Azure Active Directory の機能を理解する
Microsoft Entra の一部であるAzure Active Directory (Azure AD) は、クラウド ベースの Microsoft 365 向け ID およびアクセス管理サービスです。
Azure AD を使用することで、ビジネス要件に基づいて、アプリとアプリ リソースへのアクセスを制御することができます。 たとえば、Azure AD を使用して、重要な組織のリソースにアクセスするときに、多要素認証を求めるようにすることができます。 さらに、Azure AD を使用して、既存の Windows Server AD と Microsoft 365 を含む使用しているクラウド アプリ間のユーザー プロビジョニングを自動化することもできます。 Azure AD は、ユーザー ID と資格情報を自動的に保護し、アクセス ガバナンス要件を満たすのに役立つ強力なツールを提供します。
Azure AD の機能
カテゴリ | 説明 |
---|---|
アプリケーションの管理 | アプリケーション プロキシ、シングル サインオン、マイ アプリ ポータル (アクセス パネルとも呼ばれる)、およびサービスとしてのソフトウェア (SaaS) アプリを使用して、クラウドアプリとオンプレミス アプリを管理します。 |
認証 | Azure Active Directory のセルフサービス パスワード リセット、多要素認証、カスタム禁止パスワード一覧、およびスマート ロックアウトを管理します。 |
開発者のための Azure Active Directory | すべての Microsoft ID にサインインするアプリをビルドし、トークンを取得して Microsoft Graph、その他の Microsoft API、またはカスタム API を呼び出します。 |
企業間 (B2B) | ゲストと外部パートナーを管理しながら、独自の企業データの管理を維持します。 |
企業-消費者間 (B2C) | アプリの使用時にユーザーがプロファイルをサインアップ、サインイン、および管理する方法をカスタマイズおよび制御します。 |
条件付きアクセス | クラウド アプリへのアクセスを管理します。 |
デバイスの管理 | クラウドまたはオンプレミスのデバイスが企業データにアクセスする方法を管理します。 |
ドメイン サービス | ドメイン コントローラーを使用せずに Azure 仮想マシンをドメインに参加させます。 |
エンタープライズ ユーザー | ライセンスの割り当て、アプリへのアクセスを管理し、グループと管理者の役割を使用して代理人を設定します。 |
ハイブリッド ID | Azure Active Directory の Connect and Connect Health を使用して、場所 (クラウドまたはオンプレミス) に関係なく、すべてのリソースに認証と認可を行う単一のユーザー ID を提供します。 |
ID ガバナンス | 従業員、ビジネス パートナー、ベンダー、サービス、およびアプリのアクセス制御を通じて、組織の ID を管理します。 アクセス レビューを実行することもできます。 |
Identity Protection | 組織の ID に影響を与える可能性のある脆弱性を検出し、疑わしいアクションに対応するためのポリシーを構成し、適切なアクションを実行して解決します。 |
Azure リソースの管理 ID | Azure AD で自動的に管理される ID を Azure サービスを提供します。これにより、Key Vault を含む Azure AD でサポートされているすべての認証サービスを認証できます。 |
Privileged Identity Management (PIM) | 組織内のアクセスを管理、制御、および監視します。 この機能には、Azure AD や Azure をはじめ、Microsoft 365 や Intune などの Microsoft Online サービスのリソースへのアクセスが含まれます。 |
レポートと監視 | 環境内のセキュリティと使用状況のパターンに関する分析情報を取得します。 |
Azure Active Directory と Microsoft 365 での外部コラボレーション
外部ユーザーと共同作業して、コンテンツを共有する際に最もよく使用される 3 つの方法は Microsoft Teams、SharePoint、そして OneDrive です。
