LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@LimeSML

Azureを学ぶ Microsoft Entra ID の概要

Posted at

本記事は Microsoft Learn の「Microsoft Entra ID の概要」というモジュールをまとめたものである。

Microsoft Entra ID について調べる

Microsoft Entra ID を学ぶ前に、Active Directory Domain Services(AD DS) について学ぶ必要がある。AD DS はユーザーアカウントやパスワードなどの情報を管理し、ネットワーク上のユーザーやデバイスがこれを利用できるようにするディレクトリサービス。一方、Microsoft Entra ID はクラウド上で提供される Microsoft 管理のディレクトリサービスで、利用者がインフラを管理する必要がなく、デプロイや保守の負担が軽減される。Entra ID は多要素認証や ID 保護、セルフサービスのパスワードリセットなど、AD DS にはない機能も備えている。

Microsoft Entra ID を使うと、組織や個人がクラウドベースのリソースに安全にアクセスできるようになる。その方法は以下のとおり。

  • アプリケーションへのアクセス設定ができる
  • クラウドの SaaS アプリケーションに対するシングルサインオン (SSO) の構成が可能
  • ユーザーやグループを管理できる
  • ユーザーのプロビジョニング(追加・削除など)を行える
  • 組織間での信頼関係(フェデレーション)を有効にできる
  • ID 管理のためのソリューションを提供できる
  • 不審なサインインを検知できる
  • 多要素認証の設定ができる
  • オンプレミスの Active Directory と Microsoft Entra ID を連携・拡張できる
  • クラウドおよびローカルアプリケーションへのアクセスを仲介するアプリケーションプロキシの設定が可能
  • ユーザーやデバイスに対する条件付きアクセスを構成し、アクセス制御を強化できる

Microsoft Entra テナント

Microsoft Entra ID はマルチテナント設計となっており、数百万を超える個別のディレクトリ(テナント)を安全に分離・管理している。この「テナント」とは、Microsoft 365 や Azure、Microsoft Intune などのサービスを契約している会社や組織の単位を指し、技術的にはそれぞれが独立した Microsoft Entra インスタンスのこと。1つの Azure サブスクリプションで複数のテナントを持つことが可能で、たとえばテスト環境を分ける際などに便利。一方で、Azure サブスクリプションは必ず1つのテナントに紐付けられ、そのテナントのユーザーやグループにはそのサブスクリプションのリソースへのアクセス権を与えることができる。

各テナントには一意のドメイン名が割り当てられ、通常は「○○.onmicrosoft.com」という形式で、必要に応じて所有するカスタムドメインも追加できる。Microsoft Entra テナントはセキュリティの境界であり、ユーザーやグループ、アプリケーションをまとめるコンテナとして機能する。さらに、一つのテナントで複数の Azure サブスクリプションを管理することも可能。この仕組みにより、多くの組織が安全かつ効率的に独立した環境を管理しつつ、必要に応じて連携や分離を行えるようになっている。

Microsoft Entra スキーマ

Microsoft Entra ID に含まれるオブジェクトの種類は、AD DS よりも少なくなっている。特にコンピュータークラスの定義はなく、その代わりにデバイスクラスが含まれる。デバイスを Microsoft Entra に参加させる方法は、従来の AD DS へのコンピューター参加と大きく異なる。Microsoft Entra のスキーマは簡単に拡張でき、拡張した内容は完全に元に戻すことも可能。

また、従来のコンピューターのドメインメンバーシップがないため、グループポリシーオブジェクト(GPO)などの従来の管理手法は使えない。その代わり、Microsoft Entra ID はクラウド世代の新しい管理概念を提供している。主な役割は、ユーザーやデバイス、アプリケーションのデータの格納と公開、そしてこれらの認証・認可。

Microsoft Entra ID には組織単位(OU)クラスが含まれず、AD DS でよく使われるカスタムコンテナー階層を作ることはできない。しかし、OU は主にグループポリシーの範囲指定や管理委任に使われるため、この違いは大きな問題ではない。グループメンバーシップを使うことで同様の管理が可能。

さらに、Application クラスと servicePrincipal クラスというオブジェクトがあり、前者はアプリケーションの定義を、後者は特定のMicrosoft Entraテナント内でのそのアプリケーションのインスタンスを表す。この仕組みにより、一つのテナントでアプリケーションを定義しつつ、複数のテナントでそのサービスプリンシパルを使ってアプリケーションを展開・利用できるようになっている。また、テナントにアプリケーションを登録すると自動的にサービスプリンシパルオブジェクトも作成される。

