本記事は Microsoft Learn の「ID を作成、構成、および管理する」というモジュールをまとめたものである。
ユーザーを作成、構成、管理する
Azure リソースへアクセスするには、すべてのユーザーに Azure ユーザーアカウントが必要となる。このアカウントには、サインイン時に必要な認証情報が含まれ、認証後に Microsoft Entra ID がアクセストークンを発行してユーザーを承認し、アクセス可能なリソースと操作内容を決定する。
ユーザー管理は Azure portal の Microsoft Entra ID ダッシュボードで行う。操作対象のディレクトリは常に 1つのみで、ディレクトリの切り替えは「[ディレクトリ + サブスクリプション] パネル」または「[ディレクトリの切り替え] ボタン」から行う。
ディレクトリはユーザーやグループなどの「ID 情報のコンテナ」であり、Azure において 「1テナント = 1ディレクトリ」 の関係になっていて、日常的にはほぼ同じ意味として使われる。
ユーザーを表示する
Microsoft Entra ユーザーを表示するには、[管理] グループの下にある [ユーザー] エントリを選択すると、[すべてのユーザー] ビューが開く。メンバーとゲストを参照するには、次の図のとおり [ユーザーの種類] 列を確認する。
通常、Microsoft Entra ID は次の 3 つの方法でユーザーを定義する。
-
クラウド ID
Microsoft Entra ID だけに存在するユーザー(例:自分で作成・管理している管理者やユーザー)。別の Microsoft Entra ID に登録されているユーザーが、このディレクトリの管理するサブスクリプションやリソースにアクセスする必要がある場合、そのユーザー情報のソースは「別の Microsoft Entra ID(外部ディレクトリ)」になる。 -
ディレクトリ同期 ID
オンプレミスの Active Directory に存在するユーザー。Microsoft Entra Connect で同期すると、そのユーザー情報が Azure にコピーされる。ユーザー情報のソースは、Windows Server Active Directory になる。 -
Guest ユーザー
招待されたユーザー。外部のベンダーや契約スタッフが Azure リソースにアクセスする必要があるときに便利。
ライセンスをユーザーに割り当てる
Microsoft Entra ID で新しいユーザーを作成する
- Microsoft Entra 管理センターの [Entra ID] メニューに移動する
- 左側のナビゲーションで、[ユーザー] を選択する
- [ユーザー] ページのメニューで、[新しいユーザー] を選択する
- 次の情報を使用してユーザーを作成する
| 設定 | 値 |
|---|---|
| ユーザー名 | ChrisG |
| 名前 | Chris Green |
| 名 | Chris |
| 姓 | Green |
| Password | 一意のパスワード |
5.完了したら、[すべてのユーザー] リストに Chris Green のアカウントが表示されていることを確認する
Microsoft Entra ID でセキュリティグループを作成する
- Microsoft Entra 管理センター画面に移動する
- 左側のナビゲーションで、[ID] の下にある [グループ] を選択する
- [グループ] 画面のメニューで、[新しいグループ] を選択する
- 次の情報を使用して、グループを作成する
| 設定 | 値 |
|---|---|
| グループの種類 | セキュリティ |
| グループ名 | Marketing |
| メンバーシップの種類 | 割り当て済み |
| 所有者 | 自分の管理者アカウントをグループの所有者として割り当てる |
| メンバー | Chris Green |
5.完了したら、マーケティング という名前のグループが [すべてのグループ] リストに表示されていることを確認する
ライセンスをグループに割り当てる
-
[すべてのグループ] リストで [マーケティング] を選択する
-
[マーケティング] ウィンドウの [管理] で [ライセンス] を選択する
-
メニューで [割り当て] を選択する
-
[ライセンス割り当ての更新] の [ライセンスの選択] で、使用可能なライセンスのリストを確認し、ライセンスの 1 つのチェック ボックスをオンにする
