セミナー情報Microsoft Entra IDとは?オンプレADとの違いや機能・料金プランを解説
Microsoft Entra IDとは、Microsoftが提供するクラウドベースのID・アクセス管理サービスで、旧称は「Azure Active Directory(Azure AD)」です。昨今のクラウド利用の拡大にともない、組織のセキュリティを担保するうえでID管理の重要性が増しています。
この記事では、Microsoft Entra IDで何ができるのか、その基本的な機能から、長年多くの組織で利用されてきたオンプレミスのActive Directoryとの比較、具体的なメリット、そして料金プランの選び方までを分かりやすく解説します。
・オンプレミスのActive Directoryとの違い
・Microsoft Entra IDの主要な機能
・Microsoft Entra IDを利用するメリット
・自社に最適なプランの選び方|4つの料金プランを解説
・Microsoft Entra IDの基本的なはじめ方・導入手順
・Entra IDに関するよくある質問
・まとめ
Microsoft Entra IDとは(旧称:Azure AD)
Microsoft Entra ID(旧:Azure AD)は、Microsoftのセキュリティ製品群「Microsoft Entra」ファミリーの中核をなす、IDとアクセスを管理するためのクラウドサービスです。2023年にAzure ADからの名称変更が発表され、MicrosoftのID管理ソリューションとしての位置づけがより明確になりました。
このサービスは、組織のユーザーID情報を一元的に管理し、さまざまなクラウドサービスへの安全なアクセスを実現するIdP(IDプロバイダー)としての役割を担っています。
Entra IDは、クラウドベースでIDとアクセスを一元管理するサービス
Entra IDは、クラウド上でユーザーアカウントの管理をおこなうIAM(Identity and Access Management)サービスです。具体的には、ユーザーのID情報やパスワード、役職、所属といったユーザー属性を一元管理し、誰がどの情報やアプリケーションにアクセスできるかの権限(ロール)を制御する仕組みを提供します。
管理者はWebブラウザから「Microsoft Entra 管理センター」にアクセスし、ユーザー作成や削除、権限の追加といった操作を実施可能です。これにより、組織はローカルアカウントの管理負荷を軽減し、さまざまなサービスにまたがるユーザーのアクセス状況を監査ログやサインインログで正確に把握できるようになります。
なぜMicrosoft Entra IDが必要なのか?
クラウドサービスの普及やリモートワークの常態化により、従来の「社内は安全、社外は危険」という境界型防御モデルが通用しなくなりました。このような環境の変化に対応し、ゼロトラストセキュリティを実現するためには、IDを中心としたアクセス管理が不可欠です。
Microsoft Entra IDは、ユーザーやデバイスの状態をリアルタイムで評価し、アクセス可否を動的に判断する機能を提供します。これにより、場所やネットワークを問わず、すべてのアクセス要求を検証し、組織の情報資産を保護できるのです。
オンプレミスのActive Directoryとの違い
Microsoft Entra IDとオンプレミスのActive Directory(AD)はどちらもID管理サービスですが、その成り立ちと主目的が異なります。
オンプレ版ADは社内ネットワークでの利用を前提に設計されている一方、Entra IDはクラウド時代にあわせて開発されました。両者は対立するものではなく、連携によるハイブリッド構成も可能で、ADからの完全な移行だけでなく、併用も多くの組織で採用されています。
違い①:管理対象となるリソースと利用目的
オンプレミスのActive Directoryは、主に社内ネットワークに存在するリソースの管理を目的としています。具体的には、組織内のWindows PC、ファイルサーバー、プリンター、共有フォルダ、社内向けアプリケーションへのアクセス制御をおこないます。
対してMicrosoft Entra IDは、Microsoft 365やAWSといったクラウド上のアプリケーションやサービスへのアクセス管理が主な利用目的です。また、組織が管理するデバイスだけでなく、個人が所有するデバイスからの安全なアクセスを実現することも想定されています。
違い②:採用されている認証プロトコル
両者では、採用されている認証プロトコルにも大きな違いがあります。オンプレ版ADでは、主に社内ネットワークで利用される「Kerberos認証」や「NTLM」、「LDAP」といった認証方式が用いられます。
