Azure Managed Service Column ＜Azure運用コラム＞Microsoft Entra IDとは？ オンプレAD、Azure ADとの違いや機能、エディション、移行方法をわかりやすく解説

Azure ADと何が変わった？最新のID・アクセス管理の仕組みについて詳しく解説！

デジタル化が進む中で、企業の ID 管理はより複雑化しています。これまで多くの企業のID管理の課題に対応してきた Azure AD の後継として登場した Microsoft Entra ID は、変わらずこの課題に対応するためのキーテクノロジーです。

ログインする ID、パスワードが増えると管理が煩雑になることは、オンプレミスでも SaaSでも変わりません。SaaSなどのクラウドサービスでシングルサインオンや ID の一括管理を実現するのが、 Microsoft Entra ID です。

本記事では、 Microsoft Entra ID とはどのようなものなのか、 AD や Azure AD との違い、主な機能、そして活用事例や導入方法までを具体的に解説します。

1. Microsoft Entra IDとは

これまでAzure Active Directoryとして広く使用されていたサービスは、現在はMicrosoft Entra 製品として生まれ変わりました。ここではまず、 Microsoft Entra と、 Microsoft Entra ID の概要について解説します。

Microsoft Entraとは

Microsoft Entra は、 Microsoft が提供するアクセス管理や ID 管理のための包括的な製品グループです。この製品群は、クラウドベースのアプリケーションやサービスへのアクセス管理、ユーザーの ID 管理とプライバシー保護を実現するためのものです。

Microsoft Entra には、 ID とアクセス管理のための主要なツールである Microsoft Entra ID をはじめ、アクセス権管理、デジタルトラストの確立などをサポートする複数の製品が含まれています。

Microsoft Entra が提供するこれらのツールは、企業が現代のデジタル環境において、ユーザーの認証とアクセスのセキュリティを強化し、効率的に管理できるようにすることを目的としています。

詳細はこちらの記事でも紹介しています。是非ご覧ください。

Microsoft Entra IDとは

Microsoft Entra ID は、旧称「 Azure Active Directory(Azure AD) 」と呼ばれており、Microsoft が提供するアクセス管理、 ID 管理を担うサービスです。

以前は、システムはすべて社内サーバーの中にあり、オンプレミスの Active Directory で一元管理ができていました。しかし、今では便利なクラウドサービスが増え、業務に使用する SaaS サービスも増えています。それぞれのサービスに都度ログインしていると、ID やパスワードを忘れたり、同じパスワードを設定してセキュリティレベルを下げてしまったりといった問題が発生しかねません。

そのようなクラウドサービス利用時の認証の問題を解消するために、一括で認証情報を管理する便利なサービスとして、 Azure AD が提供されてきました。そして、その役割と機能を引き継ぎ、さらに進化を遂げたのが Microsoft Entra ID です。

Microsoft は、 AD との混同を避け、 Microsoft Entra 製品ファミリを統一するために、 2023 年 10 月 1 日より従来の Azure AD から「 Microsoft Entra ID 」へと名称を変更しました。現在 Azure AD を使用している場合、特に何もする必要なくサービスを引き続き使用できます。

Microsoft Entra ID はセキュリティ機能も充実しており、セキュリティレポートによる不正アクセスの検知や、グループごとの条件付きアクセスによる権限管理など、多岐にわたる機能を提供します。利用できる機能はエディションによって異なるので、選択には注意が必要です。

また、オンプレミスの Active Directory とは基本的に別のサービスですが、 Microsoft Entra ID とオンプレミスの Active Directory との間でユーザー情報を同期させることで、両方を一元管理することが可能になります。同期の設定や変更の反映には細かな調整が必要ですが、適切に連携させることで、より効率的な ID 管理が実現します。

2. Active DirectoryとMicrosoft Entra IDの違いとは？

Active Directory とは Windows Server に備わっているユーザーを管理するためのシステムです。ユーザーを管理するという点においては、 Microsoft Entra ID と同じですが、基本的には別ものです。この仕組みを理解するために、 Active Directory における「ディレクトリ」、「ドメインコントローラー」といったコンポーネントと、「認証方式の仕組み」について解説します。

ディレクトリ

「ディレクトリ」とは「何がどこにあるのかを示す総覧」です。パソコンの中でよく見る「階層型フォルダ構造」もディレクトリの一種です。ディレクトリはあくまで一覧表であり、「人」や「組織」にアクセスするための番号と住所が記載されたものです。場合によっては、家族や親戚といった人間同士の関係性や企業の部署や支社といった組織同士の関係についても記載されています。