Microsoft Entra ID と Active Directory Domain Services を比較する

AD DS の特性

AD DS(Active Directory Domain Services)は、Windows Server 上にデプロイされる従来型のディレクトリ サービスで、Active Directory の中核機能を担う。
ただし、Active Directory には他にも以下のようなコンポーネントが含まれる:

  • AD CS(証明書サービス)
  • AD LDS(ライトウェイトディレクトリサービス)
  • AD FS(フェデレーションサービス)
  • AD RMS(Rights Management サービス)

つまり、AD DS は Active Directory スイートの一部であり、全体の機能を構成する複数のサービスの中の主要コンポーネント。

AD DS の特徴を Microsoft Entra ID と比較する際の要点は以下の通り:

  • X.500 に基づく階層型ディレクトリ サービス
  • DNS を使用してリソース(例:ドメイン コントローラー)を検索
  • LDAP によるクエリと管理が可能
  • Kerberos プロトコルによる認証を採用
  • OU(組織単位)と GPO(グループ ポリシー)での管理が可能
  • ドメイン参加コンピューターは「コンピューターオブジェクト」で管理
  • ドメイン間信頼で委任管理が可能
  • Azure VM 上にデプロイしてスケーラビリティ・可用性を向上可能だが、Entra ID とは連携しない

つまり、AD DS はオンプレミス中心の強力なディレクトリ サービスであり、クラウドネイティブな Entra ID とは設計思想が異なる。

Microsoft Entra ID の特性

Microsoft Entra ID の主な特徴を AD DS と比較する際の要点は以下の通り:

  • ID ソリューション中心で、HTTP/HTTPS(ポート80/443)を使ってインターネット経由で動作する
  • マルチテナント対応のクラウドディレクトリ サービス
  • OU や GPO が存在せず、ユーザーとグループはフラット構造
  • LDAP は使用不可。代わりに、REST API を HTTP/HTTPS 経由で使用
  • Kerberos ではなく、SAML、WS-Federation、OpenID Connect で認証し、OAuth で認可する
  • 外部の ID プロバイダー(例:Facebook)とのフェデレーションが可能

つまり、Microsoft Entra ID はクラウドネイティブでインターネット向けに設計されたIDプラットフォームであり、AD DS とは目的や構造、プロトコルが根本的に異なる。

クラウドアプリ用のディレクトリサービスとしての Microsoft Entra ID について調べる

Microsoft 365 や Intune などのクラウドサービスを使うには、クラウド対応のディレクトリサービスが必要であり、それが Microsoft Entra ID

  • 各クラウドサービスは独自の Microsoft Entra テナントを作成できるが、1つの統合ディレクトリを複数サービスで共有する方が効率的
  • Microsoft Entra ID は、Microsoft 365、Azure、Dynamics 365、Intune などの全クラウドサービスに共通する ID 基盤を提供する
  • 開発者は Entra ID を使って、オンプレミスの AD DS や他社の ID プロバイダー(Facebook、Google、Yahooなど)と連携し、SSO(シングル サインオン)環境を構築可能
  • Azure App Service の「認証と承認」設定から、Entra 認証を簡単に有効化できる
  • 特定の Entra テナントを指定すれば、そのディレクトリのユーザーだけがアプリにアクセス可能
  • デプロイ スロットごとに認証設定を変更できる
  • カスタムアプリへの Entra ID 統合は複雑だが、Azure ポータルと Visual Studio を使えば容易に設定できる

つまり、Microsoft Entra ID は、Microsoft クラウド全体の認証・承認を一元的に管理できる中核的なIDプラットフォーム。

Microsoft Entra ID P1 プランと P2 プランを比較する

Microsoft Entra ID は、Free や Office 365 エディションに比べて、P1 と P2 というプレミアム版で追加機能が利用できる。これらは追加のライセンスとして、あるいは Microsoft Enterprise Mobility + Security の一部として提供され、Azure Information Protection や Intune のライセンスも含まれている。P1 と P2 の違いは、P1 が主にセルフサービスグループ管理や多要素認証、条件付きアクセスなどの管理機能を提供し、P2 はさらに高度なリスク管理や特権ユーザー管理といったセキュリティ機能を備えていること

