1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

Entra ID

Last updated at Posted at 2024-12-23

EntraID(旧:AzureAD)

EntraIDとはMicrosoftが提供するクラウドべースのアイデンティティおよびアクセス管理サービス。組織や個人のデジタル資産を安全に保護し効率的に管理するためのツール。
※アイデンティティ:システムやネットワークで特定のユーザーやデバイスを識別するための情報

主な機能と目的

①ユーザー認証とシグナルサインオン(SSO)

  • 企業や組織のユーザーが複数のアプリケーション(Microsoft365やその他SaaSアプリ)に1度のログインでアクセス可能
  • パスワードレス認証や多要素認証(MFA)に対応

②アイデンティティ管理

  • 従業員、パートナー、顧客のアイデンティティを一元管理
  • ActiveDirectoryとの統合が可能でオンプレミスとクラウドの両方で利用可能

③アクセス制御とセキュリティ

  • 条件付きアクセス(場所、デバイス、リスクレベルに基づいた制御)
  • セキュリティレポートやアラートで不正アクセスを検出

④アプリケーション統合

  • Microsoftの製品だけでなくGoogleWorkspaceやSalesforceなどのサードパーティアプリとも連携可能

⑤B2B・B2Cシナリオ

  • B2B(Business-to-Business):外部パートナーとのコラボレーションを簡素化。外部パートナーや請不業者が自分のアイデンティティ(MicrosoftアカウントやGoogleアカウント)を使って安全にリソースにアクセス可能
  • B2C(Business-to-Consumer):カスタマーポータルやアプリケーションで顧客向けの安全なログイン機能を提供

Entra IDの技術的な特徴

①クラウドとの統合

  • Entra IDはクラウド専用またはハイブリット環境(オンプレミスのActiveDirectoryと連携)で利用可能
  • Azure AD Connectを使用してオンプレミスとクラウド間のデータを同期

②アイデンティティガバナンス

  • ライフサイクル管理:従業員やパートナーのアカウントを自動的にプロビジョニングおよデプロビジョニング
  • アクセスレビュー:アクセス権を定期的に見直して不要な権限を削除

③セキュリティ基盤

  • ゼロトラストモデル:「信頼しない、常に検証する」を前提としたセキュリティアプローチ
  • Microsoftディフェンダーとの統合:Entra IDとMicrosoft Defenderを組み合わせて脅威に対応

④APIと開発者向け機能

  • Microsoft Graph APIを使用してEntra IDをアプリケーションに統合
  • 開発者はカスタム認証フローやトークンのカスタマイズが可能
    ※API:アプリケーション・プログラミング・インターフェイスの略。異なるソフトウェア間が情報や機能をやり取りするための仕組み。プログラム同士が会話するためのルールや手順が定義されたもの。

EntraIDの位置付け

EntraIDはMicrosoftのEntraファミリー(アイデンティティとアクセス管理の包括的なプラットフォーム)の一部。
他の関連サービスには「Entra Permissions Management」や「Entra Verified ID」などが含まれる

組織のデジタルセキュリティを強化しつつ利便性を向上させるためのツール

Entra IDのアーキテクチャと技術的な仕組み

具体的な技術面やユースケースに焦点を当てて深掘りしていく
※アーキテクチャ:システムや構造物の設計思想や構造

アーキテクチャの構成

Entra IDはマルチテナント型クラウドサービスであり以下の要素で構成されている

ディレクトリサービス
各組織が独自のテナントを持ち、ユーザー、グループ、デバイスなどの情報を格納

認証エンジン
OAuth2.0、OpenID Connect、SAMLなどの標準プロトコルを用いて安全な認証を実現

セキュリティとガバナンス機能
AIを活用した脅威検出、アクセスレビュー、自動化されたライフサイクル管理

APIレイヤー
Microsoft Graph APIを通じて他のアプリケーションと連携可能

認証プロトコル

OAuth2.0
アクセストークンを用いたリソースアクセス

OpenID Connect (OIDC)
OAuth2.0を拡張し認証情報を提供

SAML(Security Assertion Markup Language)
既存の企業アプリケーションとの統合に使用

WS-Federation
レガシーシステムとの互換性を確保

FIDO2/WebAuthn
パスワードレス認証の実現

条件付きアクセスポリシーの詳細

条件付きアクセスはゼロトラストセキュリティモデルの中心であり、以下の条件で柔軟にアクセス制御を行う

ユーザー属性
ユーザーのグループ、ロール、部署

デバイスの状態
管理されたデバイス、デバイスコンプライアンス状況

場所(IPアドレスや地理的情報)
特定の地域またはVPN経由でのアクセス許可/拒否

リスクレベル
Microsoftが提供するAIベースのリスク検出(例:異常なログイン活動)

