Microsoft Entra ライセンス
この記事では、Microsoft Entra 製品ファミリのライセンス オプションについて説明します。 これは、組織に対して Microsoft Entra ソリューションを検討しているセキュリティ意思決定者、ID およびネットワーク アクセス管理者、IT プロフェッショナルを対象としています。
Entra のライセンス オプション
Microsoft Entra は、ニーズに最も適したパッケージを選択できるいくつかのライセンス オプションで利用できます。
Note
このページのライセンス オプションがすべてではありません。 さまざまなオプションの詳細については、Microsoft Entra の価格ページと、Microsoft 365 Enterprise のプランと価格の比較ページを参照してください。
Microsoft Entra ID Free - Microsoft Azure、Microsoft 365 などの Microsoft クラウド サブスクリプションに含まれています。
Microsoft Entra ID P1 - Microsoft Entra ID P1 は、スタンドアロン プロダクトとして使用できるほか、大企業向けの Microsoft 365 E3 および中小企業向けの Microsoft 365 Business Premium に含まれています。
Microsoft Entra ID P2 - Microsoft Entra ID P2 は、スタンドアロン プロダクトとして使用できるほか、大企業向けの Microsoft 365 E5 に含まれています。
Microsoft Entra スイート - このスイートは、Microsoft Entra 製品を組み合わせて、従業員のアクセス権をセキュリティで保護します。 これを使用すると、管理者は、クラウドにあるかオンプレミスにあるかに関係なく任意のアプリやリソースへの任意の場所からの安全なアクセス権を提供しながら、最小限の特権アクセス権を確保できます。 Microsoft Entra ID P1 サブスクリプションが必要です。 Microsoft Entra スイートには、次の 5 つの製品が含まれています。
- Microsoft Entra プライベート アクセス
- Microsoft Entra インターネット アクセス
- Microsoft Entra ID Governance
- Microsoft Entra ID Protection
- Microsoft Entra Verified ID (Premium 機能)
アプリ プロビジョニング
Microsoft Entra アプリケーション プロキシには、Microsoft Entra ID P1 または P2 ライセンスが必要です。 ライセンスの詳細については、「Microsoft Entra の価格」を参照してください。
認証
次の表に、さまざまなバージョンの Microsoft Entra ID の認証に使用できる機能を示します。 ユーザーのサイン情報のセキュリティ保護に必要なものを詳しく検討し、その要件を満たす方法を決定します。 たとえば、Microsoft Entra ID Free では多要素認証によるセキュリティの既定値群が提供されますが、認証プロンプトに使用できるのはテキストや音声通話を含む Microsoft Authenticator のみです。 ユーザーの個人用デバイスに Authenticator がインストールされていることを確認できない場合、この方法は成約を受けるかもしれません。
| 機能 | Microsoft Entra ID Free - セキュリティの既定値群 (すべてのユーザーに対して有効) | Microsoft Entra ID Free - グローバル管理者のみ | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| MFA で Microsoft Entra テナント管理者アカウントを保護する | ✅ | ✅ (Microsoft Entra 全体管理者アカウントの場合のみ) | ✅ | ✅ | ✅ |
| モバイル アプリを 2 番目の要素にする | ✅ | ✅ | ✅ | ✅ | ✅ |
| 音声通話を 2 番目の要素にする | ✅ | ✅ | ✅ | ||
| SMS を 2 番目の要素にする | ✅ | ✅ | ✅ | ✅ | |
| 検証方法の管理制御 | ✅ | ✅ | ✅ | ✅ | |
| 不正アクセスのアラート | ✅ | ✅ | |||
| MFA レポート | ✅ | ✅ | |||
| 音声通話のカスタムあいさつ文 | ✅ | ✅ | |||
| 音声通話のカスタム発信元 ID | ✅ | ✅ | |||
| 信頼できる IP | ✅ | ✅ | |||
| 信頼済みデバイスの MFA の記憶 | ✅ | ✅ | ✅ | ✅ | |
