、ゲスト ユーザーが実行できない多くのことを実行できます。 たとえば、メンバー ユーザーは、電話番号やプロファイルの写真など、自身のプロファイルの詳細を管理します。 ゲスト ユーザーには、通常、より多くの制限があります。 ゲスト ユーザーはたとえば、ディスプレイ画像を表示できますが、変更することはできません。 この制限を利用するには、会社が日常的に共同で作業している外部の医療プロフェッショナルにゲストユーザー アクセス権を付与します。 そうすることで、通常の社内スタッフ メンバーよりも制限されたアクセス許可が付与されますが、それでも作業を完了するには十分なアクセス許可が得られます。
メンバーとゲストで既定のアクセス許可を比較する
メンバー ユーザーとゲスト ユーザーには、既定のアクセス許可がいくつかあります。
| 区分 | メンバー ユーザーのアクセス許可 | ゲスト ユーザーのアクセス許可 |
|---|---|---|
| ユーザーと連絡先 | すべてのプロファイルの詳細を表示できます。 自分のパスワード、携帯電話番号、プロファイルの写真を変更できます。 | プロファイル名、メール アドレス、サインイン名、写真、ユーザー プリンシパル名を表示できます。 他のユーザーと連絡先のユーザーの種類のプロパティを表示できます。 自分のパスワードを変更できます。 |
| デバイス | デバイスのすべてのプロパティを読み取ることができます。 所有しているデバイスのすべてのプロパティを管理できます。 | デバイスのすべてのプロパティを読み取ることはできません。 所有しているデバイスのすべてのプロパティを管理することはできません。 所有しているデバイスを削除できます。 |
| アプリケーション | アプリケーションを登録できます。 | 新しいアプリケーションを登録できません。 所有しているアプリケーションを削除できます。 |
| ポリシー | ポリシーのすべてのプロパティを読み取り、所有しているポリシーのすべてのプロパティを管理できます。 | アクセス許可なし。 |
| サブスクリプション | すべてのサブスクリプションを読み取り、サービス プラン メンバーを有効にできます。 | アクセス許可なし。 |
| ロールとスコープ | すべての管理ロールとメンバーシップを読み取ることができます。 すべてのロールとスコープ、および管理単位のメンバーシップを読み取ることができます。 | アクセス許可なし。 |