一方、Microsoft Entra IDはインターネット経由での利用を前提としているため、「SAML」や「OAuth 2.0」、「OpenID Connect (OIDC)」といったWeb標準の認証プロトコルに対応しています。※なお、Entra IDはハイブリッド環境向けにKerberosもサポートしていますが、主に補完的な用途に限られます
| 認証プロトコル | 用途 | 内容 |
|---|---|---|
| Kerberos | チケット制の認証 | IDとパスワードよりチケットを発行し、それを用いてシングルサインオンを実現する。 |
| NTLM | チャレンジレスポンス式の認証 | サーバーが送信した乱数(チャレンジ)に対し、クライアントはパスワードから生成したハッシュ値を用いてレスポンスを生成。サーバーがその結果を検証することで認証をおこなう。 |
| LDAP | ディレクトリサービスの参照 | ディレクトリサービスに格納されたユーザー情報を参照し、Bind操作によって認証に利用する。 |
| SAML | 認証情報の連携 | 異なるインターネットサービス間でユーザー情報を安全にやりとりし、シングルサインオンを実現する。 |
| OAuth2 | APIアクセスの認可 | クライアントアプリへアクセストークンを発行し、APIへのアクセス権を制御する。(認証はOIDCなどと組み合わせで実施) |
| OIDC | ユーザーの識別・認証 | IDトークンによってユーザーの本人確認をおこない、クライアントアプリへ認証情報を連携する。 |
この仕組みにより、さまざまなクラウドサービスとのFederation(ID連携)を安全かつ容易に実現できるのです。
違い③:管理するためのツール
管理に用いるツールも異なります。
Active Directoryの管理は、主にサーバーOSに搭載されている「Active Directory ユーザーとコンピューター(ADUC)」といった管理コンソールや、コマンドラインツールのPowerShellを通じておこないます。これらは通常、社内ネットワークに接続されたPCからの操作が必要です。
対照的に、Microsoft Entra IDはWebベースの「Microsoft Entra管理センター」や「Microsoft Graph API」を用いて管理するため、インターネット接続さえあれば場所を問わずに管理業務をおこなえます。
違い④:価格体系
価格体系にも違いがみられます。
Active Directoryは、Windows Server OSの機能の一つとして提供されるため、サーバーライセンス費用に含まれています。ただし、別途サーバーハードウェアの購入費用や、運用を維持するための電気代、設置場所のコスト、管理者の人件費などが発生します。
一方、Microsoft Entra IDはユーザー数にもとづくサブスクリプションモデルであり、月額または年額で利用料金を支払います。初期投資をおさえやすく、組織の規模に応じて柔軟にコストを調整できるのが特徴です。
Microsoft Entra IDの主要な機能
Microsoft Entra IDは、組織のセキュリティを向上させ、ID管理を効率化するための多彩な機能を提供します。これらの機能は、不正アクセスからの保護を強化するだけでなく、ユーザーの利便性を高めることにも寄与します。
シングルサインオン(SSO)で複数サービスへのログインを簡略化
シングルサインオン(SSO)は、一度の認証で複数のクラウドサービスやアプリへログインできる機能です。
ユーザーはEntra IDに一度サインインするだけで、Microsoft TeamsやSharePointはもちろん、Google Workspaceといった連携アプリケーションを追加のパスワード入力なしに利用できます。
これにより、ユーザーは複数のIDとパスワードを覚える手間から解放され、管理者はパスワード忘れによる問い合わせ対応の工数を削減できます。
多要素認証(MFA)で不正アクセスに対するセキュリティを強化
多要素認証(MFA)は、IDとパスワードによる知識情報だけでなく、スマートフォンへの通知や生体情報(例:Windows Hello)、物理的なセキュリティキー(FIDO2)といった複数種類の要素を組みあわせて本人確認をおこなう認証方式です。
パスワードが漏洩した場合でも、第三者による不正なサインインを効果的に防ぎ、アカウントのセキュリティを大幅に向上させます。2段階認証よりもさらに強固な保護を実現し、必要に応じてアカウントロックや証明書の無効化も設定可能です。