| オンプレミス アプリケーション用の MFA | ✅ | ✅ | |||
| 条件付きアクセス | ✅ | ✅ | |||
| リスクベースの条件付きアクセス | ✅ | ||||
| セルフサービス パスワード リセット (SSPR) | ✅ | ✅ | ✅ | ✅ | ✅ |
| 書き戻しを使用した SSPR | ✅ | ✅ |
マネージド ID
Azure リソース用マネージド ID を使用するためのライセンス要件はありません。 Azure リソースのマネージド ID は、Microsoft Entra 認証をサポートするリソースに接続するときにアプリケーションが使用する自動的にマネージド ID を提供します。 マネージド ID を使用するベネフィットの 1 つは、資格情報を管理する必要がなく、追加料金なしで使用できることです。 詳細については、「Azure リソースのマネージド ID とは」を参照してください。
Microsoft Entra ID Governance
次の表は、Microsoft Entra ID ガバナンス機能のライセンス要件を示しています。 Microsoft Entra スイートには、Azure AD Identity Governance のすべての機能が含まれています。 ライセンス情報と、エンタイトルメント管理、アクセス レビュー、ライフサイクル ワークフローのライセンス シナリオの例を表の後に示します。
ライセンス別の機能
次の表は、各ライセンスので使用できる機能を示しています。 すべての機能がすべてのクラウドで使用できるわけではありません。Azure Government の「Microsoft Entra 機能の可用性」を参照してください。
エンタイトルメント管理
組織のユーザーがこの機能を使うには、Microsoft Entra ID Governance のサブスクリプションが必要です。 この機能に含まれる一部の機能は、Microsoft Entra ID P2 サブスクリプションで動作する場合があります。
ライセンスのシナリオ例
必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。
| シナリオ | 計算 | ライセンス数 |
|---|---|---|
| Woodgrove Bank の ID ガバナンス管理者が初期カタログを作成します。 ポリシーの 1 つで、すべての従業員 (2,000 の従業員) は特定のアクセス パッケージのセットを要求できることが指定されています。 150 人の従業員がアクセス パッケージを要求します。 | アクセス パッケージを要求できる 2,000 人の従業員 | 2,000 |
| Woodgrove Bank の ID ガバナンス管理者が初期カタログを作成します。 ポリシーの 1 つで、すべての従業員 (2,000 の従業員) は特定のアクセス パッケージのセットを要求できることが指定されています。 150 人の従業員がアクセス パッケージを要求します。 | 2,000 人の従業員にライセンスが必要です。 | 2,000 |
| Woodgrove Bank の ID ガバナンス管理者が初期カタログを作成します。 営業部門のすべてのメンバー (350 人の従業員) に特定のアクセス パッケージへのアクセス権を付与する自動割り当てポリシーを作成します。 350 人の従業員がアクセス パッケージに自動的に割り当てられます。 | 350 人の従業員にライセンスが必要です。 | 351 |
アクセス レビュー
この機能を使用するには、アクセスをレビューしているやアクセスがレビューしされているすべての従業員を含む、組織のユーザー向けの Microsoft Entra ID ガバナンス サブスクリプションが必要です。 この機能に含まれる一部の機能は、Microsoft Entra ID P2 サブスクリプションで動作する場合があります。
ライセンスのシナリオ例
必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。
| シナリオ | 計算 | ライセンス数 |
|---|---|---|
| 管理者は、ユーザーが 75 人でグループ所有者が 1 人のグループ A のアクセス レビューを作成し、そのグループ所有者をレビュー担当者として割り当てます。 | レビュー担当者としてのグループ所有者のライセンスが 1 つ、75 人のユーザーに対して 75 ライセンス。 | 76 |
| 管理者は、ユーザーが 500 人でグループ所有者が 3 人のグループ B のアクセス レビューを作成し、その 3 人のグループ所有者をレビュー担当者として割り当てます。 | ユーザーには 500 ライセンス、レビュー担当者としてグループ所有者ごとに 3 つのライセンス。 | 503 |
