Microsoft Entra IDは、旧Azure ADがアップデートされたクラウドベースのID管理サービスです。本記事では、Entra IDの概要や基本機能に加え、従来のAzure ADとの違いや、最新のセキュリティ機能について詳しく解説します。Entra IDの導入で、クラウド環境のセキュリティと運用効率を大幅に向上させる方法を学びましょう。
Azureの概要やメリットについては、下記の記事で解説しています。ぜひ本記事と併せてご覧ください。
★詳しくはこちら:
Microsoft Azureとは|何ができる?基礎から初心者にも分かりやすく解説
Entra ID(旧AzureAD)とは?
Microsoft Entra IDは、従来「Azure AD」として知られていた クラウドベースのID及びアクセス管理サービスです 。2023年10月に名称が変更されました。Microsoft Entra IDへの変更は、単なる名称変更にとどまらず、ID管理やセキュリティ機能をより包括的に提供するようになりました。
この変更により、MicrosoftはEntraファミリーとしての製品統合を強化し、IDガバナンスや権限管理の機能を充実させています。
Microsoft Entra IDの概要
Microsoft Entra IDは、クラウド環境におけるID管理の要となるサービスです。従来のAzure ADと比較して、アクセス管理やセキュリティ機能がさらに強化されました。
主な機能としては、 SSO(シングルサインオン)やMFA(多要素認証)、条件付きアクセス が挙げられます。これらの機能により、ユーザー認証の利便性を高めながら、不正アクセスのリスクを大幅に低減します。
また、 Entra IDはMicrosoft 365やAzureをはじめとするMicrosoftのクラウドサービスと統合されています 。
Microsoft Entra製品について
Microsoft Entra製品群は、ID管理を中心に多様なセキュリティとガバナンス機能を提供しています。その中核となるのがEntra IDですが、これに加え、以下の主要製品が展開されています。
-
Permissions Management
クラウド環境全体での特権アクセスを管理し、不要な権限を可視化・削減 -
Verified ID
ユーザーのデジタルIDを検証可能な証明書として提供し、安全な認証とデータ共有を実現 -
ID Governance
アクセス権のライフサイクルを管理し、定期的なレビューと適正化をサポート
これらの製品は相互に連携し、セキュリティ対策をより包括的に実施できる環境を提供します。
AzureとEntra ID(旧Azure AD)の関連性
Azureとは、Microsoftが管理しているデータセンターを通じて
SaaS
、
PaaS
、
IaaS
の各サービスを提供するクラウドサービスです。
Azureはクラウド上でアプリケーションの実行やストレージの管理、
機械学習
、IoTなど200種類以上のさまざまなサービスを提供しています。
その中で、Azure全体のIDおよびアクセス管理を担う重要な役割を果たすのがMicrosoft Entra IDです。AzureポータルやMicrosoft 365を含むクラウドサービスへのSSOや条件付きアクセスを可能にし、セキュリティを強化しつつ業務効率を向上させます。
また、Entra IDはAzure上の仮想マシンやストレージサービスにも対応しており、リソースへの安全なアクセスを一元的に管理できます。
オンプレミスのActive Directoryとの違いとは
従来、企業がオンプレミスで利用していたActive DirectoryとEntra IDの違いはどこにあるのでしょうか。両者の違いを、5つの視点から解説していきます。
利用用途の違い
まずは、利用用途による違いです。
オンプレミスのActive Directoryは、社内リソースを管理する用途で利用します。 自社サーバーを用意し、社内サーバーで運用しているシステムやアプリへの認証を行います。
一方 Entra IDは、Microsoftが提供するクラウドサービスの認証とアクセス管理が主な機能です。 また、オンプレミスのActive Directoryと連携することで、クラウドとオンプレミスの両方を安全に管理できます。
デバイス管理の違い
オンプレミスのActive Directoryは、企業内のネットワークに接続されたデバイスの管理に特化しています。 主に社内従業員向けのデスクトップパソコンやノートパソコン、プリンターなどのデバイスを「ポリシー機能」にのっとって一元管理し、セキュリティを強化しています。
