次の方法で共有


Microsoft Entra ID ガバナンス ライセンスの基礎

次のドキュメントでは、Microsoft Entra ID ガバナンス ライセンスについて説明します。 この記事は、組織に Microsoft Entra ID ガバナンス サービスを検討している IT 意思決定者、IT 管理者、IT プロフェッショナルを対象としています。

ライセンスの種類

商用および政府機関向けクラウドでは、次のライセンスを Azure Active Directory Identity Governance で使用できます。 テナントで必要なライセンスのラインアップは、テナントで使用している機能によって異なります。

  • 無料 - Microsoft Azure、Microsoft 365 などの Microsoft クラウド サブスクリプションに含まれています。
  • Microsoft Entra ID P1 - Microsoft Entra ID P1 は、スタンドアロン プロダクトとして使用できるほか、大企業向けの Microsoft 365 E3 および中小企業向けの Microsoft 365 Business Premium に含まれています。
  • Microsoft Entra ID P2 - Microsoft Entra ID P2 は、スタンドアロン製品として利用できるほか、大企業顧客向けの Microsoft 365 E5 に含まれています。
  • Microsoft Entra ID ガバナンス - Microsoft Entra ID ガバナンスは、Microsoft Entra ID P1 と P2 の顧客が利用できる高度な一連の ID ガバナンスの機能です。 Azure AD Identity Governance は 5 つの製品として用意しており、それぞれ Azure AD Identity GovernanceMicrosoft Entra ID P2 用 Azure AD Identity Governance ステップ アップMicrosoft Entra ID F2 用 Azure AD Identity Governance ステップ アップ政府機関向け Azure AD Identity GovernanceMicrosoft Entra ID P2 for Governmen 用 Azure Active Directory Identity Governance アドオンです。 この 5 製品は前提条件のみが異なっており、Microsoft Entra ID P2 にあったエンタイトルメント管理、Privileged Identity Management、アクセス レビュー機能に加え、追加の高度な ID ガバナンス機能が含まれています。

Note

Microsoft Entra ID ガバナンスのシナリオの一部は、Microsoft Entra ID ガバナンスでカバーされていない他の機能に依存するよう構成できるものもあります。 これらの機能には、追加のライセンス要件がある場合があります。 追加機能に依存する ガバナンス シナリオの詳細については、「ID ガバナンスの概要」を参照してください。

Microsoft Entra ID ガバナンス製品は、米国国内クラウドではまだ利用できません。

ガバナンス製品と前提条件

Azure AD Identity Governance 機能は現在、5 つの製品で利用できます。 これら 5 つの製品は、同じ ID ガバナンス機能を提供します。 5 つの製品の違いは、前提条件が異なっていることです。

  • Azure AD Identity Governance (ユーザー SL) ライセンスとして製品使用条件に記載されている Azure AD Identity Governance または政府機関向け Azure AD Identity Governance のサブスクリプションでは、テナントにも、AAD_PREMIUM または AAD_PREMIUM_P2 サービス プランを含む別の製品へのアクティブなサブスクリプションが必要です。 この前提条件を満たす製品の例には、Microsoft Entra ID P1Microsoft 365 E3/E5/A3/A5/G3/G5Enterprise Mobility + Security E3/E5Microsoft 365 F1/F3 などがあります。
  • Azure AD Identity Governance P2 ライセンスとして製品使用条件に記載されている Microsoft Entra ID P2 用の Azure AD Identity Governance ステップ アップまたはMicrosoft Entra ID P2 for Government 用 Azure AD Identity Governance アドオンのサブスクリプションでは、テナントにも、AAD_PREMIUM_P2 サービス プランを含む別の製品へのアクティブなサブスクリプションが必要です。 この前提条件を満たす製品の例には、Microsoft Entra ID P2Microsoft 365 E5/A5/G5Enterprise Mobility + Security E5Microsoft 365 E5/F5 SecurityMicrosoft 365 F5 Security + Complianceなどがあります。
  • Microsoft Entra ID ガバナンス F2 ライセンスとして製品使用条件に記載されている Microsoft Entra ID F2 用の Microsoft Entra ID ガバナンス ステップアップのサブスクリプションでは、テナントにも、AAD_PREMIUM_P2 サービス プランを含む別の製品へのアクティブなサブスクリプションが必要です。 この前提条件を満たす製品の例として、Microsoft Entra ID F2 があります。