| 管理者は、ユーザーが 500 人のグループ B のアクセス レビューを作成します。 自己レビューにします。 | 自己レビュー担当者としての各ユーザー用に 500 ライセンス | 500 |
| 管理者は、メンバー ユーザーが 50 人のグループ C のアクセス レビューを作成します。 自己レビューにします。 | 自己レビュー担当者としての各ユーザー用に 50 ライセンス。 | 50 |
| 管理者は、メンバー ユーザーが 6 人のグループ D のアクセス レビューを作成します。 自己レビューにします。 | 自己レビュー担当者としての各ユーザー用に 6 ライセンス。 その他のライセンスは不要です。 | 6 |
ライフサイクル ワークフロー
ライフサイクル ワークフローの Entra Governance ID ライセンスを使用すると、次のことができます:
- 合計 50 ワークフローまで作成、管理、削除できます。
- オンデマンドおよびスケジュールされたワークフロー実行をトリガーします。
- 既存のタスクを管理および構成して、ニーズに固有のワークフローを作成します。
- ワークフローで使用するカスタム タスク拡張機能を最大 100 個作成します。
組織のユーザーがこの機能を使うには、Microsoft Entra ID Governance のサブスクリプションが必要です。
ライセンスのシナリオ例
| シナリオ | 計算 | ライセンス数 |
|---|---|---|
| ライフサイクル ワークフロー管理者はワークフローを作成し、マーケティング部門の新入社員をマーケティング チーム グループに追加します。 250 人の新入社員は、一度このワークフローを介して、マーケティング チーム グループに割り当てられます。 他の 150 人の新入社員は、同年の後半にこのワークフローを介して、マーケティング チーム グループに割り当てられます。 | ライフサイクル ワークフロー管理者に 1 ライセンス、ユーザーに 400 ライセンス。 | 401 |
| ライフサイクル ワークフロー管理者は、雇用最終日の前に従業員のグループに事前オフボードするためのワークフローを作成します。 事前オフボードされるユーザーの範囲は、一度に 40 人です。 40 人のライセンスユーザーをオフボードします。 これらの 40 ライセンスを再割り当てし、今年の後半にさらに 10 ライセンスを割り当てることにより、さらに 50 人のユーザーを事前オフボードできます。 | ユーザーに 50 ライセンス、ライフサイクル ワークフロー管理者に 1 ライセンス。 | 51 |
Microsoft Entra Connect
この機能の使用は無料で、Azure サブスクリプションに含まれています。
Microsoft Entra Connect Health
この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 自分の要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。
Microsoft Entra 条件付きアクセス
この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 自分の要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。
Microsoft 365 Business Premium ライセンスをお持ちのお客様も、条件付きアクセス機能を利用できます。
リスクベースのポリシーは、Microsoft Entra ID P2 機能である Microsoft Entra ID 保護へのアクセスが必要です。
Microsoft Entra スイートには、すべての Microsoft Entra 条件付きアクセス機能が含まれています。
条件付きアクセス ポリシーと対話する可能性のあるその他の製品と機能には、それらの製品と機能に対する適切なライセンスが必要です。
条件付きアクセスに必要なライセンスの有効期限が切れても、ポリシーが自動的に無効にされたり削除されたりすることはありません。 そのため、お客様は、セキュリティ体制を急激に変更することなく、条件付きアクセス ポリシーから移行できます。 残りのポリシーは表示および削除できますが、更新できなくなります。
セキュリティの既定値は ID 関連の攻撃を防止するのに役立ち、すべての顧客が利用できます。
Microsoft Entra Domain Services
Microsoft Entra Domain Services の使用は、テナント所有者によって選択された SKU に基づいて、1 時間ごとに課金されます。
Microsoft 外部 ID
Microsoft Entra 外部 ID のコア機能は、最初の 50,000 人の月間アクティブ ユーザーに無料で提供されます。 その他のライセンス情報については、外部 ID に関する FAQ を参照してください