条件付きアクセスで利用状況に応じた柔軟なアクセス制御を実現
条件付きアクセスは、Entra IDの最も強力な機能の一つです。「誰が」「どこから」「どのデバイスで」といった利用状況(シグナル)を評価し、事前に定義したポリシーにもとづいてアクセス制御を自動的におこないます。
例えば、「管理権限をもつユーザーが社外からアクセスする際は、多要素認証を必須にする」「組織のセキュリティ基準を満たさないデバイスからのアクセスをブロックする」といった、きめ細やかなルールを設定でき、ゼロトラストセキュリティの実現に不可欠です。
デバイス管理機能で社内外の端末を安全に利用
Microsoft Entra IDには、Windowsやmac OS、iOS、Androidといったさまざまなデバイスを登録し、管理下に置く機能があります。
デバイスをEntra IDに参加させることで、そのデバイスが組織のセキュリティポリシーに準拠しているかを識別可能になり、条件付きアクセスの判断材料として利用できます。
オンプレ版ADとの連携でハイブリッドなID環境を構築
多くの組織では、依然としてオンプレミスのActive Directoryが稼働しています。
Microsoft Entra IDは、「Microsoft Entra Connect」という同期ツールを用いることで、オンプレ版ADのユーザー情報をクラウド上のEntra IDと同期させることが可能です。このハイブリッドID環境を構築すると、ユーザーはオンプレミス・クラウドを問わず同じID情報でサインインできるようになります。
既存のIT資産を活かしながら、安全な通信を確保しつつ段階的にクラウド移行を進めたい場合などに有効です。
Microsoft Entra IDを利用するメリット
Microsoft Entra IDを導入することで、組織はセキュリティの強化、業務効率の向上、そしてほかの製品との連携による拡張性という、主に3つの大きなメリットを享受できます。
セキュリティを強化できる
Entra ID最大のメリットといえば、セキュリティレベルの大幅な向上でしょう。多要素認証(MFA)によってパスワード漏洩時の不正アクセスリスクを低減し、条件付きアクセス機能でユーザーの状況に応じた動的なアクセス制御を実現します。
さらに上位プラン(Microsoft Entra ID P2やそれを含むMicrosoft 365 E5など)では、AIがユーザーのサインイン行動を分析し、リスクを検知すると自動的にアクセスをブロックまたは追加認証を要求するなど、高度な脅威対策が可能になります。
管理者や利用者の業務効率化につながる
Entra IDを利用することで、管理者・利用者双方の工数を削減することが可能です。
管理者にとっては、アカウントの作成や削除、権限付与といったユーザー管理系のタスクをEntra IDに集約することで、運用負荷が大幅に軽減されます。利用者にとっては、シングルサインオン(SSO)によって複数のサービスへパスワードなしでアクセスできるようになり、利便性が大きく向上します。
また、パスワードリセットをユーザー自身でおこなえる機能もあるため、管理者の社内ヘルプデスクの負担を減らす効果も期待できるでしょう。
他製品と連携できる
Microsoft Entra IDは、Microsoft 365など同社のクラウドサービスとシームレスに統合されています。それに加え、数千ものサードパーティ製SaaSアプリケーションとの連携テンプレートが用意されており、容易にSSOやユーザープロビジョニングを設定可能です。
この高い拡張性により、組織で利用するさまざまなツールやサービスをEntra IDのID基盤のもとに統合し、一貫したガバナンスを適用できます。
連携例①:Microsoft Intune
Microsoft Intuneは、PCやスマートフォンなどのデバイスを管理するサービスです。Entra IDと連携させることで、デバイスが組織のセキュリティポリシー(OSのバージョン、暗号化の有無など)に準拠しているかを評価できます。
この「デバイスの準拠状態」を条件付きアクセスの条件に加えることで、「準拠しているデバイスからのみ社内リソースへのアクセスを許可する」といった厳格なセキュリティポリシーを適用可能です。
連携例②:IT資産管理ツール
IT資産管理ツールとEntra IDを連携させると、Entra IDに登録されているユーザー情報やデバイス情報を自動でツールに取り込み、管理台帳を常に最新の状態に保てます。IT資産管理ツール内で管理されているデバイス情報と紐付けることで、より統合的な機器管理が可能です。