ライセンスの製品名とサービス プラン識別子には、前提条件となるサービス プランを含む追加の製品が一覧表示されます。

Note

Microsoft Entra ID Governance 製品の前提条件へのサブスクリプションは、テナントでアクティブである必要があります。 前提条件が存在しない場合、またはサブスクリプションの有効期限が切れた場合、Microsoft Entra ID Governance シナリオが想定どおりに機能しない可能性があります。

Microsoft Entra ID ガバナンス製品の前提条件製品がテナントに存在するかどうかを確認するには、Microsoft Entra 管理センターまたは Microsoft 365 管理センターを使用して製品のリストを表示できます。

  1. ライセンス管理者としてMicrosoft Entra 管理センターにログインします。

  2. [ID] メニューで [請求] を展開し、[ライセンス] を選択します。

  3. [管理] メニューの [ライセンスありの機能] を選択します。 情報バーには、現在の Microsoft Entra ID ライセンス プランが表示されます。

  4. テナント内の既存の製品を表示するには、[管理] メニューの [すべての製品] を選択します。

試用版の開始

Microsoft Entra ID P1 など、適切な前提条件製品を所有しており、既に購入済みで、現在 Microsoft Entra ID ガバナンスを使用していない、または試用版を使用したことがない商用テナントのグローバル管理者は、そのテナントで Microsoft Entra ID ガバナンスの試用版を要求できます。

  1. グローバル管理者としてMicrosoft 365 管理センターにログインします

  2. [課金] メニューの [サービスの購入] を選択します。

  3. [すべての製品カテゴリを検索する] ボックスに「"Microsoft Entra ID Governance"」と入力します。

  4. Microsoft Entra ID Governance の下にある [詳細] を選択して、製品の試用版と購入情報を表示します。 テナントに Microsoft Entra ID P2 がある場合は、Microsoft Entra ID P2 用の Microsoft Entra ID Governance ステップ アップ の下にある [詳細] を選択します。

  5. 製品の詳細ページで、[試用版の開始] を選択します。

次のテーブルには、Microsoft Entra ID ガバナンス機能のライセンス要件が示されています。 Microsoft Entra スイートには、Azure AD Identity Governance のすべての機能が含まれています。 ライセンス情報と、エンタイトルメント管理、アクセス レビュー、ライフサイクル ワークフローのライセンス シナリオの例を表の後に示します。

ライセンス別の機能

次の表は、各ライセンスので使用できる機能を示しています。 すべての機能がすべてのクラウドで使用できるわけではありません。Azure Government の「Microsoft Entra 機能の可用性」を参照してください。

機能 Free Microsoft Entra ID P1 Microsoft Entra ID P2 Microsoft Entra ID Governance Microsoft Entra スイート
API 駆動型のプロビジョニング
人事主導のプロビジョニング
SaaS アプリへの自動ユーザー プロビジョニング
SaaS アプリへの自動グループ プロビジョニング
オンプレミス アプリへの自動プロビジョニング
条件付きアクセス - 使用条件の構成証明
エンタイトルメント管理 - 基本的なエンタイトルメント管理
エンタイトルメント管理 - 条件付きアクセス スコープ
エンタイトルメント管理 MyAccess 検索
検証済み ID でエンタイトルメント管理
エンタイトルメント管理 + カスタム拡張機能 (Logic Apps)
エンタイトルメント管理 + 自動割り当てポリシー
エンタイトルメント管理 - 任意のユーザーの直接割り当て (プレビュー)
エンタイトルメント管理 - ゲスト変換 API
エンタイトルメント管理 - 外部ユーザーのライフサイクルを管理します
マイ アクセス ポータル
エンタイトルメント管理 - Microsoft Entra ロール (プレビュー)
エンタイトルメント管理 - スポンサー ポリシー
Privileged Identity Management (PIM)
グループの PIM
PIM CA コントロール
アクセス レビュー - 基本的なアクセスの認定とレビュー
アクセス レビュー - グループの PIM (プレビュー)
アクセス レビュー - 非アクティブなユーザー レビュー
アクセス レビュー - 非アクティブなユーザーのレコメンデーション
アクセス レビュー - 機械学習支援によるアクセス認定とレビュー
ライフサイクル ワークフロー (LCW)
LCW + カスタム拡張機能 (Logic Apps)
ID ガバナンス ダッシュボード
分析情報とレポート - 非アクティブなゲスト アカウント

