Azureを利用する際に避けて通れないのが、Microsoft Entra ID(旧Azure Active Directory)です。「誰がどのリソースにアクセスできるのか」を管理する重要な役割を担っており、Azure環境のセキュリティと効率性を左右します。
しかし、「Microsoft Entra IDって具体的に何ができるの?」「Azure ADから名前が変わったけど、機能は変わったの?」「料金はどうなっているの?」といった疑問を持つ方も多いのではないでしょうか。
本記事では、Azure内でのMicrosoft Entra IDに焦点を絞り、その概要から具体的な機能、料金体系まで、初心者にもわかりやすく解説します。Azureを安全かつ効率的に運用するための基礎知識として、ぜひ参考にしてください。
Microsoft Entra IDとは?
Microsoft Entra IDは、Microsoft Azureクラウドプラットフォームの中核を担う身元認証・アクセス管理サービスです。組織の「誰が何にアクセスできるか」を安全かつ効率的に管理する役割を果たします。
Azureポータルへの入り口となるサービス
Microsoft Entra IDは、Azureポータル(portal.azure.com)への入り口として機能します。ユーザーがAzureにアクセスする際は、必ずEntra IDを通じて身元確認が行われます。
具体的には、以下のような流れでAzureリソースへのアクセスが管理されます:
- 認証:ユーザーがAzureポータルにログイン
- 権限確認:そのユーザーが何にアクセスできるかをEntra IDが判定
- アクセス制御:仮想マシン、ストレージ、データベースなどのリソースへの操作権限を制御
Azureリソース管理の要となる機能
Entra IDがあることで、Azureの様々なリソースに対して階層的な権限管理が可能になります。例えば、開発チームには開発環境のリソースへのアクセス権を、運用チームには本番環境への管理権限を、経理担当者には請求情報の閲覧権限をそれぞれ付与できます。
また、セキュリティ強化の観点からも重要な役割を果たしており、多要素認証(MFA)や不審なアクセスの検知機能により、Azureリソースを安全に保護します。
Microsoft Entra IDは、単なるログイン機能ではなく、Azureを安全かつ効率的に運用するための基盤として位置づけられるサービスです。
Microsoft365アカウントとの関係性
Microsoft Entra IDとMicrosoft 365は、同一のアカウント基盤を共有しています。これにより、一つのアカウントで複数のマイクロソフトサービスを利用できる仕組みになっています。
同一アカウントでの相互利用が可能
Azureで作成したアカウントの場合
Azureポータル内のMicrosoft Entra IDで「〇〇@company.com」というアカウントを作成すると、そのアカウントでMicrosoft 365のTeams、Excel Online、Outlook、SharePointなども利用できます。
Microsoft 365で作成したアカウントの場合
逆に、Microsoft 365で作成されたアカウントを使って、Azureポータルにサインインすることも可能です。同じ認証基盤(Entra ID)を使用しているためです。
ライセンスによる機能制限に注意
ただし、アカウントが共通でも、利用できる機能はライセンス契約によって決まります。
具体例:Microsoft 365ユーザーがAzureにアクセスした場合
- Azureポータルへのサインインは成功する
- しかし、Azure仮想マシンの作成権限やAzureサブスクリプションがない
- 結果として、ほとんど何も操作できない状態になる
具体例:AzureユーザーがMicrosoft 365にアクセスした場合
- TeamsやOutlookにはサインインできる
- しかし、Microsoft 365のライセンスがないため、メール送受信やファイル編集などの機能は使用不可
アカウント統合のメリット
この仕組みにより、組織は一元的なアカウント管理が可能になります。新入社員には一つのアカウントを発行し、必要に応じてAzureやMicrosoft 365の適切なライセンスを割り当てることで、効率的なユーザー管理を実現できます。
Azure ADからMicrosoft Entra IDに名称変更
Microsoft は2023年7月11日に Azure ADの名称を「Microsoft Entra ID」へ変更することを発表しました。
実際の変更作業は段階的に実施され、2023年末までにほぼすべての製品で変更が完了しています。
名称は変更されましたが、機能面では大きな変更はありません。既存のログインURL、API、PowerShellコマンドレット、「Microsoft Authentication Libraries」(MSAL)は同じ名称のまま引き続き利用できます。
なぜ変更されたのか
名称変更には主に3つの理由があります。