ドメイン

Active Directory では「ドメイン」と呼ばれる領域が作成されます。このドメインの中で、ユーザー、パソコン、共有データ、部署やプロジェクトチームといったリソースに関する情報を扱うことができます。 ドメインは管理単位として用いられ、ドメインに対する管理を「ドメインコントローラー（ DC ）」と呼びます。

ドメインツリーとフォレスト

ドメイン内では、管理者のポリシー次第でリソースに自由にアクセスすることができます。管理対象のドメインは大きな会社になると子会社や支社を持ち、場合によっては別ドメインを作成することがあります。それぞれのドメイン間で信頼関係を構築し、ポリシーを設定することができます。これをドメインツリーと呼びます。

さらにまったく別のドメインツリーと信頼関係を結ぶこと、１つ以上のドメインツリーで構成された最大の管理単位を「フォレスト」と呼びます。

ディレクトリサービスと認証方式

Active Directory は、 Microsoft が開発した独自のディレクトリサービスです。ディレクトリサービスの標準として用いられるプロトコルは Lightweight Directory Access Protocol （ LDAP ）です。

認証方式は Kerberos 認証という認証方式が採用されています。 Kerberos 認証により、ユーザーは一度認証を受けると、どのコンピューターに対してもパスワードを要求されることなくアクセスすることが可能となります。

使い方の違い

Active Directory はこのように、ディレクトリ、ドメイン、ドメインツリー、フォレストと管理規模に応じた形態を備えており、社内にサーバーを置き、オンプレミスで運用することを想定しています。管理するアカウントも主にドメイン内で社内リソースを使うための認証情報です。

一方 Microsoft Entra ID は、インターネット接続したうえでクラウドサービスのアカウント認証を一括で行うものであり、これだけでは社内リソースを管理することはできません。社内サービスも一括で管理するためにはオンプレの Active Directory と連携する必要があります。

認証方法の違い

Active Directory の場合、ディレクトリへのアクセスには Microsoft 独自のプロトコルと LDAP を使い、認証プロトコルは Kerberos です。

それに対して Microsoft Entra ID は、ディレクトリへのアクセスには RESTful API を使い、クラウドサービスの認証には SAML や WS-Federation 、 OpenID Connect 、 OAuth などのプロトコルに対応しています。クラウドサービスでよく使われるプロトコルに対応しているので、サービスに応じて使用しましょう。

Microsoft Entra IDが注目される背景

テレワーク（リモートワーク）の浸透

働き方改革の推進、コロナ禍の影響からテレワークが急速に広まりました。また現在ではリモートワークとオフィスワークをハイブリッドに行う働き方も浸透しています。

クラウドサービスを活用し社外で仕事することがあたり前となり、オンプレミスでのユーザー管理、認証システムの仕組みだけでは対応が難しくなっています。

セキュリティリスクの高まり

テレワークの拡大や DX によるクラウドサービスへの移行は、利便性を高めながらも同時にサイバー攻撃や情報セキュリティの管理においてリスクを高めることにもなります。

近年の事例としては、 VPN やリモートデスクトップの脆弱性を突いた攻撃や、従業員へのフィッシング詐欺、認証情報の使いまわしによる情報漏えいなどが挙げられます。そのためオンプレミス環境、クラウド環境を統合したユーザー管理の一元的な仕組み、ユーザーの利用状況の可視化の構築が求められています。

情シス担当の業務負荷の増加

IT 部門の業務負荷も増加傾向にあります。オンプレミスを中心にシステムを運用している場合は、機器の設置や設定、増設など環境構築や保守のために、追加の工数やコストが必要です。

それに加えテレワーク環境における従業員のケアも必要となり、パスワード忘れ、アプリケーションやシステムへアクセスできないといった問い合わせ対応も増加するでしょう。あらゆる利用場面におけるサポートが求められるため、何もしなければ情シス担当の負荷は今後も増加することが見込まれます。

これらの背景から Microsoft Entra ID をうまく活用することで、これらの課題の解消につなげることが可能です。 Microsoft Entra ID は場所を問わないユーザー管理、認証機能を提供し、様々な Azure サービスと連携し管理システムを構築することができます。

3. Microsoft Entra IDの導入のメリットとは？

それでは、 Microsoft Entra ID を導入することでどのような課題を解決できるのでしょうか。導入メリットについて解説します。

導入・運用におけるコスト面のメリット

Office 系アプリケーションのサブスクリプション化が急激に浸透し、現在では Microsoft 365 の利用者が急激に増加していることから、従来の買い切り型である永続版ライセンスは今後減少していくことが見込まれています。現在サポート中の買い切り型ライセンスの Office は以下の通りです。（ 2024/2/25 現在）

