マルチテナント防衛組織の アイデンティティ の要点
次のガイドでは、Microsoft Entra ID に焦点を当て、マルチテナント防衛組織のゼロ トラスト アイデンティティ の要点を示します。 ゼロ トラストは、機密情報の整合性と機密性を確保するための重要な戦略です。 ID はゼロ トラストの基本的な柱です。 Microsoft Entra ID は Microsoft のクラウド ID サービスです。 Microsoft Entra ID は、すべての Microsoft クラウドのお客様が使う重要なゼロ トラスト コンポーネントです。
アーキテクトと意思決定者は、防衛エンタープライズ戦略を構築する前に、Microsoft Entra ID のコア機能とゼロ トラストにおけるその役割を理解する必要があります。 防衛組織は、Microsoft Entra ID を採用することで、多くのゼロ トラスト要件を満たすことができます。 多くのユーザーは、既存の Microsoft 365 ライセンスを通じて、重要な Microsoft Entra 機能に既にアクセスしています。
Microsoft Entra テナント
Microsoft Entra ID のインスタンスは Microsoft Entra テナントと呼ばれます。 Microsoft Entra テナントは ID プラットフォームと境界です。 これは、組織の ID プラットフォームであり、使用する Microsoft クラウド サービスのセキュリティで保護された ID 境界です。 そのため、機密性の高い防衛 ID データを保護するのに最適です。
Microsoft Entra テナントの統合。 Microsoft では、組織ごとに 1 つの テナントを推奨しています。 1 つの Microsoft Entra テナントにすると、ユーザーと管理者にとって最もシームレスな ID 管理エクスペリエンスを実現できます。 最も包括的なゼロ トラスト機能が提供されます。 複数の Microsoft Entra テナントを持つ組織は、さまざまなユーザー、グループ、アプリケーション、ポリシーのセットを管理する必要があるため、コストが増え、管理が複雑になります。 1 つのテナントでもライセンス コストは最小限に抑えられます。
Microsoft 365、Azure サービス、Power Platform、基幹業務 (LOB) アプリケーション、サービスとしてのソフトウェア (SaaS) アプリケーション、その他のクラウド サービス プロバイダー (CSP) に 1 つの Microsoft Entra テナントを使ってみましょう。
Microsoft Entra ID と Active Directory。 Microsoft Entra ID は、Active Directory Domain Services (AD DS) が進化したものではありません。 テナントの概念は Active Directory フォレストに似ていますが、基になるアーキテクチャは異なります。 Microsoft Entra ID はハイパースケールで先進的なクラウドベースの ID サービスです。
初期ドメイン名とテナント ID。 各テナントには、一意の初期ドメイン名とテナント ID があります。 たとえば、Contoso という名前の組織に、Microsoft Entra ID の初期ドメイン名 contoso.onmicrosoft.com と Microsoft Entra Government の contoso.onmicrosoft.us があるとします。 テナント ID は、グローバル一意識別子 (GUID) です。 各テナントには、初期ドメインとテナント ID が 1 つだけ含まれます。 どちらの値も不変であり、テナントの作成後に変更することはできません。
ユーザーは、ユーザー プリンシパル名 (UPN) を使って Microsoft Entra アカウントにサインインします。 UPN は Microsoft Entra のユーザー属性であり、ルーティング可能なサフィックスを必要としています。 初期ドメインは、既定のルーティング可能なサフィックス (user@contoso.onmicrosoft.com) です。 よりフレンドリな UPN を作成して使用するために、カスタム ドメインを追加できます。 フレンドリな UPN は通常、ユーザーのメール アドレス (user@contoso.com) と一致します。 Microsoft Entra ID の UPN は、ユーザーの AD DS userPrincipalName と異なる場合があります。 AD DS のユーザー プリンシパル名の値がルーティングできない、またはテナント内の検証済みカスタム ドメインと一致しないサフィックスを使用している場合、UPN と AD DS のユーザー プリンシパル名は異なるのが一般的です。
カスタム ドメインは、1 つの Microsoft Entra テナント内でのみグローバルに確認できます。 カスタム ドメインは、Active Directory Domain Services (AD DS) フォレストなどのセキュリティや信頼の境界ではありません。 これらは、Microsoft Entra ユーザーのホーム テナントを識別するための DNS 名前空間です。
