はじめに
Azureを使ってるとよく出てくる“Entra ID”
でも、いざ説明しようとすると…あれ?ってなることありませんか?
私自身もよく使用していますが、
いざ「Entra IDを説明してみて」と言われても言語化できないと思ったので記事にしてみました
認証と認可
Entra IDへ入る前に確認しておきます
認証
認証は「誰か」を識別する機能を指します
例:IDとパスワードでユーザを特定する
認可
認可は認証完了後(誰が接続しているかが識別できている)に必要な権限を割り当てる機能を指します
例:Aさんは「参照可能」Bさんは「参照不可」
今回はLearnの表現に倣って認可を”割り当てる機能”としていますが、
一般的に「認可」は「権限があるか?」 を判断するプロセスというニュアンスが正しいかもしれません。
Entra ID
Entra ID※は認証・認可を提供しているサービスの1つです
※旧称:Azure AD
主にAzureのリソースに対して認証・認可を行うことができます
またAzureだけでなく例えばMicrosoft製品でいうとMicrosoft365のユーザアカウント管理にもこのEntra IDが使用されていたりします
Entra IDとActive Directoryの違い
Active Directoryも同じように認証・認可を行います
対象は主にオンプレミスのリソースです
以下はEntra IDとの違いを簡単にまとめた表です
| 項目 | Entra ID(旧Azure AD) | Active Directory |
|---|---|---|
| 主な用途 | クラウドサービスのユーザー管理 | オンプレミスのユーザー管理 |
| 利用場所 | インターネット経由(クラウド) | 社内LAN(オンプレミス) |
| 管理対象 | Microsoft 365、SaaSアプリ、クラウドリソース | Windows PC、サーバーなど |
| 認証方法 | ID/パスワード、MFA、SSO | ドメイン参加、Kerberos認証 |
| 導入のしやすさ | サブスクリプション登録ですぐ利用可能 | サーバー構築が必要 |
| デバイス制御 | なし(intuneを使用する必要あり) | GPOを使用 |
詳しくはこちら↓
両社を同期してオンプレミスユーザをEntra IDで管理することも可能です
参考:ADとEntraの同期についての記事
Entra IDの主な機能
Entra IDの主な機能の紹介です
1.条件付きアクセス
「どこからアクセスしているか」「どんなデバイスか」などの条件でアクセスを制御できる
参考:AzureAD条件付きアクセスの制御方法を表に纏めて,気になる部分検証してみました
2.多要素認証
パスワードに加えて、スマホ通知やワンタイムコードを使った二段階認証ができる
参考:しくみ: Microsoft Entra 多要素認証※Learnです
3.外部ユーザ
取引先や顧客用のユーザなど、ゲストとして招待できる
社外組織とのコラボレーションが簡単になる
参考:Microsoft Entra 外部 ID の概要※Learnです
4.特権ID管理(PIM)
権限を必要な時だけ、一時的に付与できる
参考:Microsoft EntraIDのPIMでの特権管理を、他SaaSも含めてやってみた
参考:Azure Active DirectoryでPrivileged Identity Managementを設定する
5.パスワードレス
FIDO2やWindows Helloなどを使ったパスワードレスログインが可能
参考:Microsoft Entra ID の認証を FIDO2 で出来るようにする
6.SSO
一度サインインしたら、認証情報を引き継いでほかのサービスを利用できる機能
例:M365など、各サービスで都度ログインするのは大変なので、この機能でEntra IDに一度サインインすれば異なるサービスを横断してログインしなおす必要が無くなる
ライセンス
Entra ID ライセンスには主に以下の種類があります
- Free
- P1
- P2
それぞれ値段・機能差があります
例えば「条件付きアクセス」はP1以上のライセンスが必要です
詳しくは以下を参照ください
Microsoft Entra 製品ファミリ
Entraファミリについての紹介です
勉強していて知らない単語が沢山あったのでまとめてみました
参考にしたブログやLearnを合わせて掲載していますので詳しく知りたい方はリンク先を見てみてください
1.Microsoft Entra Verified ID
中央集権的な管理(例:ADサーバにRDPしてユーザ管理、Azure portalのEntra IDからユーザ管理)の課題を解決すべく、ユーザ自身がID管理できる仕組み
参考:Microsoft Entra Verified IDを試してみた:概要とハンズオン
2.Microsoft Entra ID Governance
ライフサイクル管理(入社・異動・退職)やアクセス権の定期レビューを自動化できる
人事システムと連携して、アカウント作成や削除も自動化可能
参考:Microsoft Entra ID Governance どんな時に活用できるの?
3.Microsoft Entra Workload ID
人ではなく、アプリやサービスが認証を安全に突破する際に使うらしいです
参考:ワークロード ID とは※Learnです
4.Microsoft Entra Internet Access
Secure Web Gateway(SWG)というもの
M365などのアプリへ安全にアクセスできるサービス(条件付きアクセスやWebコンテンツフィルタリングを使用)
すべてのアプリに対する Microsoft Entra Internet Access について説明します※Learnです
5.Microsoft Entra Private Access
Zero Trust Network Access(ZTNA)というもので、VPN等がなくてもIDベースでプライベートなアクセスができるサービス
参考:ZTNA と VPN の違い (Microsoft Entra Private Access を念頭に)
Microsoft Entra Permissions Managementというものも見かけましたが
マルチクラウドを意識したサービスらしいです
2025年4月以降はサービス提供停止、2025年11月1日には廃止とのこと
参考:Microsoft Entra Permissions Management とは
アップデート情報3選 ※2025/10時点
最新のアップデート情報を3つ紹介してみます
同期されたADユーザーをクラウドユーザに変換する(プレビュー)
2025年9月
Entra Connectと Entra Cloud Syncについて
ソースオブオーソリティ (SOA) を使用するとActive Directory (AD) から Microsoft Entra ID に同期されたユーザーをAzure側で管理できる
※ただしADからの同期はされなくなる
オンプレ⇒クラウドシフトを加速させることができる機能という感じでしょうかね
Entra External ID のパスワード リセットで SMS を使用する(プレビュー)
2025年9月
External ID 、つまり外部IDについて
セルフパスワードリセット用のSMSが使用できる
外部ID関連は機能が充実してきている印象があります
Security Copilot Access Review Agent(プレビュー)
Teamsでアクセス権限の判断を助けてくれるエージェント
最近サインインしていない、雇用が終了している等の情報を元に推奨事項を教えてくれるそう
便利そうですが、前提条件は複雑だったのでよく確認する必要があります
その他
その他アップデートや詳細は以下のページに掲載されています
気になる記事紹介
Entra IDでこんなこともできるのか!と思った記事紹介です
1.QRコード認証
QRコードで認証
共有端末で使うのに便利そうです
Entra ID の新しい認証方式が出たぞ! QR コード認証を試す📱
2.Googleログイン
Googleログインもできちゃうみたいです
Microsoft EntraIDでGoogleログインを実装する方法
備考
M365
あまり意識していないかもしれませんが、裏ではEntra IDを使用しています
Azure Virtual Desktop
AVDのユーザ認証は必ずEntra IDとの認証を行います
最後に
Entra IDについて私なりにまとめてみました
「こんなのもあるよ!」
「ここ間違えてるよ!」
等あればコメントいただけますと嬉しいです
ここまで、読んでいただきましてありがとうございました
参考文献