Azure Active Directory (Azure AD) の企業間 (B2B) コラボレーションは、組織との共同作業にゲストを招待できる外部 ID 内の機能です。 B2B コラボレーションを使用すると、企業データの管理を維持しながら、他の組織のゲストと Microsoft 365 アプリケーションやサービスを安全に共有することができます。
Azure AD B2B では、パートナーはパートナー側の ID 管理ソリューションを使用しているため、お客様の組織に外部管理オーバーヘッドは発生しません。 ゲストは、自分の業務用、学校用、またはソーシャル ID を使用してアプリやサービスにサインインします。
パートナーは、パートナー側の ID と資格情報を使用します。Azure AD は必要ありません。
外部アカウントまたはパスワードを管理する必要はありません。
アカウントの同期もアカウントのライフ サイクルの管理も必要ありません。
Azure AD エンタイトルメント管理ライセンス要件
組織の従業員は、仕事を実行するためにさまざまなグループ、アプリケーション、サイトにアクセスする必要があります。 要件が変わるにつれて、このアクセスの管理は困難です。 企業組織は、多くの場合、次のようなリソースへの従業員アクセスを管理する際に課題に直面します。
ユーザーは、必要なアクセス権がわからない場合があります。また、アクセスを承認する適切な個人を見つけるのが困難な場合があります。
ユーザーがリソースへのアクセスを見つけて受け取ると、ビジネス目的で必要な時間よりも長くアクセスを続ける可能性があります。
これらの問題は、サプライ チェーン組織や他のビジネス パートナーからの外部ユーザーなど、別の組織からのアクセスが必要なユーザーに対して複合化されます。 たとえば、他の組織の誰が組織のリソースにアクセスする必要があるかがわからない場合があります。また、組織で使用されているアプリケーション、グループ、またはサイトが不明な場合があります。
Azure Active Directory (Azure AD) エンタイトルメント管理は、組織がアクセス要求ワークフロー、アクセス割り当て、レビュー、有効期限を自動化することで、大規模な ID とアクセスのライフサイクルを管理できるようにする ID ガバナンス機能 です。 Azure AD エンタイトルメント管理は、内部ユーザーのグループ、アプリケーション、SharePoint サイトへのアクセスをより効率的に管理するのに役立ちます。また、それらのリソースにアクセスする必要がある組織外のユーザーにも役立ちます。
エンタイトルメント管理を使用すると、アクセスが必要なユーザー、時間、リソースを把握しているユーザーであるため、これらの管理者以外のユーザーにアクセス ガバナンスを委任できます。 管理者以外に委任すると、適切なユーザーが自分の部署のアクセスを管理できるようになります。
アクセス パッケージ
エンタイトルメント管理では、アクセス パッケージの概念が Azure AD に導入されます。 アクセス パッケージは、ユーザーがプロジェクトで作業したり、タスクを実行したりする必要があるアクセス権を持つすべてのリソースのバンドルです。 アクセス パッケージは、組織内の従業員と組織外のユーザーのアクセスを管理するために使用されます。 エンタイトルメント管理を使用して、次のリソースへのユーザー アクセスを管理できます。
- Azure AD セキュリティ グループのメンバーシップ。
- Microsoft 365 グループと Teams のメンバーシップ。
- SaaS アプリケーションや、フェデレーション/シングル サインオンやプロビジョニングをサポートするカスタム統合アプリケーションなど、Azure AD エンタープライズ アプリケーションへの割り当て。
- SharePoint サイトのメンバーシップ。
Azure AD セキュリティ グループまたは Microsoft 365 グループに依存する他のリソースへのアクセスを制御することもできます。 たとえば、次のように指定できます。
- アクセス パッケージで Azure AD セキュリティ グループを使用し、そのグループのグループ ベースのライセンスを構成することで、Microsoft 365 のライセンス。
- アクセス パッケージ内の Azure AD セキュリティ グループを使用し、そのグループに対する Azure ロールの割り当てを作成することで、Azure リソースを管理するためのアクセス。
- アクセス パッケージの Azure AD ロールに割り当て可能なグループを使用し、そのグループに Azure AD ロールを割り当てることで、Azure AD ロールを管理するためのアクセス。