-
[Review license] (ライセンスの確認) オプションで、選択したライセンスの利用可能なオプションを確認する
-
[保存] を選択する
Microsoft Entra ID で最近削除されたユーザーを復元または削除する
ユーザーを削除しても、そのアカウントは 30日間「中断状態」 になる。この期間中は、ユーザーとそのすべての情報を復元できる。30日が過ぎると、自動的に完全削除される。
削除されたユーザーを復元または除去する
Microsoft Entra ID からユーザーを削除する
-
Microsoft Entra 管理センターに移動する
-
左側のナビゲーション内の [ID] の下にある、[ユーザー] を選択する
-
[ユーザー] リストで、削除するユーザーのチェック ボックスをオンにする。 たとえば、Chris Green を選択する
-
ユーザー アカウントを選択した状態で、メニューの [ユーザーの削除] を選択する
-
ダイアログ ボックスを確認してから、[OK] を選択する
削除済みユーザーの復元
-
[ユーザー] ページの左側のナビゲーションで、[削除済みのユーザー] を選択する
-
削除したユーザーのリストを確認し、削除したユーザーを選択する
-
メニューで [ユーザーの 復元] を選択する
-
ダイアログ ボックスを確認してから、[OK] を選択する
-
左側のナビゲーションで、[すべてのユーザー] を選択する
-
ユーザーが復元されたことを確認する
グループを作成、構成、管理する
Microsoft Entra のグループは、ユーザーをまとめて整理し、アクセス権の管理を簡単にする。グループを使うと、リソースの所有者が一度にグループ全員にアクセス権を与えられるので、個別に設定する必要がない。また、グループはセキュリティの境界にもなり、メンバーの追加や削除で簡単にアクセスを管理できる。さらに、Microsoft Entra ID では、部署や役職などの条件に基づいて自動的にユーザーをグループに追加する「ルールベースのメンバーシップ」もサポートしている。
Microsoft Entra ID では、2種類のグループがある。
-
セキュリティグループ
- 最も一般的なグループ
- ユーザーやコンピューターの共有リソースへのアクセス管理に使う
- アクセス権を個別に設定する必要がなくなる
- 作成・管理には Microsoft Entra 管理者の権限が必要
-
Microsoft 365 グループ
- 共有メールボックス、カレンダー、ファイル、SharePoint サイトなどのコラボレーション用グループ
- メンバーにさまざまな共有リソースへのアクセス権を付与できる
- 組織外のユーザーも招待してアクセス権を与えられる
- ユーザー自身や管理者が作成・管理可能
利用可能なグループを表示する
[Microsoft Entra - ID] ダッシュボードの [管理] グループの下にある [グループ] アイテムを通してすべてのグループを表示できる。
動的グループ
動的グループは、グループを使うたびに「ルール(数式)」によって自動的に決まるグループのこと。動的グループには、テナント内で属性がルールに合うユーザーが含まれる。もしユーザーの属性がルールと合うように変わると、そのユーザーがグループのメンバーになり、グループ宛のメールなどを受け取るようになる。このため、メンバーが意図しない人になるリスクがあるが、アカウント管理をしっかり一貫して行うことで、その問題は減らせる。
Microsoft Entra ID でグループを追加する
「Microsoft Entra ID でセキュリティグループを作成する」と同様。
デバイス登録を構成および管理する
BYOD(私物デバイスの業務利用)や多様なデバイスの普及により、IT 部門が「ユーザーの利便性向上」と「組織資産の保護」という相反する課題に直面している。その解決策として、まずデバイス ID を管理し、Microsoft Intune でセキュリティやコンプライアンスを確保し、Microsoft Entra ID を使って安全なシングルサインオンを実現することで、ユーザーは必要な資産にアクセスでき、IT 部門は必要な保護と管理を行える。
Microsoft Entra の登録デバイス