• Office 2013 （メインストリームサポート終了済、延長サポート 2023/4/11 ）
• Office 2016 （メインストリームサポート終了済、延長サポート 2025/10/14 ）
• Office 2019 （メインストリームサポート終了済、延長サポート2025/10/14 ）
• Office 2021 （メインストリームサポート 2026/10/13 、延長サポートなし）

最新のサポート情報は、以下 Microsoft 公式ページ（※1）を確認ください。

Microsoft Entra ID は Microsoft 365 のサブスクリプション契約に含まれるサービスであり、買い切り版からサブスクリプションに切り替えることにより、自動的に Microsoft Entra ID が利用できるようになります。よって運用における負荷を軽減できる可能性があります。

認証基盤としての連携機能による効率面のメリット

Microsoft Entra ID は一度の認証でアクセスできるシングルサインオン（ SSO ）機能を利用し、様々なクラウドサービスと連携する事ができます。これは Microsoft のサービスのみならず、Microsoft 以外のクラウドサービスとも連携する事ができます。

またパスワード以外の情報を認証要素とする多要素認証（ MFA ）なども利用できることから、認証基盤として高度な機能を効率的に利用できます。

管理者の業務負荷削減のメリット

Microsoft Entra ID は、既存のオンプレミス Active Directory と統合する事が可能です。クラウドとオンプレミスを統合・連携させることで一度のアカウント登録、一度の端末登録で済み、状態を一元的に管理できるので管理者の業務負荷削減の一助となるでしょう。

セキュリティ向上のメリット

2022 年 7 月に Microsoft Entra ID （当時は Azure AD ） では多要素認証機能の設定が「セキュリティの規定値群（セキュリティデフォルト）」の推奨（デフォルトで有効）となりました（※2）。セキュリティの規定値群（セキュリティデフォルト）とは 2019 年 10 月にリリースされた Microsoft 社の認証基盤、 Microsoft Entra ID のセキュリティ機能です。

現在では多要素認証機能を設定していないユーザーに対して Microsoft Authenticator アプリを利用した多要素認証が必須化されています。またレガシーな認証はブロックされるなど、セキュリティの規定値がより厳格になりました。

4. Microsoft Entra IDの機能

クラウドで使われる Microsoft Entra ID は、オンプレミスで使う Active Directory と似たような機能が多くありますが、サービスにログインするデバイスの管理など、どこからでもアクセスできる SaaS の特徴に合わせた次のような機能を提供しています。

Microsoft Entra IDの主要機能

ID 管理

ユーザーが属している組織など基本情報が登録されており、メンテナンス可能なのが ID 管理です。入退社や人事異動など、部署の改編などにともなう権限付与も個別ではなく一括で行うことができ、ミスを減らせます。

シングルサインオン

SaaS アプリケーションを使う際にはログインする必要がありますが、サービスが変わる度に認証を要求されていると操作が煩雑になります。そこで SaaS アプリケーションのアカウント情報と Azure Active Directory 認証情報を紐づけることで、１度認証するだけで、他のアプリケーションでのログインを省略できます。

すべての SaaS サービスに対応しているわけではありませんが、Google や Facebook など、よく使われる SaaS サービスにはある程度対応しています。

デバイス管理

Microsoft Intune というサービスと併用することで、モバイルデバイスとモバイルアプリの管理が行えます。クラウドサービスはインターネットにつながっていれば、どこからでもアクセス可能です。アクセスの利便性はメリットである反面、セキュリティ的には不安要素にもなりえます。

Microsoft Intune は、Windows Update などの更新プログラムが最新であるかを管理する機能、アプリケーションの利用を制限し、危険の高いアプリケーションを使わせない機能、デバイスに対し暗号化設定を適用する機能などがあります。これらの様々なデバイス管理機能を活用することでセキュリティを向上することができます。

尚、Microsoft Intune は月額ライセンスで個別に購入するか、Microsoft 365 の一部のプランに含まれています。ライセンスや利用料金に関する詳細は公式サイトをご確認ください。

アクセス制限

グループやユーザー単位で使用できるアプリケーションを指定でき、権限がないアプリケーションは表示されません。特定のアプリケーションを使いたい場合は個別に申請してもらうことになるので、誰が何を使用しているかを明確に管理することができます。

このような標準的なアクセス制御に対し、さらに細かい条件を指定できるのが、条件付きアクセス機能です。Microsoft Entra ID はクラウド型サービスなので、インターネット上のすべての認証リクエストを受け取ってしまいます。つまり従来のオンプレミス環境よりも、常に脅威に晒されていることになります。