Microsoft Entra ID Protection
この機能を使用するには、Microsoft Entra ID P2 ライセンスが必要です。 自分の要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。
| 機能 | 詳細 | Microsoft Entra ID Free / Microsoft 365 Apps | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra スイート |
|---|---|---|---|---|---|
| リスク ポリシー | ログインとユーザー リスク ポリシー (条件付きアクセスを介して) | いいえ | 番号 | イエス | はい |
| セキュリティ レポート | 概要 | いいえ | 番号 | イエス | はい |
| セキュリティ レポート | 危険なユーザー | 限定的な情報。 リスクの程度が中から高のユーザーのみが表示されます。 詳細ドロアーやリスクの履歴は提供されません。 | 限定的な情報。 リスクの程度が中から高のユーザーのみが表示されます。 詳細ドロアーやリスクの履歴は提供されません。 | フル アクセス | はい |
| セキュリティ レポート | リスクの高いサインイン | 限定的な情報。 リスクの詳細やリスク レベルは表示されません。 | 限定的な情報。 リスクの詳細やリスク レベルは表示されません。 | フル アクセス | はい |
| セキュリティ レポート | リスク検出 | いいえ | 限定的な情報。 詳細ドロアーは提供されません。 | フル アクセス | はい |
| 通知 | 危険な状態のユーザーが検出されたアラート | いいえ | 番号 | イエス | はい |
| 通知 | 週間ダイジェスト | いいえ | 番号 | イエス | はい |
| MFA 登録ポリシー | いいえ | 番号 | イエス | はい |
Microsoft Entra インターネット アクセス
Microsoft Entra Internet Access は、単独で、または Microsoft Entra スイートの一部として利用できます。
Microsoft Entra の監視と正常性
必要なロールとライセンスは、レポートによって異なる場合があります。 Microsoft Graph の監視データと正常性データにアクセスするには、個別のアクセス許可が必要です。 ゼロ トラスト ガイダンスに沿うには、最低特権アクセス権を持つ役割を使用することをお勧めします。 ロールの完全な一覧については、「タスク別の特権ロール」を参照してください。
| ログ/レポート | ロール | ライセンス |
|---|---|---|
| 監査ログ | レポート閲覧者 セキュリティ閲覧者 セキュリティ管理者 |
Microsoft Entra ID のすべてのエディション |
| サインイン ログ | レポート閲覧者 セキュリティ閲覧者 セキュリティ管理者 |
Microsoft Entra ID のすべてのエディション |
| プロビジョニング ログ | レポート閲覧者 セキュリティ閲覧者 アプリケーション管理者 クラウド アプリ管理者 |
Microsoft Entra ID P1 または P2 |
| カスタム セキュリティ属性の監査ログ* | 属性ログ管理者 属性ログ閲覧者 |
Microsoft Entra ID のすべてのエディション |
| 正常性 | レポート閲覧者 Security Reader ヘルプデスク管理者 |
Microsoft Entra ID P1 または P2 |
| Microsoft Entra ID 保護** | セキュリティ管理者 セキュリティ オペレーター Security Reader グローバル閲覧者 |
Microsoft Entra ID Free Microsoft 365 アプリ Microsoft Entra ID P1 または P2 |
| Microsoft Graph アクティビティ ログ | セキュリティ管理者 対応するログ保存先のデータにアクセスするためのアクセス許可 |
Microsoft Entra ID P1 または P2 |
| 使用状況と分析情報 | レポート閲覧者 セキュリティ閲覧者 セキュリティ管理者 |
Microsoft Entra ID P1 または P2 |
*監査ログでカスタム セキュリティ属性を表示するか、カスタム セキュリティ属性の診断設定を作成するには、いずれかの属性ログのロールが必要です。 標準の監査ログを閲覧するための適切な役割も必要です。
**Microsoft Entra ID 保護のアクセス レベルと機能は、役割とライセンスによって異なります。 詳細については、「ID 保護のライセンス要件」を参照してください。
Microsoft Entra Permissions Management