アプリケーションの種類
SaaS、カスタムアプリ、オンプレミスアプリ

[例]
未承認デバイスからのアクセスをブロック、海外IPからのログインにはMFA(多要素認証)を必須化

セキュリティとリスク管理の高度化

Entra IDはAI機械学習を活用してリアルタイムで脅威を検出し対策をする

ID保護(Identity Protection)
ID保護機能はリスクの高いものを自動検出し対策をする

リスクの種類

  • 不審なログイン(例:異常な場所やデバイスからのアクセス)
  • 過去に漏洩したパスワードの使用
  • 機械学習に基づく異常行動の検知

対応例

  • ユーザーに強制的にパスワード変更を要求
  • 条件付きアクセスを用いて一時的なアクセス制限

多要素認証(MFA)
複数の認証要素を組み合わせることでアカウント乗っ取りを防ぐ

認証方式

  • Microsoft Authenticatorアプリ
  • SMSコードまたは音声通話
  • 生体認証(指紋・顔認証)

開発者向け機能とAPI

Entra IDは開発者がアプリケーションに取り組める多くの機能を提供している

Microsoft Graph API
Grath APIを使用して以下の操作が可能

  • ユーザーやグループの管理
  • アクセス権の動的な変更
  • サインインのログ取得

カスタムアプリケーションの統合
独自のアプリケーションで以下を実現できる

  • シグナルサインオン(SSO)の設定
  • カスタムロールとアクセス許可の適用
  • アプリケーション内でのユーザー属性の利用

実際のユースケース

企業の従業員管理

  • 入社時に自動でOffice365やその他の業務アプリへのアクセスをプロビジョニング
  • 部署異動や退職時にはアクセス権を変更または削除
  • 条件付きアクセスで患者データへの不正アクセス防止

医療業界

  • 医療機関が外部の専門家に一時的なアクセス権を付与しプロジェクト終了後に自動削除
  • 条件付きアクセスで患者データへの不正アクセス防止

教育機関

  • 学生と職員のアクセスを分離しカスタマイズされた認証ポリシーを適用
  • クラウドベースのラーニングプラットフォームとのシームレスな連携

Entra IDの管理ポータル

管理者は以下のポータルを使用して設定やモニタリングを行う

Microsoft Entra管理センター

  • ユーザーとグループの管理
  • アプリケーションとデバイスの統合設定

Azureポータル

  • より詳細なカスタマイズや統合設定

PowerShellとCLI

  • 大規模なスクリプト操作や自動化

Entra IDと他のEntraの関係

Entra IDはMicrosoftのEntraファミリーに属する製品の中核として位置付けられる。他の製品と連携することでアイデンティティ管理を包括的に強化できる

Entra Permissions Management
クラウド環境でのアクセス権の可視化と制御

Entra Verified ID
デジタル証明書を用いてユーザーやデバイスの信頼性を保証

Entra IDのユーザー認証

1.Entra IDのユーザー認証プロセス

Entra IDの認証プロセスは以下の手順で行われる

①識別(Identification)

ユーザーが自分のID(例:ユーザー名やメールアドレス)を入力して誰であるかを識別する

②認証(Authentication)

Entra IDがユーザーが本人であることを確認するために次の認証方法を適用する

  • パスワード認証
  • 多要素認証(MFA)
  • パスワードレス認証
  • 条件付きアクセスポリシー

③認可(Authorization)

認証後、ユーザーに必要な権限が付与されリソースへのアクセスが可能になる

2.Entra IDが提供する認証方法

①パスワード認証

  • 概要
    ユーザーがID(メールアドレスなど)とパスワードを入力して認証を行う
  • 特徴
    旧来の基本的な認証方法
    Entra IDでは強力なパスワードポリシーを適用できる(例:パスワードの最小文字数や有効期限)