一方、 Entra IDは、Microsoft Intuneというサービスと連携することで、デバイスとアプリの管理が可能です。 インターネット環境があれば、自宅や外出先など場所を問わずIntune管理センターへアクセス可能です。また、Microsoft Intuneにはセキュリティを向上させる機能も含まれているため、リモート環境でのセキュリティリスクも軽減できるでしょう。
認証プロトコルの違い
オンプレミスのActive DirectoryとEntra IDは、認証プロトコルにも違いがあります。
Active Directoryでは、既定のKerberosを利用することが一般的です。
一方の Entra IDでは、以下のようなインターネットで広く利用されるプロトコルが使用されます。
- SAML
- WS-Federation
- OpenID Connect
- OAuth
サーバー構成の違い
サーバーを独自に構成するかしないかも大きな違いの1つです。
オンプレミスのActive Directoryは、企業や組織が自らサーバーを設置・運用する必要があります。 シングルサインオンを実装したい場合、Active Directoryのフェデレーションサービス用のサーバーアプリケーションのプロキシサーバーなど、用途に合ったサーバーの構築が必要です。
Entra IDでは、Microsoftが提供するサーバーを利用できるため、自らサーバーを設置・運用する必要がありません。
また、2段階認証やシングルサインオンの機能がすでに搭載されているため、Azureポータル上で機能を利用するだけで、要件を達成できます。
Entra ID(旧AzureAD)の機能
Entra IDでSSO機能を実装するためには、認可と認証、そして多くのクラウドサービスと連携可能とするためのサービスへのアクセスといった機能が求められます。そこで、Entra IDは具体的に次のような機能を提供しています。
SSO(シングルサインオン)
記事の最初でも解説しましたが、 SSOは、1度のログインでドメインに参加している全てのサーバーへのアクセスが可能になる機能です。 Entra IDではSSO機能が利用できます。
SSOを利用することで、セキュリティリスクを抑えながら、複数のクラウドサービスと連携が可能です。業務効率向上のためにも、SSOを積極的に活用しましょう。
★詳しくはこちら:
シングルサインオン(SSO)とは? 仕組みやメリット・デメリットを解説
ユーザー/グループ管理
Entra IDで認証や認可を制御するためのベースであり、ユーザーやグループを管理するための機能です。
アプリケーション管理
Entra IDで認証されたユーザーに対し、特定のアプリケーションへのアクセスを制御するための機能です。
現時点で、Entra ID経由でSSOが可能なクラウドサービスおよびオンプレミスシステムは2,000種以上あります。さらに、Microsoft Azure上に作成したWebサイトやオンプレミスで外部公開用に運営しているWebサイトへのアクセスも、Entra ID経由で行えます。
デバイス管理
ユーザーが使用しているデバイスを登録し、 認可したデバイスからのアクセスだけを許可してセキュリティを強化する機能です。 管理者が意図していないデバイスからのアクセスを制御し、シャドーITにも有効となります。
MFA(多要素認証)
パスワードリスト攻撃など正攻法での不正アクセスに対して、セキュリティを強化するための機能です。 電話やSMS、ワンタイムパスワードなど複数の認証方式でのログインを強制することで、不正アクセスのリスクを下げることができます。
アクセスログ
ユーザーがEntra ID経由で行った認証やサービスへのアクセスログを記録する機能です。 Webブラウザを通じてレポートが確認でき、不正アクセスに関するレポートも同時に確認できます。
オンプレミスの Active Directoryとの連携機能
Entra IDは、 既存のオンプレミスのActive Directoryと連携することが可能です。 連携させるには、Entra Connectの機能を利用します。
一部のシステムをオンプレミスのサーバに残したままクラウド化する ハイブリッドクラウド の構築を行う場合に、Entra Connectを利用します。
これにより、徐々にクラウドへの移行を進めることができます。また、ハイブリッド環境での運用もサポートしているため、柔軟な導入が可能です。
Entra ID(旧AzureAD)を導入するメリット
ここまでEntra IDの機能を紹介しましたが、実際に導入したときにどのようなメリットがあるのか見ていきましょう。
コストの削減
Entra IDを導入するメリットの1つ目は、 企業がオンプレミスのActive Directoryを運用するために必要とされているサーバの購入や保守コストを削減できる点です。