このような脅威に対処するため、誰が、いつ、どのデバイスからアクセスし、どのようなアプリケーションを利用したのかを厳密に管理する必要があります。条件付きアクセスはユーザーがアクセスした際に、条件に合致するかの判断を行い、合致するものに対し認証権限を付与する機能です。

例えば、Microsoft Intune で指定した基準に準拠しているデバイスを条件にする、指定した IP アドレス以外からのアクセスには多要素認証を求める、ログインの試行回数が多いアカウントからの認証を拒否する等、詳細の条件を指定することができます。

このような条件付きアクセス機能は Microsoft Entra ID Premium P1 以上の有料ライセンスで利用できます。ライセンスや利用料金に関する詳細は公式サイトをご確認ください。

オンプレ AD との連係機能

オンプレミスの Active Directory と Microsoft Entra ID は別物ですので、オンプレのシステムとクラウドサービスを両方利用しようとすると ID の二元管理となり煩雑です。

オンプレミスの Active Directory の情報を Microsoft Entra ID と同期することで、同じアカウントをクラウドとオンプレミスとで利用することができ、ユーザーはシステムがどこにあるかを意識せずに利用できるようになります。

ユーザー情報の同期方法は既存の環境によって様々ですが、オンプレミス Active Directory と Microsoft Entra ID との連携は Microsoft Entra Connect というツールを利用して同期を行います。 Microsoft Entra Connect は同期方向が Microsoft Entra ID からの一方向となるため、ユーザー情報の上書きが発生してしまう場合があり、運用上注意が必要です。

またオンプレとの環境統合にあたっては、オンプレ AD の主要機能をクラウド上で利用できる、 Microsoft Entr AD omain Services という PaaS（サービスとしてのプラットフォーム）サービスへリプレイスすることを推奨します。

Microsoft Entr AD omain Services は、オンプレ AD との互換性や運用における Microsoft Entra ID との親和性、またハードウェアのメンテナンスに囚われないクラウド環境のメリットを享受する事ができます。是非、専門家のご支援と共にご検討ください。

Microsoft Entra ID で追加・強化された機能

セキュリティ機能強化

Microsoft Entra ID と名称変更されてから、セキュリティ機能が強化されています。組織がより効果的にセキュリティリスクを管理し、柔軟なアクセス制御を実現することを目的として、外部パートナーやリモートワーカーとのコラボレーションを安全に行うための機能や、カスタムセキュリティ属性を利用することで、組織は特定のアクセス制御ポリシーを細かく設定し、セキュリティを強化しながらビジネスニーズに合わせたカスタマイズが可能になっています。

こうした機能強化により、セキュリティの向上のみならず、管理の柔軟性と効率性の向上が図られています。セキュリティと利便性のバランスを取りながら、迅速にビジネス環境の変化に適応し、外部との連携を安全に行うことができるようになります。

ユーザー管理の機能強化

Microsoft Entra ID では、ユーザー管理機能が大幅に強化され、管理センターでの操作性が向上しました。多くのユーザー情報の表示やカスタマイズが容易になり、フィルタリングや列の並べ替えが直感的に行えるようになっています。

ユーザーに関する重要なプロパティや分析情報、ライセンス数などの集計値が、見やすい画面により可視性が高まり、管理者はこうしたユーザー情報をより効率的に管理できるようになります。

Microsoft Entra ID の活用事例

Microsoft Entra IDで認証を統合しSaaSアプリケーションへのシングルサインオン連携を実現

Microsoft Entra ID はアプリケーションギャラリーに記載された多くのアプリケーションとの連携が可能であり、認証環境を Microsoft Entra ID に統合することで、連携したアプリやシステムに対しシングルサインオンを可能にします。これにより、ユーザーが管理する ID とパスワードの数を大幅に削減し、管理の負担を軽減できます。

Microsoft Entra ID では、登録されているユーザーに対して、どのアプリケーションの認証を連携させるかを細かく設定できるため、セキュリティと利便性を両立させることができます。

また、ベストプラクティスとして、条件付きアクセスポリシーを適用することで、ユーザーの場所、デバイスの状態、アプリケーションへのアクセスリスクに基づいて、アクセス制御をよりきめ細かく調整することができます。組織は不正アクセスのリスクを低減しつつ、ユーザーは SaaS へのシームレスなアクセスが可能になります。

さらに、マルチファクタ認証（ MFA ）を組み合わせることで、認証のセキュリティレベルを高めることができます。 MFA を使用すると、パスワードだけでなく、電話の通知や生体認証など、二つ目の認証要素が必要になるため、セキュリティが大幅に向上します。