Microsoft Entra ID に登録されたデバイスは、BYOD やモバイルデバイスの利用シナリオをサポートするためのもの。これにより、ユーザーは自分の個人用デバイスを使って、Microsoft Entra ID で管理されている組織のリソースに安全にアクセスできる。
| Microsoft Entra 登録済み | 説明 |
|---|---|
| 定義 | 組織アカウントでのデバイスへのサインインを必要としない Microsoft Entra ID 登録 |
| 主な対象 | Bring Your Own Device (BYOD)、モバイルデバイスに適用 |
| デバイスの所有権 | ユーザーまたは組織 |
| オペレーティングシステム | Windows 10、Windows 11、iOS、Android、macOS |
| デバイスのサインインオプション | エンドユーザーのローカル資格情報、パスワード、Windows Hello、PIN、生体認証 |
| デバイス管理 | モバイルデバイス管理 (例: Microsoft Intune) |
| 主な機能 | クラウドリソースへの SSO、条件付きアクセス |
Microsoft Entra 登録済みデバイスは、Windows 10 のローカルアカウントでサインインするが、組織のリソースにアクセスするために Microsoft Entra アカウントも保持しする必要がある。組織のリソースへのアクセスは、その Microsoft Entra アカウントとデバイス ID に適用される条件付きアクセスによって制限される。
管理者は Microsoft Intune などのモバイルデバイス管理(MDM)ツールを使い、これらのデバイスをセキュリティ面で保護・管理できる。MDM では、ストレージの暗号化やパスワードの強度、セキュリティソフトの更新など、必要な設定を強制できる。
登録済みデバイスのシナリオ
-
ケース1:自宅PCから業務ツールにアクセスしたい社員が、組織アカウントでPCを Microsoft Entra IDに登録
→ Intuneのポリシーが適用され、準拠デバイスと認められれば、メールや休暇申請などのリソースへのアクセスが許可される -
ケース2:ルート化された私物Androidスマホでメールにアクセスしたい社員
→ 会社のIntuneポリシーでは、ルート化デバイスは非準拠としてブロックされるため、アクセスは拒否される
Microsoft Entra 参加済みデバイス
Microsoft Entra 参加は、クラウドを中心に使いたい組織向けの機能。規模や業種を問わず、どの組織でも Microsoft Entra 参加済みデバイスを導入できる。この機能を使うと、クラウドとオンプレミスの両方のアプリやリソースにアクセス可能。
| Microsoft Entra 参加済み | 説明 |
|---|---|
| 定義 | デバイスにサインインするための組織アカウントを必要とする Microsoft Entra にのみ参加する |
| 主な対象 | クラウド専用およびハイブリッド組織の両方に適している |
| デバイスの所有権 | 組織(Organization) |
| オペレーティングシステム | Windows 10/11 Home を除くすべての Windows 10 および 11 デバイス |
| デバイス管理 | モバイルデバイス管理(例: Microsoft Intune) |
| 主な機能 | クラウドとオンプレミスの両方のリソースへの SSO、条件付きアクセス、セルフサービス パスワードリセット、Windows Hello の PIN リセット |
Microsoft Entra 参加済みデバイスは、組織の Microsoft Entra アカウントを使ってサインインする。組織リソースへのアクセスは、そのアカウントとデバイスIDに適用される条件付きアクセスによって制限される。管理者は Microsoft Intune や Microsoft Endpoint Configuration Manager といった管理ツールを使い、これらのデバイスのセキュリティや制御を強化できる。例えば、ストレージの暗号化やパスワードの強度、ソフトウェアの管理などの設定を適用可能。また、Configuration Manager を使えば、組織のアプリをデバイスで利用できるようにすることもできる。さらに、Microsoft Entra 参加済みデバイスは、組織ネットワーク内のオンプレミスリソースにもシングルサインオンでアクセスでき、ファイル共有や印刷などの認証も行える。