エンタイトルメント管理

組織のユーザーがこの機能を使うには、Microsoft Entra ID Governance のサブスクリプションが必要です。 この機能に含まれる一部の機能は、Microsoft Entra ID P2 サブスクリプションで動作する場合があります。

ライセンスのシナリオ例

必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。

シナリオ 計算 ライセンス数
Woodgrove Bank の ID ガバナンス管理者が初期カタログを作成します。 ポリシーの 1 つで、すべての従業員 (2,000 の従業員) は特定のアクセス パッケージのセットを要求できることが指定されています。 150 人の従業員がアクセス パッケージを要求します。 アクセス パッケージを要求できる 2,000 人の従業員 2,000
Woodgrove Bank の ID ガバナンス管理者が初期カタログを作成します。 ポリシーの 1 つで、すべての従業員 (2,000 の従業員) は特定のアクセス パッケージのセットを要求できることが指定されています。 150 人の従業員がアクセス パッケージを要求します。 2,000 人の従業員にライセンスが必要です。 2,000
Woodgrove Bank の ID ガバナンス管理者が初期カタログを作成します。 営業部門のすべてのメンバー (350 人の従業員) に特定のアクセス パッケージへのアクセス権を付与する自動割り当てポリシーを作成します。 350 人の従業員がアクセス パッケージに自動的に割り当てられます。 350 人の従業員にライセンスが必要です。 351

アクセス レビュー

この機能を使用するには、アクセスをレビューしているやアクセスがレビューしされているすべての従業員を含む、組織のユーザー向けの Microsoft Entra ID ガバナンス サブスクリプションが必要です。 この機能に含まれる一部の機能は、Microsoft Entra ID P2 サブスクリプションで動作する場合があります。

ライセンスのシナリオ例

必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。

シナリオ 計算 ライセンス数
管理者は、ユーザーが 75 人でグループ所有者が 1 人のグループ A のアクセス レビューを作成し、そのグループ所有者をレビュー担当者として割り当てます。 レビュー担当者としてのグループ所有者のライセンスが 1 つ、75 人のユーザーに対して 75 ライセンス。 76
管理者は、ユーザーが 500 人でグループ所有者が 3 人のグループ B のアクセス レビューを作成し、その 3 人のグループ所有者をレビュー担当者として割り当てます。 ユーザーには 500 ライセンス、レビュー担当者としてグループ所有者ごとに 3 つのライセンス。 503
管理者は、ユーザーが 500 人のグループ B のアクセス レビューを作成します。 自己レビューにします。 自己レビュー担当者としての各ユーザー用に 500 ライセンス 500
管理者は、メンバー ユーザーが 50 人のグループ C のアクセス レビューを作成します。 自己レビューにします。 自己レビュー担当者としての各ユーザー用に 50 ライセンス。 50
管理者は、メンバー ユーザーが 6 人のグループ D のアクセス レビューを作成します。 自己レビューにします。 自己レビュー担当者としての各ユーザー用に 6 ライセンス。 その他のライセンスは不要です。 6

ライフサイクル ワークフロー

ライフサイクル ワークフローの Entra Governance ID ライセンスを使用すると、次のことができます:

  • 合計 50 ワークフローまで作成、管理、削除できます。
  • オンデマンドおよびスケジュールされたワークフロー実行をトリガーします。
  • 既存のタスクを管理および構成して、ニーズに固有のワークフローを作成します。
  • ワークフローで使用するカスタム タスク拡張機能を最大 100 個作成します。

組織のユーザーがこの機能を使うには、Microsoft Entra ID Governance のサブスクリプションが必要です。

ライセンスのシナリオ例

シナリオ 計算 ライセンス数
ライフサイクル ワークフロー管理者はワークフローを作成し、マーケティング部門の新入社員をマーケティング チーム グループに追加します。 250 人の新入社員は、一度このワークフローを介して、マーケティング チーム グループに割り当てられます。 他の 150 人の新入社員は、同年の後半にこのワークフローを介して、マーケティング チーム グループに割り当てられます。 ライフサイクル ワークフロー管理者に 1 ライセンス、ユーザーに 400 ライセンス。 401
ライフサイクル ワークフロー管理者は、雇用最終日の前に従業員のグループに事前オフボードするためのワークフローを作成します。 事前オフボードされるユーザーの範囲は、一度に 40 人です。 40 人のライセンスユーザーをオフボードします。 これらの 40 ライセンスを再割り当てし、今年の後半にさらに 10 ライセンスを割り当てることにより、さらに 50 人のユーザーを事前オフボードできます。 ユーザーに 50 ライセンス、ライフサイクル ワークフロー管理者に 1 ライセンス。 51

