最近Microsoft Entra Id周りの仕事をする時間が増え、そもそも基本をとらえていないと、すごく時間の無駄になると思い(実際なった)、ここに残しておきます。
Microsoft Entra IDとはなにか
Microsoft Entra ID(以下「Entra ID」)は、クラウド上で提供されるアイデンティティ(ユーザー・デバイス・アプリ)とアクセス管理(IAM:Identity and Access Management)サービスです。
具体的には、社員やゲストユーザーがクラウドアプリ/社内アプリ/デバイスにアクセスする際の「誰が」「どこから」「どのデバイスで」「何にアクセスできるか」を統合的に管理できるプラットフォームです。
どういうニーズの基にあるか
クラウド化・モバイルワーク・ハイブリッド勤務の普及によって、従来の“社内ネットワークの境界”だけを守る方式が通用しなくなっています。
Entra IDは「アイデンティティが新しい境界(Identity as the new perimeter)」という考え方を実践しており、ネットワーク境界を超えて統一的にアクセス管理を実現します
Zero Trust セキュリティの文脈でも、ユーザー・デバイス・アプリ・接続条件を常に検証(信頼せず、常に確認)する仕組みとしてEntra IDは中心的な役割を担います。
多数のSaaSアプリ/自社クラウド/オンプレ資源との連携・統合が必要となる中、管理を分散させず一元化できるのも大きな利点です。 最近Entra Id周りの仕事が増えたのもこれになります。
どんな感じに動くのか
組織がMicrosoft 365、Azure、Dynamics 365などのサブスクリプションを利用している場合、基本的にEntra IDのテナントが自動的に作成され、アクセス管理がすでに始まっています。
管理者はWebポータル(Microsoft Entra 管理センター)やAPI(例えば Microsoft Graph API)を使って以下のような操作を行います:
- ユーザー/グループ/デバイスの登録・管理
- アプリケーション(SaaS、社内Web、モバイルアプリなど)の統合(SSO設定/認証・認可)
- ポリシー設定(例:多要素認証(MFA)、条件付きアクセス、リスクベース認証)
- ライフサイクル管理(オンボーディング・オフボーディング、アクセスレビュー、権限委譲)
開発者・システム連携としては、Entra IDは OAuth 2.0/OpenID Connect/SAMLといった標準プロトコルをサポートしており、アプリ側から「このユーザーは認証されているか」「グループに所属しているか」などを確認できます。
主な機能
細かい機能は追って書きますが、基本機能は下記です
シングルサインオン(SSO)
ユーザーが一度ログインすれば複数アプリにアクセス可能。
多要素認証(MFA)/高度な認証方式
パスワード+スマホアプリ通知/生体認証など、よりセキュアな認証が可能。 自前で実装しようと思ったら大変面倒。
条件付きアクセス(Conditional Access)
IP、デバイスの状態、ユーザーのリスク状態、アプリケーションの種類など複数のシグナルを元にアクセス制御。
ユーザー・グループ・ライフサイクル管理
ユーザーアカウントの作成・削除・グループ割当・アクセス権制御。
ハイブリッド・オンプレ連携:既存のオンプレミスの Windows Server Active Directory(AD)と同期・連携させてクラウドのEntra IDと併用できる。
導入するときのポイント
-
組織のユーザー数・アプリケーション数・外部アクセス状況・モバイル/リモートワークの割合を整理。
-
既存のオンプレADがあれば、同期やフェデレーション(例:Microsoft Entra Connect)の検討が必要。
-
ライセンス体系の理解(Free版/P1/P2など)を事前にチェック。
-
セキュリティポリシー(MFA、条件付きアクセス、権限管理)をどう適用するか。
-
将来に向けて「アクセスガバナンス(誰がどこにアクセスできるか)」「監査・可視性」も視野に。
-
ユーザー/管理者双方の運用体制(属人化しない、変更管理をきちんとする)を整える。
次(予定は未定)
次は「Microsoft Entra IDの構造と管理画面の見方」をまとめます。多分。
そして求人
引き続き一緒に仕事ができるエンジニアを募集しております。 こちらのウェブサイトに求人情報掲載しています。 https://receiptroller.co