参加済みデバイスのシナリオ
- ケース1:オンプレミスADを持たない組織が、Microsoft Entra ID と Intune(MDM)を使ってクラウドベースのインフラに移行
→ PC・タブレット・スマホをクラウドで一元管理し、業務アプリやリソースへ安全にアクセス可能にする。 - ケース2:オンプレミスのドメイン参加が利用できないモバイル端末(タブレットやスマホ)を管理
→ Microsoft Entra 参加を利用して、セキュリティポリシー適用やアクセス制御を行う。 - ケース3:ユーザーが主に Microsoft 365 やEntra ID 連携の SaaS アプリにアクセスする環境
→ Active Directory ではなく Entra ID でユーザーやグループを管理し、短期雇用者や学生にも安全に利用させる - ケース4:リモート拠点や支店勤務の作業員に、制約のあるオンプレミスインフラへの参加機能を提供
→ ローカルサーバーがなくても、Entra参加によりクラウド経由で社内リソースにアクセス可能にする - ケース5:Windows 10(Home以外)の端末を、職場所有デバイスとしてEntra参加済みに構成
→ デプロイ、アプリ・リソースアクセス、クラウド管理を簡略化し、職場または学校アカウントでサインイン可能にする
ハイブリッド Microsoft Entra 参加済みデバイス
従来、組織はオンプレミス Active Directory にデバイスをドメイン参加させ、一元管理や職場アカウントでのサインインを行ってきた。この仕組みを維持しつつ Microsoft Entra ID の機能も使いたい場合、ハイブリッド Microsoft Entra 参加を導入する。これは、デバイスをオンプレミスADに参加させながら、同時にMicrosoft Entra IDにも登録する方法。
| ハイブリッド Microsoft Entra 参加済み | 説明 |
|---|---|
| 定義 | デバイスにサインインするために組織アカウントを必要とする、オンプレミスの AD と Microsoft Entra ID に参加する |
| 主な対象 | 既存のオンプレミス AD インフラストラクチャがあるハイブリッド組織に適している |
| デバイスの所有権 | Organization |
| オペレーティング システム | Windows 11、10、8.1、7、および Windows Server 2008/R2、2012/R2、2016、2019 |
| デバイスのサインイン オプション | パスワード、または Windows Hello for Business |
| デバイス管理 | グループ ポリシー、Configuration Manager のスタンドアロンまたは Microsoft Intune との共同管理 |
| 主な機能 | クラウドとオンプレミスの両方のリソースへの SSO、条件付きアクセス、セルフサービス パスワード リセット、Windows Hello の PIN リセット |
ハイブリッド参加のシナリオ
- ケース1:Active Directory マシン認証を利用し、Win32 アプリを展開しているデバイス
→ ハイブリッド参加により、オンプレ A D認証を維持しつつクラウドアクセスや SSO を利用可能 - ケース2:グループポリシー(GPO)でデバイス構成を継続管理したい場合
→ ハイブリッド参加を使うことで GPO がそのまま利用でき、クラウド側ポリシーも併用可能 - ケース3:既存のイメージングソリューションでデバイスを展開・構成し続けたい場合
→ ハイブリッド参加にしても既存の展開フローは変更不要 - ケース4:Windows 7 / 8.1 / 10 など古いOSも含めて管理したい場合
→ ハイブリッド参加はダウンレベル OS もサポートし、AD と Entra ID の両方で管理できる
ライセンスを管理する
Microsoft 365 や EMS、Dynamics 365 などのクラウドサービスでは、各ユーザーにライセンス割り当てが必要。従来はユーザー単位でしか割り当てられず、大規模運用では PowerShell での複雑な管理が必要だった。これを改善するために、Microsoft Entra ID にグループベースのライセンス管理が導入され、グループにライセンスを割り当てるだけで、メンバーの追加・削除に応じて自動的にライセンスが付与・解除されるようになった。