Privileged Identity Management

Microsoft Entra Privileged Identity Management を使用するには、テナントに有効なライセンスが必要です。 また、管理者と関連ユーザーにライセンスを割り当てることも必要です。 この記事では、Privileged Identity Management を使用するためのライセンス要件について説明します。 Privileged Identity Management を使用するには、次のライセンスのいずれかが必要です。

PIM の有効なライセンス

PIM とそのすべての設定を使用するには、Microsoft Entra ID ガバナンス ライセンスまたは Microsoft Entra ID P2 ライセンスが必要です。 現時点では、アクセス レビューのスコープを、Microsoft Entra ID へのアクセス権を持つサービス プリンシパルと、テナントで Microsoft Entra ID P2 または Microsoft Entra ID ガバナンス エディションがアクティブになっているユーザーの Azure リソース ロールに設定できます。 サービス プリンシパルのライセンス モデルは、この機能の一般提供のために終了する予定です。このため、追加のライセンスが必要になる場合があります。

PIM に必要なライセンス

次のユーザー カテゴリについて、お使いのディレクトリに Microsoft Entra ID P2 または Microsoft Entra ID ガバナンスのライセンスがあることを確認します:

  • PIM を使用して管理される Microsoft Entra ID または Azure ロールへの適格な割り当てや期限付き割り当てを持つユーザー
  • グループの PIM のメンバーまたは所有者として、資格のある割り当てまたは期限付きの割り当てを持つユーザー
  • PIM でアクティブ化要求を承認または却下できるユーザー
  • アクセス レビューに割り当てられたユーザー
  • アクセス レビューを実行するユーザー

PIM のライセンスのシナリオ例

必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。

シナリオ 計算 ライセンス数
Woodgrove Bank には、各部門に 10 人の管理者がいて、PIM を構成および管理する特権ロール管理者が 2 人います。 5 人の管理者を対象とします。 資格のある管理者用の 5 ライセンス 5
Graphic Design Institute には 25 人の管理者がいて、そのうちの 14 人は PIM で管理されています。 ロールのアクティブ化には承認が必要であり、組織にはアクティブ化を承認できるユーザーが 3 人います。 資格のあるロール用の 14 ライセンス + 3 承認者 17
Contoso には 50 人の管理者がいて、そのうちの 42 人は PIM で管理されています。 ロールのアクティブ化には承認が必要であり、組織にはアクティブ化を承認できるユーザーが 5 人います。 また、Contoso では、管理者ロールに割り当てられているユーザーのレビューが毎月行われており、レビュー担当者はユーザーのマネージャーで、そのうちの 6 人は PIM によって管理される管理者ロールにはなっていません。 資格のあるロール用の 42 ライセンス + 5 承認者 + 6 レビュー担当者 53

PIM のライセンスの有効期限が切れた場合

Microsoft Entra ID P2、Microsoft Entra ID Governance、または試用版のライセンスの有効期限が切れた場合、お使いのディレクトリで Privileged Identity Management の機能を使用できなくなります。

  • Microsoft Entra ロールへの永続的なロールの割り当てには影響しません。
  • 特権ロールのアクティブ化、特権アクセスの管理、または特権ロールのアクセス レビューの実行のために、Microsoft Entra 管理センターの Privileged Identity Management サービスと、Privileged Identity Management の Graph API コマンドレットおよび PowerShell インターフェイスを利用することはできなくなります。
  • ユーザーが特権ロールをアクティブ化できなくなったので、Microsoft Entra ロールの有資格ロールの割り当ては削除されます。
  • Microsoft Entra ロールのすべての実行中のアクセス レビューが終了し、Privileged Identity Management の構成設定が削除されます。
  • ロールの割り当てを変更しても、Privileged Identity Management からメールが送信されなくなります。

API 駆動型のプロビジョニング

この機能は、Microsoft Entra ID P1、P2、Microsoft Entra ID ガバナンスのサブスクリプションで使用できます。 /bulkUpload API を使用して取得され、オンプレミスの Active Directory または Microsoft Entra ID にプロビジョニングされるすべての ID には、サブスクリプション ライセンスが必要です。