さらに、Entra IDの利用料は利用した分だけ支払う従量課金制のため、無駄なコストはかかりません。これにより、中小企業から大企業まで、あらゆる規模の企業がコスト効率の高いアカウント管理を実現できます。
規模の拡張・縮小が簡単
Entra IDは クラウド上で提供されるため、企業の規模に合わせて柔軟にサービスを拡張・縮小することが可能です。
すでに本記事でも解説しましたが、オンプレミスのActive Directoryで新たな機能を追加する際、専用のサーバを構築する必要があります。サーバを設置するための設計や運用のために、さらにコストがかかるでしょう。
Entra IDでは、Azureポータル上で設定を行うだけで、短時間で機能の拡張・縮小が可能です。日々進化するIT業界において迅速さと柔軟性が求められるため、この点はEntra IDの大きなメリットといえます。
作業効率の向上
Entra IDの SSOを利用し、ユーザーが1度のログインで複数のクラウドアプリケーションにアクセスできることもメリットの1つです。 これによりパスワードの入力回数を削減し、作業効率の向上が見込めます。
サービスやアプリごとに、複数のIDやパスワードを覚える必要がなくなるとともに、毎回パスワードを入力する手間も省けます。
ハイブリッドワークに対応
近年、 リモートワークやフレキシブルな働き方が増えていますが、Entra IDはこれに対応した環境を提供してくれることもメリットです。
オンプレミスのActive Directoryは、社内ネットワークへの接続を強いられるため出社することが前提となっていました。Entra IDを利用することで、従業員がオフィス内だけでなく、リモートからも安全にアクセスできるように設計されています。
セキュリティの向上
Entra IDは、 Microsoftの高度なセキュリティ対策と統合されていることも大きなメリットです。
MFAや条件付きアクセスなどの強力なセキュリティ機能により、不正アクセスやデータ漏えいなどのリスクを軽減します。また、セキュリティの向上を実現するための高度な監査ログやレポート機能も備えているため、セキュリティ対策を強化する上でもEntra IDの利用が有効です。
Entra ID(旧Azure AD)を導入するデメリット
Entra IDの導入には多くのメリットがありますが、一方でいくつかのデメリットも考慮すべきです。
ユーザー環境の変化
Entra IDを導入すると、
従来のオンプレミスのActive Directoryからクラウド環境へ移行や併用をすることなるため、作業者の作業手順が変わる可能性が高いです。
特に、既存のシステムやアプリケーションとの連携において、設定やアクセス権の調整が必要となる場合があります。
従業員への周知や教育、サポートが必要になるため、初期段階では一時的な業務負担が発生することが考えられます。
障害が発生した場合の影響
Entra IDを管理しているデータセンターなどで異常が発生した場合に、サービスへのアクセスができなくなることもデメリットです。
オンプレミスのActive Directoryで異常が発生した場合は自社で対応できますが、Entra IDの場合は、Microsoftの対応を待つしかありません。
しかしEntra IDは、データセンターで異常が起きても、複数のデータセンター間で素早く通信を切り替えることでサービスの継続性を保証しています。
手動での管理業務が増加する可能性がある
Entra IDの導入により多くの管理業務が自動化されますが、一部の業務は引き続き手動で対応する必要があります。特に、Azure非対応のアプリやシステムへのアクセス管理では、カスタム設定や個別対応が求められる場合があります。例えば、認証プロトコルの違いによる互換性問題や、レガシーアプリケーションの連携に関する調整が該当します。
特に、オンプレミスADを併用するハイブリッド構成の場合、クラウドとオンプレミスの管理を並行して行う必要が生じ、運用の複雑化が懸念されます。また、Entra IDに新機能を追加する際にも、手動での設定が必要となる場合があり、導入後の計画的な運用体制が求められるでしょう。
こうした課題に対応するには、導入前にシステム要件を精査し、可能な限りAzure対応のサービスに統一することや、管理者の負担を軽減するための自動化ツールや外部リソースの活用を検討することが重要です。
一定の専門知識が必要
Entra IDは高度なセキュリティ機能や認証プロトコルを提供していますが、これらの機能を最大限に活用するためには一定の専門知識が必要です。