Microsoft Entra アーキテクチャ
Microsoft Entra ID には、ドメイン コントローラー、組織単位、グループ ポリシー オブジェクト、ドメインまたはフォレストの信頼、Flexible Single Master Operation (FSMO) ロールがありません。 Microsoft Entra ID は、サービスとしてのソフトウェアであり、ID 管理ソリューションです。 RESTful API を使って Microsoft Entra ID にアクセスできます。 Microsoft Entra ID によって保護されているリソースにアクセスするには、先進認証と認可プロトコルを使います。 ディレクトリはフラット構造で、リソースベースのアクセス許可を使用します。
各 Microsoft Entra テナントは、ID 管理データ用の高可用性データ ストアです。 ID、ポリシー、構成オブジェクトを格納し、Azure リージョン間でレプリケートします。 Microsoft Entra テナントは、重要な防衛情報に対応するデータの冗長性を備えています。
ID の種類
Microsoft Entra ID には 2 種類の ID があります。 2 種類の ID とは、ユーザーとサービス プリンシパルです。
ユーザー ユーザーは、Microsoft およびフェデレーション クラウド サービスにアクセスする個人の ID です。 ユーザーは、Microsoft Entra ID のインスタンスのメンバーまたはゲストにすることができます。 通常、メンバーは組織の内部におり、ゲストはミッション パートナーや防衛請負業者などの外部組織に属しています。 ゲスト ユーザーと組織間のコラボレーションの詳細については、「B2B コラボレーションの概要」を参照してください。
サービス プリンシパル。 サービス プリンシパルは、Microsoft Entra ID の非個人エンティティ (NPE) です。 サービス プリンシパルは、アプリケーション、サービスまたはオートメーションのアカウント、Azure リソースを表す場合があります。 オンプレミス サーバーのような Azure 以外のリソースでも、Microsoft Entra ID にサービス プリンシパルを持ち、他の Azure リソースと対話できます。 サービス プリンシパルは、防衛のワークフローを自動化し、防衛のオペレーションに不可欠なアプリケーションを管理する場合に役立ちます。 詳細については、Microsoft Entra ID プラットフォームのアプリケーションとサービス プリンシパルのオブジェクトに関するページを参照してください。
ID の同期。 Microsoft Entra Connect 同期または Microsoft Entra Connect クラウド同期を使って、Active Directory Domain Services 内のユーザー、グループ、コンピューター (デバイス) のオブジェクトを Microsoft Entra ID と同期できます。 このような構成は "ハイブリッド ID" と呼ばれています。
アクセス許可
Microsoft Entra ID では、従来のオンプレミスの Active Directory Domain Services (AD DS) とは異なる方法でアクセス許可が使われます。
Microsoft Entra ロール。 Microsoft Entra ディレクトリ ロールを使って Microsoft Entra ID のアクセス許可を割り当てます。 これらのロールが、特定の API とスコープへのアクセスを許可します。 全体管理者が Microsoft Entra ID で最上位の特権ロールです。 さまざまな制限付き管理機能に、多くのロールが組み込まれています。 攻撃対象領域を減らすために、詳細なアクセス許可を委任する必要があります。
重要
Microsoft は、アクセス許可が最も少ないロールを使用することを推奨しています。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。
昇格されたアクセス許可の割り当て。 セキュリティを強化し、不要な特権を減らすために、Microsoft Entra ID にはアクセス許可の割り当てに関する 2 つの原則が用意されています。
Just-In-Time (JIT): Microsoft Entra ID は Just-In-Time アクセスをサポートしています。 JIT 機能を使用すると、必要に応じて一時的にアクセス許可を割り当てることができます。 JIT アクセスにより、不要な特権の露出が最小限に抑えられ、攻撃対象領域が減ります。
Just-Enough-Admin (JEA): Microsoft Entra ID は Just-Enough-Admin 原則に従います。 組み込みのロールを使用すると、過剰なアクセス許可を付与せずに管理者タスクを委任できます。 管理単位によって、Microsoft Entra ロールのアクセス許可のスコープをさらに制限できます。
