Microsoft Entra ID(旧 Azure AD)とは?要点を整理!基礎から知ろう
2024.01.26
2024.01.26
クラウドサービスを採用する企業にとって、安全なIDとセキュリティ管理基盤は不可欠です。本記事では、Microsoft Entra IDについて、以前のAzure Active Directoryとは何が変わったのか、オンプレミスのActive Directoryとはどう使い分けるのか、必要とされる背景など、押さえておきたい基礎知識を説明します。
Microsoft Entra IDとは?
Azure Active DirectoryがMicrosoft Entra IDに名称変更
2023年7月、マイクロソフトはAzure Active Directoryの正式名称をMicrosoft Entra IDに変更しました。名称変更の背景には、マルチクラウド・マルチプラットフォーム機能の強化、Windows Server Active Directoryとの混同回避、新ブランドによるファミリー製品の統合があると説明されています。この変更にともない、「Azure Active Directory/Azure AD」の文言が含まれていた多くの機能名も変更されています。
なお、本変更に関して、ユーザーによる設定変更等の必要はありません。サービス内容、料金設定なども従来通りとなっています。現段階では、名前が変わっただけと認識しておいて問題ないでしょう。
クラウドベースのユーザ管理基盤、Microsoft Entra ID(以下、Entra ID)
Entra IDは、Microsoftが提供するクラウドベースのディレクトリサービスであり、企業が利用するクラウドサービス、ユーザ、デバイスなどのリソースを統合管理するものです。従来、閉じた社内ネットワークにおいてオンプレミスのActive Directoryが担ってきた役割を、クラウド環境、または、クラウド・オンプレミスのハイブリッド環境で、同様に担います。
Entra IDの基礎知識
オンプレミスのActive Directoryとの違い
Entra IDは、Microsoft 365をはじめとするクラウドサービスや、クラウドベースのアプリケーション、リソースを主な管理対象としています。しかし、単なるActive Directoryのクラウド版という位置づけではありません。両者は使われているプロトコルから異なるもので、例えば、Active Directoryのユーザ認証にはKerberosが使われていますが、Entra IDでは、SAML、WS-Federation、OAuth、OpenID Connectといった複数のプロトコルが採用されています。ディレクトリアクセスに使われているのは、RESTful API。下記がその主な違いです。
| Active Directory | Microsoft Entra ID | |
|---|---|---|
| 認証、管理の対象 | 内部ネットワークのアプリケーションやファイルサーバー | Microsoft 365をはじめとするクラウドサービス |
| 接続経路 | 社内ネットワーク | インターネット |
| 認証プロトコル | Kerberos | SAML、WS-Federation、OAuth、OpenID Connect |
| ディレクトリアクセス | LDAP | RESTful API |
| デバイス管理 | 自社のポリシーに則って設定 | 自社のポリシーをIntuneに反映 |
Entra IDが必要とされる背景
Entra IDが求められている背景には、DX推進、働き方の多様化、ゼロトラストセキュリティの普及など、企業を取り巻く環境の急激な変化があります。従来の閉じた社内ネットワークだけを視野に入れたActive Directoryによる管理では、新しい環境すべてで適切に対応することが難しくなっています。
オフィスワーク、テレワーク、また、それらを柔軟に組み合わせたハイブリッドワークなど、多様な働き方を採用している企業では、Entra IDのユーザ認証基盤は大いに助けとなるはずです。ハイブリッドワークでは、基本的に「従業員が、社内のリソースに、社内から」アクセスするという、従来の仕組みは成り立ちません。このため、「誰が、どこから、どの端末で、いつ」アクセスするかなど、様々な条件により認証・認可するための新しい仕組みが必要なのです。
さらに、アプリケーションのクラウド化も進んでいます。複数のクラウドサービスを利用している企業ならば、シングルサインオンなど、従業員の利便性を担保する新しいアクセス方法を用意するべきでしょう。また、環境変化にともなう管理負荷の激増を抑制することも必要です。結果として、Entra IDのような、クラウドベースの一元管理が強く求められているのです。
Entra IDを導入するメリット
Entra IDの導入メリットは多々ありますが、クラウドアプリケーションへのアクセスにおいて、利便性を損なうことなくセキュリティを高められることは、やはり特筆すべき点です。Entra IDの強固かつ柔軟な認証基盤は、ゼロトラストモデルのネットワークアクセスを実現する上でも、非常に相性のよいものとなっています。
また、Entra IDは、それ自体がクラウドで提供されるため、安価な初期費用、運用負荷の低減、容易な拡張といった、いわゆるクラウドサービスのメリットを享受できることも強みです。
Entra IDの機能
ここでは、Entra IDの代表的な機能について紹介します。
●クラウドサービスのアカウント管理