特に、セキュリティ設定や条件付きアクセスの構成、アプリケーションとの統合などは、理解と専門的な知識が求められます。そのために、Azure AD/Entra IDの知識だけでなくAzureサービスに関する知識も必要となります。
社内の人材だけで対応が難しい場合は、社外と連携する必要があるため、さらにコストがかかるでしょう。
Entra ID(旧AzureAD)のプランと料金
Microsoft Entra IDには、利用規模や目的に応じた複数のプランが用意されています。 基本的な機能が含まれる「Free」プランから、セキュリティや管理機能が強化された「P1」「P2」プラン、さらにエンタープライズ向けの統合サービスを提供する「Microsoft Entra Suite」まで、幅広い選択肢が用意されています。
ここでは、それぞれのプランの特徴と料金について詳しく解説します。
| プラン | 主な機能 |
利用料金
(ユーザ/月) |
対象 |
| Microsoft Entra ID Free | 多要素認証(MFA)、シングルサインオン(SSO)、基本的なユーザー管理 | 無料 | 小規模組織、基本的なID管理 |
| Microsoft Entra ID P1 | 条件付きアクセス、グループ管理、Intuneとの連携、IDガバナンス | 899円 | エンタープライズ向け、中規模組織 |
| Microsoft Entra ID P2 | リスクベースの条件付きアクセス、脅威検出 | 1,349円 | 高度なセキュリティを必要とする企業 |
| Microsoft Entra Suite | Permissions Management、Verified ID、ID Governanceを含む統合サービス | 1,799円 | 包括的なセキュリティとアクセス管理が必要な大規模企業 |
Microsoft Entra ID Free
Freeプランは、 Microsoft Azure、Microsoft 365、Intuneなどに含まれる基本プランです 。MFA、SSO、セルフサービスでのパスワードリセット機能を利用可能で、小規模な組織やID管理の導入を検討している企業に最適です。
追加コストなしでセキュリティを向上できますが、条件付きアクセスや高度なガバナンス機能は含まれないため、必要に応じて上位プランの契約を検討しましょう。
Microsoft Entra ID P1
P1プランは、Freeプランに加え、 条件付きアクセスや高度なグループ管理などエンタープライズ向けの機能を提供します 。Microsoft Intuneとの連携により、モバイルデバイスやアプリの管理が可能です。
1ユーザー月額899円 で、Microsoft 365やAzureを安全に利用できる環境を構築し、柔軟なセキュリティポリシーを適用できます。企業規模や要件に応じて導入を検討できます。
Microsoft Entra ID Premium P2
P2プランは、 P1の全ての機能に加え、脅威検出機能やリスクベースの条件付きアクセスのような高度なセキュリティ機能を提供します 。特に、リアルタイムの異常ログイン検知が可能で、組織全体のセキュリティをさらに強化します。
このプランは、Microsoft Entra ID保護と統合されており、リスクにもとづくセキュリティ対策を自動化します。料金は 1ユーザーあたり月額1,349円 で、セキュリティとコンプライアンスを重視する企業に最適です。
Microsoft Entra Suite
Microsoft Entra Suiteは、 Entra IDの全機能に加え、Permissions ManagementやVerified IDなど、Entraファミリーの追加サービスを統合したプランです 。このプランは、企業全体のIDとアクセスを包括的に管理し、より高いセキュリティと効率性を実現します。
また、Entra Suiteは、クラウドネイティブなアプリケーションやハイブリッド環境での運用を視野に入れた設計が特徴です。料金は 1ユーザーあたり月額1,799円 で、複数のEntraサービスを一括で利用する場合にコストパフォーマンスの高い選択肢となります。
Entra IDの追加オプション
Microsoft Entra IDは基本機能だけでなく、企業の多様なセキュリティニーズに応えるための追加オプションを提供しています。このオプションにより、より高度なセキュリティ対策や効率的な運用が実現可能です。
| 追加オプション | 料金(ユーザ/月) | 主な用途 |
| Microsoft Entra Internet Access | 749円 | インターネット接続のリアルタイム監視・制御 |
| Microsoft Entra Private Access | 749円 | プライベートネットワークへの安全なアクセス提供 |