Permissions Management は、アマゾン ウェブ サービス (AWS)、Microsoft Azure、および Google Cloud Platform にわたるすべてのリソースをサポートしますが、ライセンスを必要とするのは請求対象リソースのみです。
Microsoft Entra プライベート アクセス
Microsoft Entra Private Access は、単独で、または Microsoft Entra スイートの一部として利用できます。
Microsoft Entra Privileged Identity Management
Microsoft Entra Privileged Identity Management を使用するには、テナントに有効なライセンスが必要です。 また、管理者と関連ユーザーにライセンスを割り当てることも必要です。 この記事では、Privileged Identity Management を使用するためのライセンス要件について説明します。 Privileged Identity Management を使用するには、次のライセンスのいずれかが必要です。
PIM の有効なライセンス
PIM とそのすべての設定を使用するには、Microsoft Entra ID ガバナンス ライセンスまたは Microsoft Entra ID P2 ライセンスが必要です。 現時点では、アクセス レビューのスコープを、Microsoft Entra ID へのアクセス権を持つサービス プリンシパルと、テナントで Microsoft Entra ID P2 または Microsoft Entra ID ガバナンス エディションがアクティブになっているユーザーの Azure リソース ロールに設定できます。 サービス プリンシパルのライセンス モデルは、この機能の一般提供のために終了する予定です。このため、追加のライセンスが必要になる場合があります。
PIM に必要なライセンス
次のユーザー カテゴリについて、お使いのディレクトリに Microsoft Entra ID P2 または Microsoft Entra ID ガバナンスのライセンスがあることを確認します:
- PIM を使用して管理される Microsoft Entra ID または Azure ロールへの適格な割り当てや期限付き割り当てを持つユーザー
- グループの PIM のメンバーまたは所有者として、資格のある割り当てまたは期限付きの割り当てを持つユーザー
- PIM でアクティブ化要求を承認または却下できるユーザー
- アクセス レビューに割り当てられたユーザー
- アクセス レビューを実行するユーザー
PIM のライセンスのシナリオ例
必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。
| シナリオ | 計算 | ライセンス数 |
|---|---|---|
| Woodgrove Bank には、各部門に 10 人の管理者がいて、PIM を構成および管理する特権ロール管理者が 2 人います。 5 人の管理者を対象とします。 | 資格のある管理者用の 5 ライセンス | 5 |
| Graphic Design Institute には 25 人の管理者がいて、そのうちの 14 人は PIM で管理されています。 ロールのアクティブ化には承認が必要であり、組織にはアクティブ化を承認できるユーザーが 3 人います。 | 資格のあるロール用の 14 ライセンス + 3 承認者 | 17 |
| Contoso には 50 人の管理者がいて、そのうちの 42 人は PIM で管理されています。 ロールのアクティブ化には承認が必要であり、組織にはアクティブ化を承認できるユーザーが 5 人います。 また、Contoso では、管理者ロールに割り当てられているユーザーのレビューが毎月行われており、レビュー担当者はユーザーのマネージャーで、そのうちの 6 人は PIM によって管理される管理者ロールにはなっていません。 | 資格のあるロール用の 42 ライセンス + 5 承認者 + 6 レビュー担当者 | 53 |
PIM のライセンスの有効期限が切れた場合
Microsoft Entra ID P2、Microsoft Entra ID Governance、または試用版のライセンスの有効期限が切れた場合、お使いのディレクトリで Privileged Identity Management の機能を使用できなくなります。
- Microsoft Entra ロールへの永続的なロールの割り当てには影響しません。
- 特権ロールのアクティブ化、特権アクセスの管理、または特権ロールのアクセス レビューの実行のために、Microsoft Entra 管理センターの Privileged Identity Management サービスと、Privileged Identity Management の Graph API コマンドレットおよび PowerShell インターフェイスを利用することはできなくなります。
