クラウドサービスの利用が広がるなかで、「IDとアクセスの管理をどう統制するか」は情シス担当者にとって最重要課題の一つです。Microsoft Entra ID(旧Azure Active Directory)は、ユーザー認証・アクセス制御・セキュリティ統制をクラウド上で一元管理するIDプラットフォームです。本記事では、Entra IDの概要・主要機能・プラン選定の基準から、オンプレミスActive Directoryとの違い、導入・移行時の実務ポイントまでを体系的に解説します。
Microsoft Entra IDとは何か
Microsoft Entra IDは、Microsoftが提供するクラウドベースのID・アクセス管理(IAM)サービスです。ユーザーの認証からリソースへのアクセス制御、デバイス管理、外部アプリとの連携まで、企業のID基盤全体を担います。
2023年10月、従来の「Azure Active Directory(Azure AD)」から現在の名称に変更されました。名称変更はブランド刷新が主な目的であり、機能や既存テナントへの影響はありません。管理ポータル(Entra管理センター)のURLは引き続き利用可能です。ただし、旧来のAzure AD Graph APIは2025年9月以降に完全廃止となるため、依存しているアプリケーションはMicrosoft Graph APIへの移行が必要です。また、AzureAD PowerShellモジュールも2025年10月に廃止予定であり、Microsoft Graph PowerShell SDKなどへの移行を進めることを推奨します。
Microsoft Entra IDが生まれた背景
クラウドサービスの普及により、企業のIT環境は「社内ネットワーク内で完結するオンプレミス」から「インターネット越しに複数のSaaSへアクセスするハイブリッド・クラウドファースト」へと移行しました。この変化は、管理すべきIDの数・アクセス元・外部連携の数を急増させ、旧来のオンプレミスActive Directory(AD)だけでは対応しきれない状況を生み出しています。
Microsoft Entra IDは、このような多様なアクセス環境に対応するため設計されたクラウドネイティブのIDサービスです。ゼロトラストセキュリティモデル(「信頼しない、常に検証する」)を実現する中核基盤として、Microsoft 365・Azure・サードパーティSaaSを横断したID統合を担います。
オンプレミスActive Directory(AD)との違い
Microsoft Entra IDとオンプレミスADは、名称が似ていますが設計思想と適用範囲が根本的に異なります。情シス担当者が混同しやすい点のため、以下の表で整理します。
| 比較項目 | オンプレミスActive Directory | Microsoft Entra ID |
|---|---|---|
| 動作環境 | オンプレミスサーバー(Windows Server) | クラウド(Microsoftが運用) |
| 主な認証プロトコル | Kerberos・NTLM・LDAP | OAuth 2.0・OpenID Connect・SAML 2.0 |
| 管理対象 | 社内ユーザー・PC・グループポリシー | ユーザー・デバイス・クラウドアプリ・外部ユーザー |
| ネットワーク境界 | 社内ネットワーク前提 | インターネット経由を前提(境界不要) |
| ライセンス形態 | Windows Server + CAL(買い切り) | ユーザー単位のサブスクリプション |
| インフラ管理 | 自社でサーバー管理が必要 | Microsoftが運用・冗長化を担当 |
オンプレミスADとEntra IDを並行利用する「ハイブリッド構成」も広く採用されています。Microsoft Entra Connect(旧Azure AD Connect)を使うことで、オンプレミスADのアカウント情報をEntra IDに同期し、クラウドサービスへのシングルサインオン(SSO)を実現できます。
Microsoft Entra IDの主要機能
Entra IDが提供する機能は多岐にわたりますが、情シス担当者が特に把握すべき中核機能を以下に整理します。
シングルサインオン(SSO)と外部アプリ連携
一度の認証でMicrosoft 365・Azure・SalesforceなどのSaaSへシームレスにアクセスできるSSOは、Entra IDの最も基本的かつ重要な機能です。