| Microsoft Entra ID Governance | 1,049円 | IDライフサイクル管理とアクセス権適正化 |
| Microsoft Entra Verified ID |
無料 (顔認証をする場合は約38円(スタンドアロン)) |
デジタルIDの安全な証明と共有 |
※2024年11月現在東日本リージョンの価格です。
追加オプション | Microsoft Entra Internet Access
Microsoft Entra Internet Accessは、 IDを基盤としたSecure Web Gateway(SWG)として、インターネットやSaaSアプリ、Microsoft 365アプリケーションへの安全なアクセスを提供します 。
このオプションはWebフィルタリングやMicrosoft 365のテナント制限機能を備え、潜在的なインターネット上の脅威からユーザーを保護します。さらに、条件付きアクセスを適用することで、インターネットトラフィックを高度に制御し、セキュリティ基盤を強化します。
料金は、 1ユーザーあたり月額749円 で利用可能です。
追加オプション | Microsoft Entra Private Access
Microsoft Entra Private Accessは、 ゼロトラストモデルを採用したプライベートネットワークアクセスのためのサービスです 。VPNに代わり、特定のユーザーやデバイスにのみ安全なアクセスを提供し、ハイブリッドクラウド環境でも高いセキュリティを実現します。
料金は、 1ユーザーあたり月額749円 で利用可能です。このオプションは、リモートワークやハイブリッド環境のニーズに対応し、企業ネットワークを保護します。
追加オプション | Microsoft Entra ID Governance
Microsoft Entra ID Governanceは、 ID管理とアクセス権適正化を目的としたオプションです 。アクセス権の自動付与、定期的なレビューを提供することで、過剰な権限付与を防ぎ、コンプライアンス要件を満たします。
料金は、 1ユーザーあたり月額約1,049円 です。このオプションは、企業全体のIDライフサイクルを効率的に管理し、セキュリティと運用効率を同時に向上させるための重要なツールです。
追加オプション | Microsoft Entra Verified ID
Microsoft Entra Verified IDは、 ユーザーや組織のデジタルIDを安全に検証・共有するためのサービスです 。ユーザーは資格情報や身分証明を必要な相手にのみ提供でき、プライバシーを保護しながら信頼性の高い取引を実現します。特に採用プロセスやパートナー契約の効率化に役立ちます。
料金は、顔チェックを個別で購入する場合は 1ユーザーあたり月額約38円 (東日本リージョンの場合)で利用可能です。このオプションにより、信頼性の高い認証環境を構築できます。
オンプレミスADからEntra ID(旧Azure AD)へ移行する際の注意点
多くの企業で、オンプレミスADからEntra IDへの移行をすでに行っていますが、今後移行を検討しているという企業も多いでしょう。そこで、実際に移行を行う際の注意点を3つ紹介します。
段階的に移行する
オンプレミスのActive DirectoryからEntra IDへの移行は、1度に全てのリソースを移行するのではなく、段階的に進めることが重要です。
まずはテスト環境や一部のユーザーやデバイスから始めて、移行プロセスを確認・評価しましょう。段階的に移行していくことで、リスクを最小限に抑えながら安全な移行を実現できます。
セキュリティー対策と障害対策が必要
Entra ID移行時には、セキュリティ対策と障害対策を万全に準備することが重要です。
セキュリティ対策では、データの暗号化や多要素認証などの強化を行い、セキュリティレベルを向上させることが求められます。また障害対策では、移行中のデータのバックアップや復元計画を立てておくことで、予期せぬ問題にも迅速に対応できます。
導入後の運用について検討しておく
移行が完了した後に、どのように運用するかについて検討することが重要です。
特に、ユーザーや管理者の学習や教育などのサポート体制を整えることで、新しい環境への適応をスムーズに進められます。適切に継続して運用していくためには、教育だけでなくスキルのある人材を採用するという選択肢もあります。
移行を検討する段階で、運用方法についても検討しましょう。
オンプレミスADからEntra ID(旧Azure AD)へ移行するには
オンプレミスADからEntra IDへ移行する注意点を踏まえて、実際に移行する手順を解説します。
Entra Connectを利用する