ライセンス要件
グループベースのライセンスを利用するには、以下のいずれかのサブスクリプションが必要。
- Microsoft Entra ID Premium P1 以上(有料または試用版)
- Office 365 Enterprise E3 以上(A3、GCC G3、GCCH E3、DOD E3 を含む、有料または試用版)
必要なライセンス数
グループベースのライセンスでは、グループ内の全メンバー分のライセンス数が必要。個別に割り当てなくても、契約上は全員がカバーされるだけの数を確保する必要がある。例えば、ライセンス対象のグループに 1,000 人いる場合は、最低でも 1,000 ライセンスが必要。
特徴
| 機能 | 説明 |
|---|---|
| 任意のセキュリティグループにライセンス割り当て可能 | オンプレミスから同期、クラウド専用作成、動的グループ作成に対応 |
| サービスプランの一部無効化 | 製品の特定サービス(例: Yammer)を未使用のまま割り当て可能 |
| 対応サービス | Microsoft 365、Enterprise Mobility + Security、Dynamics 365 などユーザーレベルライセンスが必要な全クラウドサービス |
| 利用可能な管理ポータル | 現在は Azure portal のみ(Entra 管理センターは今後対応予定) |
| 自動ライセンス変更反映 | グループメンバーの追加・削除後、数分以内に反映 |
| 複数割り当ての統合 | 複数グループや直接割り当てからのライセンスを統合管理(重複は1回分としてカウント) |
| 割り当て不可時のエラー管理 | ライセンス不足やサービス競合時に対象ユーザー情報を管理者が確認・対応可能 |
グループライセンスの割り当てを変更する
グループライセンス割り当てを変更する
- Microsoft Entra 管理センターの [Entra ID] ページに移動する
- 左側のナビゲーションで、[グループ] を選択する
- 使用可能ないずれかのグループを選択する
- 左側のナビゲーション メニューの [管理] で、[ライセンス] を選択する
- 現在の割り当てを確認し、メニューの [+ 割り当て] を選択する
- [ライセンスの割り当ての更新] ページで、別のライセンスを選択するか、既存のライセンスの選択を解除するか、ライセンス オプションを追加または削除する
- 完了したら、[保存] を選択する
- グループの [ライセンス] ページで、変更を確認する
ユーザーライセンスの割り当てを変更する
グループライセンスの割り当て等とほとんど変わらない操作のため、省略
カスタムセキュリティ属性を作成する
カスタムセキュリティ属性とは何か?
Microsoft Entra ID のカスタムセキュリティ属性は、組織が独自に定義できる「キーと値のペア形式の情報」で、Entra 内のオブジェクトに割り当てられる。これにより、ビジネス固有の情報の保存や、オブジェクトの分類、Azure リソースへのより細かいアクセス制御が可能になる。
カスタムセキュリティ属性を使用する理由
- 従業員情報を追加できる
例:入社日や時給など、標準ではない項目を社員プロファイルに入れる - アクセス制限が可能
例:時給は管理者だけが見られるようにする - アプリをタグで整理できる
例:何百・何千のアプリに分類ラベルを付け、監査のときにフィルターですぐ探せる。 - リソースへの細かいアクセス制御が可能
例:特定のプロジェクトに属する人だけが、そのプロジェクトの Azure Storage BLOB にアクセスできるようにする
カスタムセキュリティ属性でできること
- 会社独自の情報を定義して保存できる
- ユーザーやアプリ、リソースごとに必要なタグを付けられる
- そのタグを使って検索や絞り込みができる
- タグの内容に基づいて「誰が何にアクセスできるか」を細かく制御できる
カスタムセキュリティ属性の特徴
- テナント(組織全体)で使える
- 属性には説明もつけられる
- ブール値(はい・いいえ)、整数、文字列など色々なデータ形式を扱える
- 1つの値だけでなく、複数の値を設定できる
- 自由に値を決めたり、あらかじめ決まった選択肢から選んだりできる
- オンプレミスの Active Directory と同期しているユーザーにも割り当てられる