Entra IDはSAML 2.0・OAuth 2.0・OpenID Connectに対応しており、Microsoft製品だけでなく数千のサードパーティSaaSとの統合が可能です。P1以上のプランでは任意のアプリを追加・設定でき、SCIMプロトコルを使ったユーザーの自動プロビジョニング(アカウントの作成・変更・削除の自動化)にも対応します。これにより、入退社・異動時のアカウント管理工数を大幅に削減できます。
多要素認証(MFA)とパスワードレス認証
IDとパスワードのみによる認証は、フィッシング攻撃や情報漏えいによって容易に突破されるリスクがあります。Entra IDは多要素認証(MFA)を標準機能として提供し、Microsoft Authenticatorアプリ・FIDO2セキュリティキー・パスキー・ワンタイムパスコード(OTP)などの認証方式と組み合わせることで、不正アクセスのリスクを大幅に低減します。
2025年以降はパスワードレス認証への移行がさらに加速しており、FIDO2準拠のパスキー管理機能の強化や、ユーザーグループごとのパスキーポリシー設定(例:グループAには特定のセキュリティキーのみ許可、グループBはMicrosoft Authenticatorでのパスキー使用を許可)が可能になっています。
条件付きアクセス
条件付きアクセスは、ユーザー・デバイス・場所・アプリ・リスクスコアなどの複数条件に応じて、アクセスの許可・追加認証要求・ブロックを自動的に判定するポリシーエンジンです。P1以上のプランで利用できます。
たとえば「管理対象外の個人デバイスからの社内アプリアクセスはMFAを要求する」「特定の国・地域からのサインインをブロックする」「サインインリスクが高い場合にパスワード変更を強制する」といったポリシーを柔軟に設定できます。社外・個人端末からのアクセスが増えたハイブリッドワーク環境において、境界型セキュリティの代替となる重要な統制手段です。
ID保護(Identity Protection)
機械学習によるリスク検出エンジンがユーザーの行動パターンを分析し、不審なサインイン(通常と異なる場所・端末・時間帯、漏えい済み認証情報の使用など)をリアルタイムで検知します。リスクレベルに応じて自動的にMFAを要求したり、アクセスをブロックしたりする対応が設定可能です(P2プラン機能)。
特権ID管理(Privileged Identity Management)
システム管理者やグローバル管理者などの高権限アカウント(特権ID)は、漏えい時のリスクが最も大きいIDです。PIM(Privileged Identity Management)は、特権IDへのアクセスを「必要な時だけ・必要な期間だけ」付与するJust-In-Timeアクセス管理を実現します。特権の使用には申請・承認フローを設定でき、すべての操作が監査ログに記録されます(P2プラン機能)。
SCIMによる自動プロビジョニング
SCIM(System for Cross-domain Identity Management)は、ユーザーID情報を異なるシステム間で交換・同期するためのオープン標準プロトコルです。Entra IDはSCIMエンドポイントを持ち、対応するSaaSとのユーザーアカウント作成・更新・削除を自動化できます。入社時のアカウント一括作成・退職時のアクセス権即時剥奪など、情シスの繰り返し作業を省力化する効果があります。
Entra Agent ID(AIエージェント向けID管理)
2025年のMicrosoft Igniteで発表されたEntra Agent IDは、AIエージェントにもファーストクラスのIDを付与し、人間のユーザーと同様にゼロトラスト原則を適用できるようにする新機能です。AIエージェントに一意の識別子を割り当て、条件付きアクセスポリシーの適用・最小特権アクセスの強制・アクティビティ監視が可能です。Microsoft Copilotや社内で構築したAIエージェントを業務導入する際のセキュリティ基盤として注目されています。
Microsoft Entra IDのプランと料金
Entra IDには複数のプランがあり、必要な機能と予算に応じて選択します。以下は2025年6月時点での情報をもとにした概要です。最新の価格は必ず公式サイトで確認してください。
| プラン | 価格目安(税抜) | 主な機能・対象 |
|---|---|---|
| Entra ID Free | 無料 | SSO(一部)・基本的なMFA・Microsoft 365/Azure付属 |
| Entra ID P1 | 約899円/ユーザー/月 | 条件付きアクセス・SCIM自動プロビジョニング・ハイブリッドAD統合。M365 Business Premium / E3に含む |