認証
Active Directory とは異なり、Microsoft Entra ID のユーザーはパスワードやスマートカード認証に限定されません。 Microsoft Entra ユーザーは、パスワードやその他の多くの認証と検証の方法を使用できます。 Microsoft Entra ID は先進認証プロトコルを使い、トークンベースの攻撃から保護し、疑わしいサインイン動作を検出します。
認証方法。 Microsoft Entra の認証方法には、スマートカード証明書と派生資格情報のネイティブ サポート、Microsoft Authenticator パスワードレス、FIDO2 セキュリティ キー (ハードウェア パスキー)、デバイス資格情報 (Windows Hello for Business など) が含まれます。 Microsoft Entra ID には、覚書 22-09 と DODCIO ゼロ トラスト戦略機能をサポートする、パスワードレスのフィッシングに強い方法が用意されています。
認証プロトコル。 Microsoft Entra ID は Kerberos、NTLM、または LDAP を使いません。 OpenID Connect、OAuth 2.0、SAML 2.0、SCIM など、インターネット経由での使用を意図とした先進的なオープン プロトコルが使用されます。 Entra は独自の認証に Kerberos を使用しませんが、ハイブリッドアイデンティティに対して Kerberos チケットを発行し、Azure Files をサポートし、オンプレミスリソースへのパスワードレスサインインを可能にします。 Entra アプリケーションプロキシを使用すると、Kerberos やヘッダーベースの認証などのレガシープロトコルのみをサポートするオンプレミスアプリケーションに対して、Entraシングルサインオンを構成できます。
トークン攻撃に対する保護。 従来の AD DS は、Kerberos ベースの攻撃の影響を受けやすくなります。 AD DS では、"ドメイン管理者" 向けの S-1-5-domain-512 など、既知のセキュリティ識別子 (SID) を使用するセキュリティ グループが使用されます。 ドメイン管理者がローカルまたはネットワークのサインインを実行すると、ドメイン コントローラーがドメイン管理者 SID を含む Kerberos チケットを発行し、資格情報キャッシュに格納します。 脅威アクターは、一般的に、Pass-the-Hash や Pass-the-Ticket などの横移動と特権エスカレーションの手法を使用して、このメカニズムを悪用します。
ただし、Microsoft Entra ID は Kerberos 攻撃の影響を受けません。 クラウドの同等の脅威は、「adversary-in-the-middle (AiTM)」テクニック、例えばセッションハイジャックやセッションリプレイなど、セッショントークン(サインイントークン)を盗む手法です。。 クライアント アプリケーション、Web アカウント マネージャー (WAM)、またはユーザーの Web ブラウザー (セッション Cookie) には、これらのセッション トークンが格納されます。 トークン盗難攻撃から保護するために、Microsoft Entra ID はトークンの使用を記録して再生を防ぎ、トークンをユーザーのデバイスに暗号化してバインドすることを要求することができます。
トークン盗難の詳細については、「トークン盗難プレイブック」を参照してください。
不審なサインイン動作を検出する。Microsoft Entra ID Protection では、リアルタイム検出とオフライン検出を組み合わせて危険なユーザーとサインイン イベントを特定します。 Entra 条件付きアクセスのリスク条件を使用して、アプリケーションへのアクセスを動的に制御またはブロックできます。 継続的アクセス評価 (CAE) を使用すると、クライアント アプリはユーザーのセッションの変更を検出して、ほぼリアルタイムでアクセス ポリシーを適用できます。
アプリケーション
Microsoft Entra ID は、Microsoft のアプリケーションとサービスだけのものではありません。 Microsoft Entra ID は、同じプロトコルを使用するアプリケーション、クラウド サービス プロバイダー、SaaS プロバイダー、または ID システムの ID プロバイダーにすることができます。 連合軍や請負業者との相互運用性のサポートが容易になります。
Policy Enforcement Point (PEP) と Policy Decision Point (PDP)。 Microsoft Entra ID は、ゼロ トラスト アーキテクチャにおける一般的な Policy Enforcement Point (PEP) と Policy Decision Point (PDP) です。 アプリケーションのセキュリティ ポリシーとアクセスの制御が適用されます。