さらにIT資産管理ツールのなかには、Entra IDの条件付きアクセス機能の一部を設定できる機能をもつものも存在します。(例:IT資産管理ツールSS1)
不正なアクセスが検知された場合にはIT資産管理ツール側で通知を受け取ることもできるため、ユーザーアクセス管理と機器管理を一つのツールで実施したい場合に有用です。
自社に最適なプランの選び方|4つの料金プランを解説
Microsoft Entra IDには、機能が異なる複数の料金プラン(ライセンス)が用意されています。組織のセキュリティ要件や利用規模、かけられるコストを考慮し、最適なサブスクリプション契約を選択することが重要です。
基本的な機能は無料プランから利用できますが、高度なセキュリティ機能の多くは有償プランでの提供となります。以下に各プランの価格と主な特徴を解説します。
Microsoft Entra ID Free
Microsoft Entra ID Freeは、Microsoft 365 Business BasicやMicrosoft 365 Business Standardなどに含まれる無料のプランです。
ユーザーとグループの基本的な管理、クラウドアプリケーションへのシングルサインオン(SSO)、そしてAuthenticatorによる多要素認証(MFA)などが利用できます。小規模な組織や、まずは基本的なID管理からはじめたい場合に適しています。
ただし「条件付きアクセス」が使えないなど、機能は限定的です。
Microsoft Entra ID P1
Freeプランのすべての機能に加え、Microsoft Entra ID P1はより高度なセキュリティとID管理機能を提供します。
ハイブリッド環境で利用するユーザー向けの機能が強化されており、条件付きアクセス、多要素認証の詳細な設定、オンプレミスADとの連携状態を監視するMicrosoft Entra Connect Healthなどが含まれます。ゼロトラストセキュリティの基盤を構築したい多くの組織にとって、有力な選択肢となるプランです。
ちなみにP1は、Microsoft 365 Business PremiumやMicrosoft 365 E3に含まれています。
Microsoft Entra ID P2
P1プランのすべての機能に加え、最も高度なID保護機能を提供するのがMicrosoft Entra ID P2です。最大の特徴は、AIと機械学習を活用してIDの脅威をリアルタイムに検知・対応する「ID保護」機能と、管理者などの特権アカウントを必要なときだけ付与・管理し、有効期限まで設定する「特権ID管理」機能です。
ルールベースの制御を実施するP1に対し、P2はリスクベースでの制御を提供するともいわれています。最高レベルのセキュリティが求められる組織や厳格なコンプライアンス要件をもつ組織に適しており、Microsoft 365 E5や後述のMicrosoft Entra Suiteに含まれるプランです。
Microsoft Entra Suite
Microsoft Entra Suiteは、高度なID管理とネットワークセキュリティ(SSE)を統合した、Entraファミリーの最上位プランです。
Microsoft Entra ID P2の全機能に加え、ID保護やIDガバナンス、Verified ID、社内リソースやインターネットへの安全なアクセスを提供する「Private Access」「Internet Access」までを包括的に利用できます。複雑なID管理要件をもつ大規模な組織や、IDとネットワークの両面にまつわるあらゆるセキュリティリスクへ包括的に対応したい組織向けのオールインワンパッケージです。
利用する場合は、Microsoft Entra ID P1またはP1が含まれるパッケージプランのどちらかを契約している必要があります。
Microsoft Entra IDの基本的なはじめ方・導入手順
Microsoft Entra IDの導入は、いくつかの基本的なステップに沿って進めます。ここでは、新規に環境を構築する際の一般的な流れを解説します。
実際の導入にあたっては、自社の環境にあわせた詳細な設定計画を立て、事前に十分な検証をおこなうことが大切です。公式のマニュアルなども参考にしながら進めてください。
ステップ1:Microsoft Entraで新しいテナントを作成する
はじめに、組織のID情報を管理するための専用領域である「テナント」を作成します。
テナントは、Azureポータルから作成可能です。作成時に、「組織名.onmicrosoft.com」という初期ドメイン名が割り当てられます。