| Entra ID P2 | 約1,349円/ユーザー/月 | P1機能+ID保護(リスクベースの条件付きアクセス)・特権ID管理(PIM)。M365 E5に含む |
| Microsoft Entra Suite | 約1,799円/ユーザー/月 | P1+P2機能+Private Access・Internet Access・ID Governance・Verified IDを包括。ゼロトラスト統合環境向け |
※価格は変動する場合があります。公開前に公式ページで最新料金を必ず確認してください。
プラン選定の判断基準
どのプランを選ぶかは、主に以下の観点で判断します。
- 条件付きアクセスが必要かどうか:ハイブリッドワークや社外アクセスが前提の場合はP1以上が必須
- 高権限アカウント(特権ID)の管理が必要かどうか:管理者IDへのJIT付与・監査が求められる場合はP2
- リスクベースの自動対処が必要かどうか:漏えい検知・自動ブロックを導入するならP2のID保護
- ゼロトラストネットワークアクセス(ZTNA)まで統合したいかどうか:Private Access/Internet Accessを含むEntra Suite
- すでにM365を契約している場合:Business PremiumはP1、E5はP2相当が含まれるため追加コスト不要
情シス担当者が押さえるべき導入・移行の実務ポイント
Entra IDの導入や、オンプレミスADからの移行では、事前に整理すべき実務観点があります。以下に主なポイントを整理します。
ハイブリッド構成の設計(Microsoft Entra Connect)
オンプレミスADを残しながらEntra IDを併用する「ハイブリッド構成」は、多くの企業が採用する現実的なアプローチです。Microsoft Entra Connect(旧Azure AD Connect)を用いると、オンプレミスADのユーザー・グループ情報をEntra IDに同期でき、オンプレミスとクラウドの両環境でSSOを実現できます。
なお、Microsoftは従来のMicrosoft Entra Connect Syncからクラウドネイティブの「Microsoft Entra Cloud Sync」への移行を推進しています。2026年7月以降、対象テナントへの段階的な移行ロールアウトが開始される予定です。新規のハイブリッド構成設計においては、Entra Cloud Syncを優先して検討することを推奨します。
2025年以降は、ハイブリッド環境からのクラウド移行を支援するSource of Authority(SOA)移行機能も提供されています。これにより、オンプレミスADが持っていた管理権限をオブジェクト単位でEntra IDに段階的に移管することが可能です。リスクの少ない部門や機能から段階的にクラウド移行を進める際に活用できます。
条件付きアクセスポリシーの設計と段階展開
条件付きアクセスは、設定を誤ると全社的なアクセス障害につながるリスクがあります。以下のステップで段階的に展開することが推奨されます。
- まず「レポートのみ」モードでポリシーを作成し、実際のアクセスへの影響をシミュレーションします。
- 管理者アカウントへの適用は最後にし、緊急アクセス用の除外アカウントを事前に設定しておきます。
- 小規模なユーザーグループや特定アプリに対して試験適用し、問題がないことを確認してから展開範囲を広げます。
- ポリシーの適用結果はサインインログ・監査ログで継続的にモニタリングします。
SCIMプロビジョニングの対象アプリ整理
SCIM自動プロビジョニングを設定する前に、連携対象となるSaaSのリストアップとSCIM対応状況の確認が必要です。Entra IDのエンタープライズアプリケーションギャラリーには数千のSaaSが登録されており、多くはSCIM対応です。ただし、SCIMに未対応のシステムは別途連携方式を検討する必要があります。また、プロビジョニングログを活用し、同期エラーの監視体制をあわせて整備することが重要です。
ライセンス割り当ての最適化
Entra IDはユーザー単位の従量課金です。利用状況レポートやMicrosoft 365管理センターの機能を活用し、未使用ライセンスの棚卸しを定期的に行うことで、クラウド全体の運用コストを最適化できます。特権ID管理(PIM)でJIT付与を運用する場合は、常時割り当てる特権ロールを最小限に絞る設計が、コスト面・セキュリティ面の両方で効果的です。
Microsoft Entra IDがゼロトラストセキュリティの基盤になる理由