1. Microsoft Entra製品ファミリーの統一
Microsoft は2022年5月にIDとネットワークアクセスの統合ソリューション「Microsoft Entra」を発表し、Azure ADをそのファミリーに組み込みました。その後、同ブランドの新サービスが追加される中で、Azure ADだけが旧名称のままだったため、ブランド統一の目的で変更されました。
2. オンプレミスActive Directoryとの混同回避
Windows Server Active Directory と混同されにくくすることが重要な目的の一つでした。「Azure AD」と「Active Directory」は機能的に異なるサービスですが、名称の類似により現場で混乱が生じることが多かったためです。
3. マルチクラウド・マルチプラットフォーム機能の明確化
この製品が備えるマルチクラウドでマルチプラットフォームの機能性を伝えることも変更の目的とされています。
icrosoft Entra IDの基本構成要素
Microsoft Entra IDを理解するには、その基本構成要素を把握することが重要です。主要な要素として「ユーザー」「グループ」「テナント」があり、これらが組み合わさってAzureの認証・アクセス管理システムを構成しています。
ユーザー
ユーザーは、Microsoft Entra IDにおける最小単位の主体です。組織内の従業員や外部パートナーなど、Azureリソースにアクセスする個人を表します。
ユーザーは直接Azureリソースに権限を付与することも、後述するグループ経由で権限を管理することも可能です。
グループ
グループは、複数のユーザーをまとめて管理するためのコンテナです。権限管理を効率化し、組織構造を反映したアクセス制御を実現します。
主なグループの活用例
- 開発チーム:開発環境のリソースへのアクセス権を一括付与
- 営業部:営業関連のアプリケーションとデータへのアクセス権
- 管理者グループ:システム管理権限を持つメンバーの集合
グループを使用することで、新入社員の権限設定や部署異動時の権限変更を効率的に行えます。個別にユーザーへ権限を付与するよりも、グループ単位で管理する方が運用負荷を大幅に軽減できます。
テナント
テナントは、組織がMicrosoft Entra IDを利用する際の「専用領域」です。会社や組織ごとに独立したテナントが作成され、そのテナント内でユーザーやグループ、アプリケーションが管理されます。
テナントの特徴
- 独立性:他の組織のテナントとは完全に分離されている
- カスタムドメイン:@company.com のような独自ドメインを設定可能
- セキュリティ境界:テナント単位でセキュリティポリシーを設定
サブスクリプションとテナントの違い
テナントとAzureサブスクリプションは異なる概念です。
| 項目 | テナント(Microsoft Entra ID) | サブスクリプション |
|---|---|---|
| 目的 | 認証・アクセス管理 | Azureリソースの管理・課金 |
| 内容 | ユーザー、グループ、アプリケーション登録 | 仮想マシン、ストレージ、データベースなどのクラウドリソース |
| 課金 | 基本機能は無料(高度機能は有料) | 使用したリソース分だけ課金 |
一つのテナントに複数のサブスクリプションを紐づけることができ、例えば「開発用サブスクリプション」「本番用サブスクリプション」を同一テナント内で管理することが可能です。
テナントが「組織の入れ物」だとすれば、サブスクリプションは「実際のリソースを動かすための契約」という位置づけになります。録方法については、こちらの記事で詳しく解説します。
Microsoft Entra IDでできること
Microsoft Entra ID(旧Azure Active Directory)は、組織のユーザー認証とアクセス管理を行うクラウドサービスです。Azureリソースの安全な利用に欠かせない機能を幅広く提供しています。
ユーザーアカウントの作成・管理
組織内のユーザーアカウントを一元管理できます。Azureポータルから個別のアカウント作成はもちろん、CSVファイルによる一括登録やオンプレミスActive Directoryとの同期も可能です。
新入社員のアカウント作成から退職者のアカウント無効化まで、ライフサイクル全体を効率的に管理できます。また、パスワードリセットやプロファイル情報の更新といった日常的な管理業務も、統合された管理画面から実行できます。
ユーザーやリソースの権限管理
Azureリソースへのアクセス権限を細かく制御します。仮想マシンの作成権限、ストレージへの読み取り専用アクセス、データベースの管理権限など、ユーザーの役割に応じて適切な権限を付与できます。
役割ベースアクセス制御(RBAC)により、「開発者」「運用担当者」「閲覧者」といった定義済みの役割を使用したり、組織固有のカスタム役割を作成したりできます。グループ単位での権限管理により、部署異動や新規プロジェクト参加時の権限変更も効率的に行えます。