②多要素認証(MFA)

  • 概要
    パスワード認証に加えて追加の認証要素を要求しセキュリティを強化する
  • MFAの具体的な方法
    ❶認証アプリ(Microsoft Authenticator)
    スマートフォンアプリでコードを生成しそれを入力
    「承認」ボタンを押すだけのプッシュ通知にも対応
    ❷ワンタイムパスワード
    SMSまたはメールで送信されたコードを入力
    ❸電話認証
    登録済みの電話番号にかかってくる電話で認証
    ❹生体認証
    Windows HelloやFIDO2デバイスを使用して認証

③パスワードレス認証

  • 概要
    パスワードを使用せず所有物や整体認証で本人確認を行う
  • パスワードレスの種類
    ❶Microsoft Authenticatorアプリ
    プッシュ通知で認証を実行
    パスコード入力や確認のみでログイン可能
    ❷FIDO2セキュリティキー
    物理的なセキュリティキー(例:YubiKey)を使って認証
    ❸Windows Hello
    顔認証や指紋認証でログイン

④条件付きアクセスポリシー

  • 概要
    ユーザーのログイン条件(場所、デバイス、リスクレベルなど)に基づいて認証プロセスを動的に制御する

  • ❶信頼されたネットワーク(社内ネットワーク)からのログインではMFAを省略
    ❷未知のデバイスからのアクセスにはMFAを強制
    ❸リスクが高い場合はアクセスをブロック

⑤ハイブリット認証

  • 概要
    オンプレミスのActive DirectoryとEntra IDを統合しシームレスな認証を実現する
  • 具体的な技術
    ❶Pass-through Authentication(PTA)
    パスワード認証をオンプレミスで処理
    ❷フェデレーション認証
    Active Directory Federation Services(ADFS)を利用
    ❸Azure AD Connect
    ハイブリット環境でオンプレミスとクラウドの認証を統合

3.Entra IDの認証に関連する高度な機能

①Identity Protection(アイデンティティ保護)

  • 概要
    AIを活用して不正なログインやリスクの高い行動を検出し自動で対策を行う
  • 機能例
    ❶ユーザーのリスクスコアを計算
    ❷自動的にパスワードリセットを要求
    ❸条件付きアクセス連携してリスクに応じたポリシーを適用

②シグナルサインオン(SSO)

  • 概要
    ユーザーが1度ログインするだけで複数のクラウドアプリやオンプレミスアプリにアクセス可能

  • Microsoft365、Salesforce、Googl WorkspaceなどのSaaSアプリケーション

③認証レポート

  • 概要
    管理者向けにユーザーのサインイン活動やリスクの詳細レポートを提供
  • 用途
    不審なログイン試行を特定
    ユーザー行動を監視しセキュリティ対策を強化

4.Entra IDの認証設定手順(簡易)

基本的な設定フロー

①Entra IDポータルにサインイン

管理者がMicrosoft Entra 管理センターにログイン

②ユーザーの登録

  • 新規ユーザーの追加
  • ユーザーのグループを作成

③MFAの有効化

  • 対象ユーザーやグループにMFAを有効化
  • 認証方法(認証アプリ、SMSなど)を設定

④条件付きアクセスポリシーの設定

  • ユーザーのアクセス条件を定義
  • ポリシーの適用範囲を選択(特定のアプリやユーザーに限定)

⑤監視とレポートの確認

  • サインインログやリスクレポートを定期的に確認

5.Entra ID認証の利点

①セキュリティの強化

パスワードレス認証やMFAにより不正アクセスを大幅に低減

②利便性の向上

SSOで複数のアプリケーションレスにアクセス可能

③柔軟なポリシー管理

条件付きアクセスでユーザー体験とセキュリティのバランスを調整

④スケーラビリティ

小規模から大規模な組織まで対応可能

Entra ID認証設定手順詳細

1.Entra IDポータルにアクセス

①Microsoft Entra管理センターにサインイン

管理者アカウントを使用してMicrosoft Entra管理センターへサインイン

②Entra IDテナントを選択

必要に応じて複数テナントから対象のテナントを選択

2.ユーザーの管理

ユーザーの追加

❶[ユーザー]セクションに移動

  • 左側メニューから「ユーザー」を選択

❷新規ユーザーの作成

  • 「+新しいユーザー」をクリック
    以下の情報を入力:
    ユーザー名(例:user@yourdomain.onmicrosoft.com
    名、姓
    ロール(例:ユーザー、管理者)
  • パスワードを設定しユーザーに通知