ゼロトラストは「すべてのアクセスを信頼せず、常に検証する」という考え方に基づくセキュリティモデルです。Microsoft Entra IDは、このゼロトラストを実装するうえでの核となるID基盤として機能します。
- IDの継続検証:多要素認証・条件付きアクセス・リスクベースポリシーにより、アクセスのたびにIDとコンテキストを検証します。
- 最小特権アクセス:PIMによるJIT付与と、必要最小限のロール設計で、過剰な権限付与を防止します。
- 侵害を前提とした設計:ID保護によるリアルタイムリスク検知と自動対応で、侵害が発生した場合の被害を最小化します。
Entra Suiteまで活用すると、Private Access(社内アプリへのゼロトラストネットワークアクセス)やInternet Access(インターネットへのアクセス統制)も統合でき、ネットワーク境界に依存しないフルクラウドのゼロトラスト環境を構築できます。
Microsoft Entra IDと他のMicrosoft製品との関係
Entra IDはMicrosoftのクラウドサービス全体のID基盤として機能しており、他製品との連携を理解することが活用の幅を広げます。
Microsoft 365(M365)との関係
M365のすべてのサービス(Teams・SharePoint・Exchange Online・OneDrive等)は、Entra IDによる認証・認可を前提に動作します。M365のライセンスにはEntra ID Freeが含まれており、Business PremiumはP1相当、E5はP2相当の機能を内包しています。M365管理センターとEntra管理センターは連携しており、ユーザー管理・ライセンス割り当てを横断的に操作できます。
Microsoft Intune(デバイス管理)との連携
Intuneと組み合わせることで、デバイスの準拠状況(コンプライアンスポリシーへの適合可否)を条件付きアクセスの判定条件に組み込めます。「Intune管理対象かつポリシー準拠デバイスからのみアクセス許可」というポリシーにより、デバイスレベルでのセキュリティ統制が可能です。
Microsoft Defender for Cloud Apps(CASB)との連携
Defender for Cloud Appsとの連携により、承認済み・未承認のSaaS利用状況の可視化(Shadow IT検出)や、セッションポリシーによるクラウドアプリ上のデータ操作制御が可能です。情報漏えい対策(DLP)と組み合わせた多層防御の実現に有効です。
Microsoft Entra IDの導入を成功させるための注意点
Entra IDの導入を進める際に、現場でよく発生する課題と対策を整理します。
移行前の既存アカウント棚卸しと整理
オンプレミスADには、退職者のアカウント・重複アカウント・用途不明のサービスアカウントが長年にわたって蓄積されているケースがあります。Entra Connectで同期する前に、オンプレミスADのアカウント棚卸しを行い、不要なオブジェクトを整理しておくことが重要です。同期後に大量の不要アカウントがクラウドに持ち込まれると、ライセンスコストとセキュリティリスクの両面で問題になります。
管理者教育と運用フローの整備
Entra IDの管理インターフェースはAzureポータルおよびEntra管理センターからアクセスします。オンプレミスADの管理者経験があっても、クラウド上の操作・概念・ロール体系は異なる部分が多く、管理者向けの習熟が必要です。特権ロール(グローバル管理者等)の割り当て権限は最小限の担当者に絞り、PIMによるJIT管理と組み合わせることが推奨されます。
ユーザーへの事前周知
SSO導入やMFA必須化は、エンドユーザーの業務フロー変更を伴います。展開前にMFA登録手順の案内・ヘルプデスク対応準備を行い、特にモバイルデバイスを業務利用しているユーザーへの事前サポートを手厚くすることが、スムーズな移行につながります。
Entra IDの導入で情シスが得られる効果のまとめ
Microsoft Entra IDは、クラウド時代のID管理・セキュリティ統制・業務効率化を実現する基盤サービスです。MFA・条件付きアクセス・SCIM自動プロビジョニング・特権ID管理(PIM)などの機能を組み合わせることで、増加する一方のクラウドサービスを安全かつ効率的に管理できます。
まず自社のMicrosoft 365ライセンスを確認し、すでにP1・P2相当の機能が含まれている場合は、追加コストなしで条件付きアクセスやID保護を活用できる状態にあります。次のステップとして、条件付きアクセスポリシーの設計とSCIMプロビジョニングの整備から着手し、段階的にゼロトラスト環境への移行を進めることが現実的なアプローチです。