- ユーザーが特権ロールをアクティブ化できなくなったので、Microsoft Entra ロールの有資格ロールの割り当ては削除されます。
- Microsoft Entra ロールのすべての実行中のアクセス レビューが終了し、Privileged Identity Management の構成設定が削除されます。
- ロールの割り当てを変更しても、Privileged Identity Management からメールが送信されなくなります。
Microsoft Entra Verified ID
Microsoft Entra Verified ID は、Microsoft Entra ID Free を含むすべての Microsoft Entra ID サブスクリプションに追加料金なしで含まれています。 Verified ID のコア機能は、組織の次の作業に役立ちます。
- 一意の ID 属性に対する組織の資格情報を検証および発行する。
- エンド ユーザーにデジタル資格情報の所有権を付与し、より高い可視性を提供する
- 組織のリスクを軽減し、監査プロセスを簡素化する
- Verified ID の資格情報を使用するユーザー中心のサーバーレス アプリを作成する。
Microsoft Entra Verified ID は、アドオンとして利用でき、Microsoft Entra スイートに含まれている Premium 機能として顔チェックも提供します (1 ユーザーごとに 1 か月に 8 回までの顔チェックに制限されています)。
Microsoft Entra ワークロード ID
Microsoft Entra ワークロード ID は、Azure のアプリケーション ID とサービス プリンシパルをサポートし、毎月ワークロード ID ごとにライセンスが必要です。
マルチテナント組織
ソース テナント内: この機能を使用するには、Microsoft Entra ID P1 のライセンスが必要です。 テナント間同期で同期される各ユーザーは、ホーム/ソース テナントに P1 ライセンスを持っている必要があります。 要件に適したライセンスを見つけるには、「Microsoft Entra ID のプランと価格」を参照してください。
ターゲット テナント内: テナント間同期は、Microsoft Entra 外部 ID の課金モデルに依存します。 外部 ID のライセンス モデルを理解するには、「Microsoft Entra 外部 IDの MAU 課金モデル」を参照してください。 また、自動引き換えを有効にするには、ターゲット テナントに少なくとも 1 つの Microsoft Entra ID P1 ライセンスが必要です。
マルチテナント組織のすべての機能は、Microsoft Entra スイートの一部として含まれています。
ロールベースのアクセス制御
Microsoft Entra ID では組み込みロールを無料で使用できます。 カスタム ロールを使用するには、カスタム ロールの割り当てを持つすべてのユーザーに対して Microsoft Entra ID P1 ライセンスが必要です。 ご自分の要件に対して適切なライセンスを探すには、一般公開されている Free および Premium エディションの機能比較に関するページをご覧ください。
ロール
管理単位
管理単位を使用するには、管理単位のスコープを介してロールを直接割り当てられている管理単位の各管理者に Microsoft Entra ID P1 ライセンスが必要です。また、管理単位の各メンバーには Microsoft Entra ID Free ライセンスが必要です。 管理単位の作成は、Microsoft Entra ID Free ライセンスで行うことができます。 管理単位に動的メンバーシップ グループのルールを使用している場合は、各管理単位メンバーに Microsoft Entra ID P1 ライセンスが必要です。 要件に合ったライセンスを見つけるには、「一般公開されている無料と Premium Edition の機能の比較」を参照してください。
制限付き管理の管理単位
制限付き管理の管理単位には、それぞれの管理単位管理者用の Microsoft Entra ID P1 ライセンスと、管理単位メンバー用の Microsoft Entra ID Free ライセンスが必要です。 ご自分の要件に対して適切なライセンスを探すには、一般公開されている Free および Premium エディションの機能比較に関するページをご覧ください。
プレビュー段階の機能
現在プレビュー段階にある機能のライセンス情報は、該当する場合はここに含まれています。 プレビュー機能の詳細については、「Microsoft Entra ID プレビュー機能」を参照してください。