オンプレミスのActive DirectoryからEntra IDへ移行する際は、Entra Connectを使用しましょう。Entra Connectの機能は無料で利用することができ、ユーザーアカウントやグループ情報を自動的に同期し、複数の環境を一元管理することが可能です。また、SSOやハイブリッド環境の設定を簡単に行えるため、企業の移行作業を効率化します。
Entra Connectは、移行時のトラブルを最小限に抑えながら、クラウド環境へのスムーズな移行をサポートする重要なツールです。
移行のための5ステップ
移行を段階的に進めるために、以下のステップを順序立てて実施しましょう。
Step 1:ハイブリッド構成の構築
移行の初期段階では、オンプレミスADによる認証基盤を主要としつつ、Entra IDを統合します。
Entra Connectを使用して両者を接続することで、オンプレミスADの情報をEntra IDに同期します。これにより、ユーザーは「ハイブリッドID」と呼ばれる単一のIDでオンプレミスとクラウドの両方にアクセスできる環境を構築できます。
Step 2:ワークロードの段階的移行
ハイブリッド構成が整った後、オンプレミスADからEntra IDへのワークロード移行を進めます。
この際、新規デバイスやアプリケーションをオンプレミスAD側に追加することを避け、全てEntra ID側で管理します。優先順位を設定し、影響の少ないリソースから順に移行することで、運用への影響を抑えます。
Step 3:オンプレミスADの廃止
最終的に、オンプレミスADを廃止し、Entra ID中心の認証基盤を目指します。必要に応じてハイブリッド構成を継続する選択肢も検討可能です。オンプレミスADを廃止する場合は、Entra Connectの同期を解除し、同期IDをクラウドIDに切り替えます。
このプロセスを完了すれば、企業全体のID管理がクラウドに統一され、柔軟で効率的な運用が可能になります。
Entra ID(旧AzureAD)の役立つ追加サービス紹介
Entra IDは、アカウントの認証・管理だけでなく、さまざまな追加サービスを提供しています。サービスにより、さらなるセキュリティと利便性が実現できます。
Azure AD B2C
Azure AD B2Cは、企業や組織が消費者、市民、ビジネス顧客にIDを介してサービスを提供する際に使用するID管理のための機能です。 コンシューマー向けのアプリのID管理を行う用途で使用します。
Entra IDが企業の社員向けのID管理サービスであるのに対して、Azure AD B2Cは消費者向けのID管理サービスです。
Amazon、Google、Appleといった外部アプリケーションのIDと連携できることも、Azure AD B2Cの特徴です。
Microsoft Entra Domain Services
Microsoft Entra Dom ai n ServiceもEntra IDの追加機能の1つで、ドメインコントローラ機能をAzure上で提供するサービスです。
Azureで構築している仮想サーバーやクラウド上のサービスに、Entra IDに登録したアカウントを利用して、ドメインの参加や Kerberos認証、LDAP認証を許可することを目的としています。
従来のオンプレミス環境をクラウドに移行する際や、クラウド環境だけでドメイン機能を利用したい場合に便利なサービスです。
Microsoft Entra Identity Protection
Microsoft Entra Identity Protectionは、高度なセキュリティとAIによる脅威検知を組み合わせたサービスです。
ユーザーやデバイスの認証やアクセスに対してリアルタイムで異常を検知し、不審なアクティビティを監視します。また、不正アクセスやサイバー攻撃の1つでもある総当たり攻撃を自動的にブロックする機能も備えているため、セキュリティ対策としても利用できます。
このサービスの利用には、Entra Premium P2ライセンスの契約が必要です。
まとめ
Entra IDは、Azure ADがアップデートされたクラウドベースのID管理ソリューションで、セキュリティ強化と運用効率化を同時に実現します。基本機能に加え、追加オプションや高度なガバナンス機能を活用することで、企業の多様なニーズに対応可能です。
オンプレミスADからの移行では、ハイブリッド構成の構築や段階的なワークロード移行を通じて、安全かつスムーズにクラウド環境を整備できます。また、料金体系や用途に応じた柔軟なプラン選択が可能で、幅広い規模の組織に対応します。
本記事を参考に、Entra IDを活用して、安全で効率的なID管理基盤を構築し、企業の成長を支えるインフラを整備しましょう。