Microsoft Entra ID Governance。Microsoft Entra ID Governance は Microsoft Entra の機能です。 ユーザー アクセスを管理し、アクセス ライフサイクルを自動化するのに役立ちます。 これにより、ユーザーはアプリケーションとリソースに適切かつタイムリーにアクセスできるようになります。
条件付きアクセス。 条件付きアクセスを使用すると、属性を使用して、アプリケーションの詳細な認可を行えるようになります。 さまざまな要因に基づいてアクセス ポリシーを定義できます。 要因には、ユーザー属性、資格情報の強度、アプリケーションの属性、ユーザーとサインインのリスク、デバイスの正常性、場所が含まれます。 詳細については、「ゼロ トラスト セキュリティ」を参照してください。
デバイス
Microsoft Entra ID では、デバイス管理を通じて Microsoft サービスに安全かつシームレスにアクセスできます。 Active Directory Domain Services の場合と同様に、Windows デバイスを管理して Microsoft Entra に参加させることができます。
登録済みデバイス。 ユーザーが Entra アカウントを使用してアプリケーションにサインインすると、デバイスは Entra テナントに登録されます 。 Entra デバイスの登録は、デバイス登録または Entra 参加と同じではありません。 ユーザーは、ローカルアカウントまたはMicrosoftアカウントを使用して登録されたデバイスにサインインします。 登録されているデバイスには、多くの場合、ユーザーの自宅の PC や個人用電話のような Bring Your Own Devices (BYOD) が含まれます。
Microsoft Entra 参加済みデバイス。 ユーザーがMicrosoft Entraに参加したデバイスにサインインすると、PINまたはジェスチャを使用してデバイスに紐づけられたキーがアンロックされます。 検証後、Microsoft Entra ID はデバイスにプライマリ更新トークン (PRT) を発行します。 この PRT により、Microsoft Teams などの Microsoft Entra ID で保護されたサービスへのシングル サインオン アクセスが容易になります。
Microsoft Endpoint Manager (Intune) に登録されている Microsoft Entra 参加済みデバイスは、条件付きアクセス内の許可制御としてデバイス コンプライアンスを使用できます。
Microsoft Entra ハイブリッド参加済みデバイス。Microsoft Entra ハイブリッド参加 では、Windows デバイスを Active Directory Domain Services と Microsoft Entra ID の両方に同時に接続できます。 これらのデバイスは、まず Active Directory に対してユーザーを認証してから、Microsoft Entra ID からプライマリ更新トークンを取得します。
Intune のマネージド デバイスとアプリケーション。Microsoft Intune は管理のためにデバイスの登録を容易にします。 Intune を使用すると、ユーザー デバイスの準拠状態とセキュリティで保護された状態を定義し、Microsoft Defender for Endpoint でデバイスを保護し、ユーザーが準拠デバイスを使用してエンタープライズ リソースにアクセスすることを要求できます。
Microsoft 365 と Azure
Microsoft Entra ID は Microsoft の ID プラットフォームです。 Microsoft 365 と Azure の両方のサービスを提供します。 Microsoft 365 サブスクリプションにより、Microsoft Entra テナントを作成して使います。 Azure サービスは Microsoft Entra テナントにも依存しています。
Microsoft 365 の ID。 Microsoft Entra ID は、Microsoft 365 内のすべての ID 操作に不可欠です。 ユーザーのサインイン、コラボレーション、共有、アクセス許可の割り当てを処理します。 Office 365、Intune、Microsoft Defender XDR サービスの ID 管理をサポートします。 ユーザーは、Word や Outlook などの Office アプリケーションにサインインしたり、OneDrive を使ってドキュメントを共有したり、外部ユーザーを SharePoint サイトに招待したり、Microsoft Teams で新しいチームを作成したりするたびに Microsoft Entra を使います。
Azure の ID。 Azure では、各リソースが Azure サブスクリプションに関連付けられ、サブスクリプションは 1 つの Microsoft Entra テナントにリンクされます。 Azure ロールをユーザー、セキュリティ グループ、サービス プリンシパルに割り当てることで、Azure リソースを管理するためのアクセス許可を委任します。