その後、自社で所有している独自のドメイン(例:example.com)をカスタムドメインとして追加・検証することで、そのドメイン名をもつメールアドレス形式のユーザーIDを利用できるようになります。
ステップ2:ユーザーの追加とライセンスの割り当てをおこなう
テナントの準備ができたら、ユーザーアカウントを追加します。
ユーザーは、Microsoft Entra管理センターの画面から一人ずつ手動で追加する方法と、CSVファイルを使って一括でインポートする方法があります。オンプレ版ADと連携する場合は、Microsoft Entra Connectを使ってユーザー情報を同期しましょう。
ユーザー追加後、条件付きアクセスなどの有償機能を利用するためには、対象のユーザーにP1やP2といったライセンスを割り当てる作業が必要です。
ステップ3:クライアントPCをEntra IDに参加させる
次に、従業員が使用するWindows PCをEntra IDに参加させます。
この操作はWindowsの「設定」メニューからおこない、「アカウント」>「職場または学校にアクセスする」を選択して、「職場または学校アカウントを追加」より組織のアカウントでサインインします。
その後は画面の指示に従って必要な情報を入力することで、PCのログインがEntra IDのアカウントで可能になり、デバイス自体がEntra IDの管理対象となります。
デバイスの登録が完了すると、そのデバイスの状態を「条件付きアクセス」のポリシーで利用することが可能です。
ステップ4:各種SaaSアプリケーションとSSO連携を設定する
最後に、組織で利用しているさまざまなSaaSアプリケーションとシングルサインオン(SSO)連携の設定をおこないます。
Microsoft Entra管理センターの「エンタープライズアプリケーション」メニュー内で、連携したいアプリケーションをギャラリーから検索し、追加します。その後、画面の指示に従ってSAMLなどのプロトコルを用いてSSOの設定を進めます。
設定が完了すると、ユーザーはEntra IDの認証情報で対象のSaaSにログインできるようになります。
Entra IDに関するよくある質問
ここでは、Microsoft Entra IDの導入を検討する際によく寄せられる質問とその回答を紹介します。
名称変更にともなう影響や、既存のActive Directoryとの関係性など、疑問の解消に役立ててください。障害などの最新情報については、Microsoftの公式情報をご確認ください。
Microsoft Entra IDと旧称のAzure ADでは何が違うのですか?
基本的には名称とアイコンの変更のみで、機能、API、ライセンスプラン、価格、利用規約などに変更はありません。すでにAzure ADを利用している場合、特別な操作は不要で、既存の設定のまま継続して利用できます。
この名称変更は、ID・アクセス管理関連の製品群を「Microsoft Entra」ブランドに統合する取り組みの一環です。
オンプレミスのActive Directoryは今後不要になりますか?
一概にはいえません。すべてのシステムがクラウドに移行している組織であれば不要になる可能性がありますが、社内ファイルサーバーやKerberos認証を必要とする古いシステムが残っている場合、オンプレ版ADは依然として必要です。
多くの組織では、Entra IDと連携させるハイブリッド構成や併用が現実的な選択肢となります。
どの料金プランを選べばよいか選定のポイントを教えてください。
まず「条件付きアクセス」機能が必要かどうかで判断するのがよいでしょう。この機能が必要な場合はP1以上のプランが必須です。
さらに、AIによるリスク検知や特権ID管理といった、より高度なセキュリティを求める場合はP2が選択肢となります。まずはFreeプランで基本機能を試し、自社のセキュリティ要件を整理したうえで最適なプランを選定してください。
まとめ
Microsoft Entra ID(旧Azure AD)は、クラウドサービスや多様な働き方が普及した現代のIT環境において、組織のセキュリティと生産性を支える中心的な役割を担うID・アクセス管理サービスです。
オンプレミスのActive Directoryとは得意とする領域が異なり、それぞれに利点があります。シングルサインオンや多要素認証、条件付きアクセスといった主要な機能を活用することで、ゼロトラストセキュリティの実現に大きく近づけるでしょう。
自組織の環境とセキュリティ要件をふまえ、最適なプランを選択し、段階的な導入を検討することが成功の鍵です。
SS1LAB編集部IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!