Microsoft Entra ID P1 の主な機能

  • セルフサービスグループ管理
    ユーザーがグループの作成・管理・参加申請を行え、所有者が承認できる。
  • 高度なセキュリティレポートとアラート
    機械学習に基づき、異常なアクセスパターンを検出・通知する。
  • 多要素認証(MFA)
    VPN、RADIUS、Azure、Microsoft 365 などと連携可能。
  • Microsoft Identity Manager(MIM)ライセンス
    AD DS、LDAP、Oracle 等と連携し、オンプレとクラウドの ID 統合を実現。
  • 99.9% の SLA 保証
    高い可用性が保証される(Basic プランも同様)。
  • パスワードリセットの書き戻し
    セルフサービスによるパスワード変更がオンプレ AD にも反映される。
  • Cloud App Discovery
    社内で使われているクラウドアプリケーションを検出できる。
  • 条件付きアクセス
    デバイス・場所・グループなどの条件に基づいてリソースへのアクセス制御が可能。
  • Microsoft Entra Connect Health
    構成やパフォーマンス、使用状況の分析・可視化ツール。アラート通知機能も提供。

Microsoft Entra ID P2 の追加機能

  • Microsoft Entra ID Protection
    ユーザーアカウントを常時監視し、リスクに基づいて以下を実現:

    • ユーザーリスクポリシーとサインインリスクポリシーの定義
    • 異常なユーザー動作の検出と「リスクありユーザー」への自動フラグ付け
    • ポリシーに基づいた自動対処(例:MFA 強制、アクセスブロック)

  • Microsoft Entra Privileged Identity Management(PIM)
    特権ユーザー(管理者など)へのアクセス管理を強化:

    • 永続的または一時的な管理権限を割り当て可能
    • 権限のアクティブ化時に承認・多要素認証・理由入力を要求するワークフローを構成
    • 特権アクセスの可視化・監査ログの取得によるセキュリティ強化

Microsoft Entra Domain Services について調べる

現在多くの組織では、基幹業務(LOB)アプリケーションはドメイン参加したコンピューターやデバイス上で動作し、認証は AD DS の資格情報を使い、グループポリシーで管理している。これらのアプリを Azure 上で実行する場合、認証サービスの提供方法が課題となる。
解決策としては主に2つある:

  1. オンプレミスと Azure IaaS 間にサイト間 VPN を構築する方法

    • 認証トラフィックは VPN を通過する

  2. Azure 仮想マシン上にレプリカのドメインコントローラーを配置する方法

    • ドメインコントローラー間のレプリケーションは VPN 経由
    • 認証トラフィックはクラウド内にとどまる

ただし、どちらの方法も追加のコストや管理負荷が発生する点に注意が必要。

Microsoft では、これらの方法の代替策として Microsoft Entra Domain Services を提供している。 このサービスは、Microsoft Entra ID P1 または P2 レベルの一部として実行され、グループ ポリシー管理、ドメイン参加、Kerberos 認証などのドメイン サービスを Microsoft Entra テナントに提供する。

Microsoft Entra ID はローカルの AD DS と連携可能で、Microsoft Entra Connect を使うとユーザーはオンプレミスの AD DS と Microsoft Entra Domain Services の両方で同じ資格情報を使える。また、オンプレミスに AD DS がなくても、Microsoft Entra Domain Services をクラウド専用で利用できる。これにより、オンプレやクラウドにドメインコントローラーを設置しなくても、同等のドメイン機能が利用可能になる。例えば、組織は Microsoft Entra テナントを作成し、Microsoft Entra Domain Services を有効化して、オンプレミスのリソースとテナント間に仮想ネットワークを構築することができる。こうした環境では、オンプレミスのユーザーやサービスが Microsoft Entra ID から提供されるドメインサービスを利用できるようになる。

Microsoft Entra Domain Services が組織にもたらす主な利点は以下の通り:

  • 管理者がドメインコントローラーの管理、更新、監視を行う必要がない
  • Active Directory のレプリケーションをデプロイ・管理する手間が不要
  • 管理対象のドメインに対して、Domain Admins や Enterprise Admins グループを用意する必要がない

Microsoft Entra Domain Services を導入する際には、以下の制限事項に注意が必要:

  • 基本的なコンピューターの Active Directory オブジェクトのみサポート
  • ドメインのスキーマ拡張は不可
  • 組織単位(OU)はフラット構造で、入れ子の OU はサポートされていない
  • 組み込みのグループポリシーオブジェクト(GPO)があり、コンピューター用とユーザー用が存在
  • 組み込み GPO の OU への適用や、WMI フィルター、セキュリティグループフィルターは使用不可

Microsoft Entra Domain Services により、LDAP、NTLM、Kerberos を使うアプリケーションをオンプレからクラウドへ移行可能。また、VPN やクラウド上のドメインコントローラーなしで、Azure IaaS に Microsoft SQL Server や SharePoint Server などを展開できる。サービスは Azure ポータルから有効化でき、ディレクトリサイズに応じて時間単位で課金される。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?