マネージド ID は、Azure リソースが他のリソースと安全に対話できるようにするために重要な役割を果たしています。 このようなマネージド ID が、Microsoft Entra テナント内のセキュリティ プリンシパルです。 アクセス許可は、最小限の特権で付与します。 Microsoft Graph など、Microsoft Entra ID によって保護されている API にアクセスするためのマネージド ID を認可できます。 Azure リソースでマネージド ID を使用する場合は、マネージド ID がサービス プリンシパル オブジェクトです。 サービス プリンシパル オブジェクトは、リソースに関連付けられているサブスクリプションと同じ Microsoft Entra テナント内に存在します。
Microsoft Graph
Microsoft Entra、Azure、Microsoft 365 用の Microsoft Web ポータルには、Microsoft Entra ID へのグラフィカル インターフェイスが用意されています。 Microsoft Graph と呼ばれる RESTful API を使って、Microsoft Entra オブジェクトと構成ポリシーの読み取りと更新を行うためのプログラムによるアクセスを自動化できます。 Microsoft Graph では、さまざまな言語のクライアントがサポートされています。 サポートされている言語には、PowerShell、Go、Python、Java、.NET、Ruby などがあります。 GitHub で Microsoft Graph リポジトリ をご確認ください。
Azure Government Clouds
パブリック (インターネットに接続された) ネットワークで使用できる Microsoft Entra サービスの防衛組織には、Microsoft Entra Global と Microsoft Entra Government という 2 種類のバージョンがあります。
Microsoft Entra Global。 Microsoft Entra Global は、商用の Microsoft 365 と Azure、Microsoft 365 GCC Moderate を対象としています。 Microsoft Entra Global のサインイン サービスは login.microsoftonline.com です。
Microsoft Entra Government。 Microsoft Entra Government は Azure Government (IL4)、DoD (IL5)、Microsoft 365 GCC High、Microsoft 365 DoD (IL5) です。 Microsoft Entra Government のサインイン サービスは login.microsoftonline.us です。
サービス URL。 Microsoft Entra サービスによって使われるサインイン URL は異なります。 その結果、個別の Web ポータルを使用する必要があります。 また、Azure と Microsoft 365 を管理するために、Microsoft Graph クライアントと PowerShell モジュールに接続するための環境スイッチも指定する必要があります ("表 1 を参照")。
表 1 Azure Government のエンドポイント。
| エンドポイント | グローバル | GCC High | DoD 影響レベル 5 (IL5) |
|---|---|---|---|
| Microsoft Entra 管理センター | entra.microsoft.com | entra.microsoft.us | entra.microsoft.us |
| Azure portal | portal.azure.com | portal.azure.us | portal.azure.us |
| Defender 管理センター | security.microsoft.com | security.microsoft.us | security.apps.mil |
| MS Graph PowerShell | Connect-MgGraph<br>-Environment Global |
Connect-MgGraph<br>-Environment USGov |
Connect-MgGraph<br>-Environment USGovDoD |
| Az PowerShell モジュール | Connect-AzAccount<br>-Environment AzureCloud |
Connect-AzAccount<br>-Environment AzureUSGovernment |
Connect-AzAccount<br>-Environment AzureUSGovernment |
| Azure CLI | az cloud set --name AzureCloud |
az cloud set --name AzureUSGovernment |
az cloud set --name AzureUSGovernment |