Microsoft 365をはじめとする各種クラウドサービスのアカウント管理が可能です。IDに基づいた適切なアカウントの作成、変更、アクセス権の付与などを行います。対応サービスは幅広く、AWS、Salesforce、Boxをはじめ、ビジネスで利用される一般的なクラウドサービスを網羅しています。
●シングルサインオン(SSO)
Entra IDで一度ログインすることにより、その後は追加の認証プロセスなしで、ほかのシステムやサービスへのサインオンが可能になります。複数のサービスやアプリケーションを併用する環境で、都度ログインを求められることなく、スムーズに業務にあたれます。
●マルチファクタ認証(MFA)
ID・パスワードだけではなく、多要素による認証でセキュリティを強化できます。追加の認証手段として、顔認証、2段階認証、ワンタイムパスワード、SMSコード、証明書などに対応しています。
●ユーザごとのアクセス制御
指定外のIPアドレスからのアクセスには、追加の認証を求めたり、デバイスのセキュリティレベルに応じて判定を変えたりといった、細やかなアクセス制御が可能です。クラウドサービスが多用される環境において、利便性を担保しつつ、セキュリティを高めるための優れた仕組みです。
Entra IDを始める前に Active Directoryとの併用
Entra IDは、Microsoftのサブスクリプションに含まれていることもあり、単体での導入ならば、手順そのものは難しくありません。アカウントにログインして設定を進めるだけです。しかし、先に説明したように、Entra IDは単なるActive Directoryのクラウド版ではありません。どちらか1つを選んで単体で使うといったシンプルな運用になるケースはむしろ少数派でしょう。
オンプレミス・クラウドのハイブリッド環境ならば、Entra IDとActive Directoryの併用が一般的です。この場合には、二元運用による管理負荷の増大を避けるために、連携(同期)が必要になります。連携の方法は環境によって異なり、複数の手段がありますが、代表的なのは連携ツール「Microsoft Entra Connect」です。連携はEntra ID側から行われ、Active Directory側の情報は上書きされるので、運用開始にあたっては注意が必要です。
Entra IDを利用する際の注意点
Microsoft Entra IDは、Microsoftのサブスクリプションに含まれていることもあり、導入の手順そのものは難しくありません。注意したいのは、運用開始後になります。正しい設定と運用、Active Directoryとの連携、また障害対応も視野に入れる必要があります。ディレクトリサービスはアプリケーションアクセス、情報の出入りを押さえる極めて重要なパートであり、障害が長引くとダメージは計り知れません。
障害対応はクラウドベンダに依存する部分でもあるため、有事に企業ユーザができることは多くはありません。ここで重要なのは、常時からの備えであり、システム分散、監視、障害を見越した設計、そして自動復帰の仕組みなどを用意しておくことは必須です。
Entra IDのプラン比較
Entra IDは、現在3つのプランに加えて、追加機能のセットが提供されています。Microsoftのクラウドサブスクリプション(Microsoft Azure、Microsoft 365など)に含まれる「Microsoft Entra ID Free」、さらに機能の豊富な「Microsoft Entra ID P1」「Microsoft Entra ID P2」、また、P1、P2ユーザ向けのIDガバナンス機能である「Microsoft Entra ID Governance」です。下図は各プランに含まれる機能比較の概要です。
| Microsoft Entra ID Free | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID Governance | |
|---|---|---|---|---|
| 価格(税別、ユーザー/月) | 無料 | 750円 | 1,130円 | 880円 |
| 認証、SSO、アプリケーションアクセス | △ | 〇 | 〇 | |
| 管理とハイブリッドID | △ | 〇 | 〇 | |
| エンドユーザーセルフサービス | △ | △ | 〇 | |
| 多要素認証と条件付きアクセス | △ | 〇 | 〇 | |
| ID保護 | 〇 | |||
| イベントログとレポート | △ | 〇 | 〇 | |
| IDガバナンス | △ | △ | △ | 〇 |
〇含まれる △部分的に含まれる
最後に:Entra IDが可能にする、新しいデジタルワークプレイス
ユーザ、アプリケーション、デバイスの統合的な管理を可能にし、デジタルワークプレイスの安全な活用をサポートするEntra IDは、クラウドを活用する企業には欠かせないものとなりました。Entra IDの導入を検討する際には、導入戦略やベストプラクティスを検討することが重要です。これから検討するなら、運用まで視野に入れた確かな選択で、その効果を最大限に引き出してください。
以下校正資料
▼価格表、メニュー名称
https://www.microsoft.com/ja-jp/security/business/microsoft-entra-pricing
https://www.microsoft.com/en-us/security/business/microsoft-entra-pricing