ゲストユーザーの招待
外部パートナーや協力会社のユーザーを一時的に組織のAzureリソースに招待できます。メールアドレスを指定するだけで招待状を送信でき、ゲストユーザーは既存のMicrosoftアカウントやGoogleアカウントでサインイン可能です。
プロジェクト期間中のみのアクセス権付与や、特定のリソースグループへの限定的なアクセスなど、セキュリティを保ちながら柔軟な外部連携を実現できます。
サインインログの確認
すべてのサインイン活動を詳細に記録・監視できます。ユーザー名、時刻、IPアドレス、使用デバイス、アクセス先リソースなどの情報を確認でき、異常なアクセスや不正試行を素早く検出できます。
セキュリティインシデントの調査やコンプライアンス要件への対応において、詳細なアクセス履歴は重要な証跡となります。
アプリケーションの登録
自社で開発したアプリケーションをMicrosoft Entra IDと連携させるための機能です。以下のような用途で活用されます:
- 独自開発アプリの認証連携:Webアプリケーション、モバイルアプリ、デスクトップアプリをEntra IDで認証
- SaaSアプリとの連携:Salesforce、Slackなどの外部サービスとのシングルサインオン設定
- API連携サービス:Microsoft Graph APIなどを利用するサービスの認証設定
アプリケーション登録により、統一された認証基盤でセキュアなアプリケーション利用環境を構築できます。
アプリの登録については、こちらの記事で詳しく解説しています。
カスタムドメインの登録
デフォルトでは、ユーザーアカウントは「@〇〇.onmicrosoft.com」形式で作成されます。しかし、企業での実用的な運用には、「@company.com」のような独自ドメインを使用したアカウントが必要です。
カスタムドメイン機能により、組織が所有するドメインをEntra IDに登録し、ブランドに統一されたユーザーアカウントを作成できます。DNS設定による所有権確認を経て、プロフェッショナルなメールアドレス形式でのアカウント運用が可能になります。
カスタムドメインの詳細や登録方法については、こちらの記事でも解説しています。
Microsoft Entra Connect
Microsoft Entra Connect(旧 Azure AD Connect)は、オンプレミスの Active Directory (AD) と、クラウド上の Microsoft Entra ID を同期するためのMicrosoftが提供するツールです。
多くの企業では、オンプレミスにActive Directoryを構築し、ユーザーアカウントやPC、サーバーなどの管理を行っています。
しかし、クラウドサービス(Microsoft 365など)を利用する際には、それぞれのサービスに個別にユーザー情報を登録したり、パスワードを管理したりするのは非常に手間がかかります。そこで登場するのが Microsoft Entra Connect です。
Entra Connectにより、既存のユーザーアカウント情報をクラウドに同期し、オンプレミスとクラウドの統合認証環境を構築できます。
Azure内でのMicrosoft Entra IDの利用料金は無料
Azure内でMicrosoft Entra IDの基本機能を利用する場合、追加料金は発生しません。Azureサブスクリプションを契約していれば、Entra IDの主要な機能は無料で利用できます。
Azureアカウント作成時の注意点
Azureアカウントを初めて作成する際は、クレジットカード情報の登録が必要です。これは本人確認とスパム防止が主な目的で、Entra IDの基本機能を使用するだけであれば課金は発生しません。
高度な機能は有料プラン
Microsoft Entra ID Premium P1/P2では、条件付きアクセスやアイデンティティ保護などの高度なセキュリティ機能が利用できます。これらの機能を利用する場合は、別途ライセンス契約が必要になります。
しかし、Azure環境での基本的なユーザー管理とアクセス制御であれば、無料版の機能で十分に実用的な運用が可能です。
Microsoft Entra IDでAzure環境の安全な運用を実現しよう
Microsoft Entra IDは、Azure環境における認証・アクセス管理の中核を担うサービスです。ユーザーアカウントの管理から権限制御、外部パートナーとの連携、セキュリティ監視まで、組織のクラウド運用に必要な機能を包括的に提供しています。
Azure ADからの名称変更により混乱を感じた方もいるかもしれませんが、機能や使い勝手に変更はありません。基本機能は無料で利用でき、Azureリソースを安全に管理するための強力な基盤として活用できます。
組織規模に関わらず、適切なユーザー管理とアクセス制御は、クラウド環境の安全性と効率性に直結します。Microsoft Entra IDを活用して、セキュアで管理しやすいAzure環境を構築しましょう。
コメント