Entra IDの概念と設計
Azure ADからMicrosoft Entra IDへ
2023年7月、MicrosoftはAzure Active Directory(Azure AD)をMicrosoft Entra IDに名称変更しました。機能面の変更はなく、管理画面のURLやPowerShellコマンドなども段階的に新名称に移行しています。過去の技術ドキュメントや記事では「Azure AD」表記が多く残っているため、両方の名称を知っておく必要があります。
| 旧名称 | 新名称 |
|---|---|
| Azure Active Directory | Microsoft Entra ID |
| Azure AD Connect | Microsoft Entra Connect(旧名称も通用) |
| Azure AD Premium P1/P2 | Microsoft Entra ID P1/P2 |
| Azure AD 条件付きアクセス | Microsoft Entra 条件付きアクセス |
| Azure AD B2B/B2C | Microsoft Entra External ID |
| Azure ADポータル(aad.portal.azure.com) | Microsoft Entra管理センター(entra.microsoft.com) |
ポイント:名称変更に伴い、PowerShellモジュールも移行が進んでいます。旧来のAzureADモジュールやMSOnlineモジュールは非推奨となり、Microsoft Graph PowerShell SDK(Microsoft.Graph)への移行が推奨されています。新規スクリプトを書く場合は必ずGraph SDKを使用しましょう。
Entra IDの基本概念
Microsoft Entra IDは、MicrosoftのクラウドベースのID管理およびアクセス管理サービスです。オンプレミスのActive Directory(AD DS)と似た機能をクラウドで提供しますが、設計思想が大きく異なります。
| 項目 | オンプレミスAD(AD DS) | Microsoft Entra ID |
|---|---|---|
| プロトコル | Kerberos, LDAP, NTLM | OAuth 2.0, OpenID Connect, SAML |
| 構造 | OU(組織単位)、フォレスト、ドメイン | フラットな構造(グループベース) |
| 認証方式 | ドメイン参加 | Web認証、デバイス登録 |
| 管理対象 | ドメインPC、ファイルサーバー、GPO | クラウドアプリ、SaaS、デバイス登録 |
| レプリケーション | DC間のレプリケーション | Microsoftがグローバルに管理 |
テナントの概念
Entra IDのテナントは、Microsoft 365の契約時に自動的に作成される、組織専用のEntra IDインスタンスです。テナントは組織のID管理の境界であり、ユーザー、グループ、アプリケーション、デバイス情報がテナント内に格納されます。
テナントの重要な特性:
- 1つの組織に1つのテナントが基本(マルチテナント構成も可能だが複雑になる)
- テナントIDはGUID形式の一意な識別子
- 初期ドメインは「○○○.onmicrosoft.com」形式
- カスタムドメイン(例:contoso.co.jp)を追加してユーザーIDに使用
- テナント間のリソース共有にはB2B(ゲスト招待)機能を使用
⚠️ 注意
テナントの初期ドメイン(○○○.onmicrosoft.com)は後から変更できません。テナント作成時に適切な名前を選ぶことが重要です。また、テナントの「国/地域」設定はデータの保存場所に影響するため、日本企業は必ず「日本」を選択してください。
Microsoft Entra Connect(旧Azure AD Connect)
Microsoft Entra Connectは、オンプレミスのActive DirectoryとEntra IDの間でユーザーアカウント情報を同期するツールです。オンプレミスADで作成・変更したユーザーアカウントがEntra ID(Microsoft 365)に自動的に反映されます。
同期の仕組み
Entra Connectは、オンプレミスADのユーザー、グループ、連絡先オブジェクトをEntra IDに同期します。デフォルトでは30分間隔で自動同期が実行されます。
同期の方向:
- オンプレミス → クラウド:ユーザー属性の同期(デフォルト)
- パスワードハッシュ同期:オンプレミスADのパスワードハッシュをEntra IDに同期
- パスワードライトバック:クラウド側でのパスワード変更をオンプレミスに反映(P1以上)
- デバイスライトバック:Entra IDに登録されたデバイス情報をオンプレミスに書き戻し
認証方式の選択
Entra Connectの導入時に、ユーザー認証の方式を選択する必要があります。
| 認証方式 | 概要 | メリット | デメリット |
|---|---|---|---|
| パスワードハッシュ同期(PHS) | パスワードのハッシュ値をクラウドに同期 | 構成がシンプル、オンプレミス障害時も認証可能 | ハッシュがクラウドに保存される |
| パススルー認証(PTA) | 認証リクエストをオンプレミスADに転送 | パスワードがクラウドに保存されない | オンプレミスAD障害時にログイン不可 |
| フェデレーション(AD FS) | AD FSサーバーで認証を処理 | 高度なカスタマイズが可能 | 構成が複雑、AD FSサーバーの運用コスト |
ポイント:ひとり情シスにはパスワードハッシュ同期(PHS)が最も推奨されます。構成がシンプルで、オンプレミスサーバーがダウンしてもMicrosoft 365にログインできます。さらにPHSを有効にしておくと、Entra ID Identity Protectionの「漏洩した資格情報の検出」機能も利用可能になります。
ハイブリッドID
ハイブリッドIDとは、オンプレミスADとEntra IDの両方に存在する統合されたユーザーIDのことです。ユーザーは1つのID(メールアドレス)と1つのパスワードで、オンプレミスのファイルサーバーにもMicrosoft 365にもアクセスできます。
ハイブリッドID環境の主なシナリオ:
- ハイブリッドEntra ID参加:既存のドメイン参加PCをEntra IDにも登録し、条件付きアクセスで制御
- シームレスSSO:社内ネットワークのドメインPCからMicrosoft 365に自動サインイン
- セルフサービスパスワードリセット(SSPR):ユーザーが自分でパスワードをリセットし、オンプレミスにもライトバック
📋 具体例
50人規模の企業でのハイブリッドID設計例:
既存のWindows Serverドメインコントローラー上にEntra Connectをインストール(非推奨だがリソース不足時はDCと同居も可)。パスワードハッシュ同期を有効化し、シームレスSSOも設定。社内のドメインPCからはパスワード入力不要でMicrosoft 365にアクセスでき、社外からはMFAで保護。この構成であれば追加のサーバー不要で導入可能です。
Entra ID P1/P2ライセンス
Entra IDには無料版とプレミアム版(P1/P2)があり、プランによって利用できる機能が異なります。
| 機能 | Free | P1 | P2 |
|---|---|---|---|
| 基本的なユーザー・グループ管理 | ○ | ○ | ○ |
| セキュリティの既定値群 | ○ | ○ | ○ |
| 条件付きアクセス | × | ○ | ○ |
| グループベースのライセンス割り当て | × | ○ | ○ |
| セルフサービスパスワードリセット | × | ○ | ○ |
| 動的グループ | × | ○ | ○ |
| Entra ID アプリケーションプロキシ | × | ○ | ○ |
| Identity Protection(リスクベース認証) | × | × | ○ |
| Privileged Identity Management(PIM) | × | × | ○ |
| アクセスレビュー | × | × | ○ |
ひとり情シスの視点:Business PremiumにはEntra ID P1が含まれているため、条件付きアクセスやSSPRが利用可能です。P2はIdentity ProtectionやPIMが使えますが、中小企業でそこまで必要なケースは少ないため、まずはP1で十分です。ただし、セキュリティ要件が高い業界(金融、医療等)ではP2の検討も視野に入れましょう。
✅ 完了済み