❸外部ユーザー(ゲスト)の追加

  • 外部パートナーやゲストのメールアドレスを入力
  • 必要に応じてカスタムメッセージを追加して招待

3.多要素認証(MFA)の設定

MFAを有効化してユーザーのセキュリティを強化

①MFAを有効化

❶MFA設定ページに移動

  • 「セキュリティ>MFA」を選択
  • 「ユーザー設定」をクリック

❷ユーザー毎にMFAを有効化

  • 対象のユーザーを検索
  • 該当するユーザーの横にある状態を「有効」に変更

❸ユーザーへの通知

  • 有効化されたユーザーは次回ログイン時に、MFAの設定(電話番号や認証アプリ)を求められる

②認証方法の設定

Entra IDではユーザーが使用するMFAの方法を選択できる

❶[セキュリティ > 認証方法]に移動

  • 認証方法ポリシーを設定できる

❷認証方法を選択

  • 使用可能な方法を有効化
    Microsoft Authenticatorアプリ
    SMS認証
    音声通話
    FIDO2セキュリティキー
    生体認証(Windows Hello)

❸グループ単位での適用

  • 「対象のユーザーまたはグループ」を選択して特定の対象のみに適用

4.条件付きアクセスの設定

条件付きアクセスを利用してセキュリティと利便性を両立させる

条件付きアクセスポリシーの作成

❶[セキュリティ > 条件付きアクセス]に移動

  • 「+新しいポリシー」をクリック

❷ポリシーの基本情報を設定

  • ポリシー名を入力(例:「リスクベースMFA」)
  • 対象ユーザーまたはグループを選択

❸条件の設定

  • デバイスプラットフォーム:特定のOS(Windows、macOS、iOS/Androidなど)を条件に設定可能
  • 場所:信頼されたIPアドレスからのアクセスのみ許可
  • リスクレベル:Identity Protectionのリスクスコアに基づいて適用

❹制御の設定

  • アクセス許可:「MFAを要求」または「アクセスをブロック」
  • セッション管理:セッションの有効期限を指定可能

❺ポリシーの有効化

  • 必要な設定が完了したらポリシーを「オン」に切り替え

5.パスワードレス認証の設定

Entra IDではパスワードレス認証も簡単に設定できる

認証方法ポリシーの設定

❶[セキュリティ > 認証方法]に移動

  • 「FIDO2セキュリティキー」や「Microsoft Authenticator」を有効化

❷ユーザーに適用

  • 対象のユーザーやグループを選択
  • ユーザーは次回ログイン時にパスワードレス認証を設定

6.サインインとログ管理

認証後のログイン活動やリスク状態を管理

サインインログの確認

❶[監視 > サインインログ]に移動

  • ユーザーごとのログイン履歴を確認
  • 不審なログイン試行を特定可能

❷リスク検出

  • Identity Protection機能でリスクの高いログインを検出
  • リスクレベル(低、中、高)毎に自動対応を設定

7.監査と運用ポイント

①レポートの活用

  • サインインアクティビティ
    ログイン成功/失敗の記録を分析

  • MFAステータス
    ユーザー毎のMFAの適用状況を確認

②自動化とスクリプト

  • PowerShellを使用
    Azure AD PowerShellモジュールで大量のユーザーを一括操作可能。
    MFAや条件付きアクセスポリシーの自動設定に利用。

8.運用後の管理と最適化

①ユーザー教育

  • MFA設定やパスワードレス認証の利便性を利用者に説明
  • フィッシング攻撃などに注意を促す

②ポリシーの見直し

  • 運用状況やリスクの変化に応じてポリシーを定期的に更新
1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?