オンプレミスActive DirectoryとMicrosoft Entra IDのアカウント連携

オンプレミス環境の Active Directory 同士の連携ではサイト間 VPN など、通信経路を確保する必要がありましたが、 Microsoft Entra ID は VPN など従来のソリューションに依存することなく利用できます。

オンプレミス AD と Microsoft Entra ID のアカウント連携におけるベストプラクティスは、 Microsoft Entra Connect を使用することです。

Microsoft Entra Connect は、オンプレミスの Active Directory と Microsoft Entra ID 間でユーザー、グループ情報などを同期させるためのツールです。同期を行うことで、 ID 情報を一元管理することができます。ユーザーはオンプレミスとクラウドの両方に同一の資格情報でアクセスできるようになり、シングルサインオン（ SSO ）を実現できます。

さらに、条件付きアクセスポリシーを適用することで、デバイスの状態、ユーザーの場所、リスクレベルに基づいたアクセス制御を行うことが可能です。これにより、組織はセキュリティを保ちながら、ユーザビリティを確保することが可能になります。

5. Microsoft Entra IDの4つのエディション

エディションによって使える機能が異なるので、どこまで使いたいかを検討したうえで契約しましょう。企業で Microsoft Entra ID を使用する場合は、基本的に Premium P1 か Premium P2 が推奨されています。

また、有償版を利用する場合ライセンスはユーザー単位となります。ユーザー分のライセンス購入が必要となるので、ユーザー数をもとにあらかじめ金額を試算しておくと安心です。

以下がそれぞれのエディションの特徴になります。それぞれの違いをまとめていますので、合わせてご覧ください。

6. オンプレミスADからMicrosoft Entra IDへの移行方法

最後に、現在使用しているオンプレミス AD から Microsoft Entra ID へどのように移行すればよいかについて解説します。

Step1：オンプレミスADとMicrosoft Entra IDのハイブリッド構成を構築

初期段階では、オンプレミスの AD を主要な認証基盤として維持しつつ、段階的に Microsoft Entra ID を取り入れていくハイブリッド構成を目指します。

既存のオンプレミス環境に Microsoft Entra Connect を導入し、オンプレミスで運用している既存 AD と Microsoft Entra ID を接続することで、既存の運用への影響を最小限に抑えつつ、オンプレミス AD の情報が Microsoft Entra ID に同期され、ハイブリッド ID と呼ばれる単一の ID でオンプレミス AD ・ Microsoft Entra ID 両方の環境にアクセスすることが可能となります。

Step2：ワークロードをMicrosoft Entra IDへ移行

ハイブリッド構成を実現した後は、オンプレミス AD から Microsoft Entra ID へ徐々にワークロードを移行します。この過程で重要なのは、新たにデバイスやアプリをオンプレミス AD 側に追加することを避けるということです。新規のデバイス、アプリケーション、ユーザーは全て Microsoft Entra ID 側に連携・移行していきます。

Step3：オンプレミスADの廃止

最終的には、 Microsoft Entra ID を中心とした認証基盤を確立します。ただし、 Microsoft Entra ID とオンプレミス AD が担う役割の違いを理解し、必要に応じて両者を併用する形も考慮する必要があります。特に、 Microsoft Entra ID だけで全ての要件を満たせない場合は、ハイブリッド構成を最適な解とすることもあります。

最終的にオンプレミスを廃止するには、 Microsoft Entra Connect の同期を解除し、 Microsoft Entra ID の同期 ID をクラウド ID に変更することで完全にクラウドへ移行することができます。

7. まとめ

クラウドサービスを中心に利用していきたい企業にとって、 Microsoft Entra ID は大変便利なサービスです。普段からどの程度活用するかに違いはあっても、今後導入する企業は増えていくと想定されます。

Microsoft Entra ID にはシングルサインオンやデバイス管理、多要素認証などさまざまなメリットがあります。エディションごとに機能が違うため、どのような使い方をするのか熟慮したうえで最適な活用方法を見つけてください。

また、今後 DX 化が進む中でゼロトラストセキュリティモデルの導入や、オンプレミス環境との統合が進むことが予測されます。それに伴い、業務の効率化、生産性の向上などが期待できます。現状どうしてよいかわからないなど課題の分析や、今後の導入についてなど是非お気軽にお問い合わせください。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Tag： Microsoft Entra ID

• 

  AVDへの接続方法とは？仕組みや種類、接続手順を詳しく解説

• 

  IDガバナンスとは？Microsoft Entra ID Governanceの役割と重要性から実装方法までを詳しく解説！