ライセンス シナリオ

カスタマー ライセンス API 駆動型のプロビジョニングのテナント レベルで適用される使用制限
Microsoft Entra ID P1 または P2 1 日あたりの使用量のクォータ (24 時間にわたってアップロードできるユーザー レコードの数): 10 万個のユーザー レコード (各要求に最大 50 レコードを含む 2,000 回の /bulkUpload API の呼び出し)

各フローの API 駆動型プロビジョニング ジョブの最大数: 2
o オンプレミス Active Directory への API 駆動型プロビジョニングでは最大 2 つのアプリ。
o Microsoft Entra ID への API 駆動型プロビジョニングでは最大 2 つのアプリ。
Microsoft Entra ID ガバナンス (Microsoft Entra ID P1 または P2 とともに利用) 1 日あたりの使用量のクォータ (24 時間にわたってアップロードできるユーザー レコードの数): 300,000 個のユーザー レコード (各要求に最大 50 レコードを含む 6000 回の /bulkUpload API の呼び出し)

各フローの API 駆動型プロビジョニング ジョブの最大数: 20
o オンプレミス Active Directory への API 駆動型プロビジョニングでは最大 20 のアプリ。
o Microsoft Entra ID への API 駆動型プロビジョニングでは最大 20 のアプリ。

ライセンスに関する FAQ

ID ガバナンス機能を使用するには、ライセンスをユーザーに割り当てる必要がありますか?

ユーザーに Microsoft Entra ID ガバナンス ライセンスを割り当てる必要はありませんが、ID ガバナンス機能のスコープまたは構成者のすべてのユーザーを含めるには、テナント内に同数のライセンスシートが必要です。

ビジネス ゲストに Microsoft Entra ID Governance 機能の使用をライセンス許可するにはどうすればよいですか?

請負業者、パートナー、外部コラボレーターなどのビジネス ゲストを含め、Microsoft Entra ID Governance 機能の対象となるすべてのユーザーには、ライセンスが必要です。 ビジネス ゲスト向けの新しい Microsoft Entra ID Governance ライセンスを作成しています。 このライセンスは、毎月のアクティブな使用状況 (MAU) モデルで動作します。 お客様は、想定されるビジネス ゲスト MAU に合致するライセンスを取得できます。

これらのライセンスは 2024 年後半に利用可能になる予定です。 その間、Microsoft Entra ID Governance を使用して従業員の ID を管理している組織は、追加コストなしでビジネス ゲストの ID を管理できます。 現時点では、Microsoft Entra 外部 ID をおもちの Microsoft Entra ID P1 または P2 の既存のお客様は、Microsoft Entra External ID ライセンスを通じて、ビジネス ゲストについての P1 または P2 に含まれる機能のサブセットを引き続き使用できます。

詳細については、「ビジネス ゲスト向け Microsoft Entra ID ガバナンス ライセンス」を参照してください。

ライセンスの有効期限が切れたら PIM はどうなりますか?

Microsoft Entra ID P2 または Microsoft Entra ID ガバナンス ライセンスの有効期限が切れるか、試用版の期間が終了した場合、ディレクトリで Privileged Identity Management 機能が利用できなくなります。 以下で説明する変更は、Microsoft Entra 役割の PIM、Azure リソースの PIM、グループの PIM に適用されます。

  • アクティブな永続的な割り当ては影響を受けません。
  • アクティブな期限付き割り当てはアクティブな永続的になります。つまり、指定された時間に有効期限が切れなくなります。
  • ユーザーが今後特権ロールをアクティブ化できなくなるため、候補ロールの割り当ては削除されます。
  • ロールのアクティブ化、割り当ての管理、または特権ロールのアクセス レビューの実行のために、Microsoft Entra 管理センターまたは Azure portal の Privileged Identity Management ブレードと、Privileged Identity Management の API、および PowerShell インターフェイスを利用することはできなくなります。
  • Microsoft Entra ロールのすべての実行中のアクセス レビューが終了し、Privileged Identity Management の構成設定が削除されます。
  • ロールの割り当て変更や PIM アラートの際に、Privileged Identity Management から電子メールが送信されなくなります。

IGA の特徴と機能は Microsoft Entra ID P2 ライセンスに追加されますか?

現在一般公開されている Microsoft Entra ID P2 の機能はすべて残りますが、新しい IGA の特徴や機能は Microsoft Entra ID P2 SKU に追加されません。

次のステップ