Microsoft Entra ID とは

完了

かつては似た名前が付いていましたが、Microsoft Entra ID は、Windows Server Active Directory のクラウド バージョンでは "ありません"。 また、オンプレミスの Active Directory を完全に置き換えることを目的としたものでもありません。 代わりに、Windows AD サーバーを既に使用している場合は、それを Microsoft Entra ID に接続して、ディレクトリを Azure に拡張できます。 この方法により、ユーザーは同じ資格情報を使用して、ローカル リソースとクラウドベースのリソースにアクセスできます。

ユーザーは、Windows AD とは独立して Microsoft Entra ID を使用することもできます。 小規模な企業では、Microsoft Entra ID を唯一のディレクトリ サービスとして使用して、所有するアプリケーションや Microsoft 365、Salesforce、Dropbox などの SaaS 製品へのアクセスを制御することができます。

Note

このアプローチでは、完全に集中管理された管理モデルが提供されないことに注意してください。たとえば、ローカルの Windows マシンではローカルの資格情報を使用して認証が行われます。 ユーザーは、Microsoft Entra ID を使用し、ユーザーによって 1 か所で管理される認証と認可を提供するようにアプリケーションを作成できます。

ディレクトリ、サブスクリプション、およびユーザー

Microsoft では現在、複数のクラウドベースのサービスを提供しています。そのすべてで、Microsoft Entra ID を使用して、ユーザーを識別し、アクセスを制御することができます。

• Microsoft Azure
• Microsoft 365
• Microsoft Intune
• Microsoft Dynamics 365

企業または組織が、これらのサービスの 1 つを使用するためにサインアップすると、既定の "ディレクトリ"、つまり Microsoft Entra ID のインスタンスが割り当てられます。 このディレクトリには、企業が購入した各サービスにアクセスできるユーザーとグループが保持されます。 この既定のディレクトリは、"テナント" と呼ぶこともあります。 テナントは、組織と、それに割り当てられた既定のディレクトリを表します。

Azure の "サブスクリプション" は、課金エンティティおよびセキュリティ境界の両方です。 仮想マシン、Web サイト、データベースなどのリソースは、単一サブスクリプションに関連付けられます。 また、各サブスクリプションには、アカウント "所有者" が 1 人おり、そのサブスクリプションのリソースによって発生するすべての料金に対して責任があります。 組織でサブスクリプションの料金を別のアカウントに対して請求する場合は、サブスクリプションを譲渡することができます。 サブスクリプションは、単一の Microsoft Entra ディレクトリに関連付けられます。 複数のサブスクリプションが同じディレクトリを信頼できますが、1 つのサブスクリプションは 1 つのディレクトリだけを信頼できます。

ユーザーとグループを複数のサブスクリプションに追加できます。 これにより、ユーザーはサブスクリプションのリソースを作成、制御、およびアクセスできます。 ユーザーをサブスクリプションに追加する場合は、次の図に示すように、関連付けられているディレクトリに対してユーザーが認識されている必要があります。

複数のディレクトリに属している場合は、Azure portal ヘッダーの ディレクトリ + サブスクリプション」 ボタンを使用して、作業中の現在のディレクトリを切り替えることができます。

既定のディレクトリを選択する方法 (最後にアクセスしたディレクトリ、または特定のディレクトリ) も決定できます。 また、表示されるサブスクリプションに対して既定のフィルターを設定することもできます。 既定のフィルターは、複数のサブスクリプションにアクセスできるが、通常はその中のいくつかのみで作業する場合に便利です。

新しいディレクトリを作成します。

Note

これらのタスクの多くは、Azure portal または Microsoft Entra 管理センターで実行できます。 このチュートリアルでは、特に断りのない限り、ほとんどのタスクに Microsoft Entra 管理センターを使います。

組織 (テナント) には、1 つの既定の Microsoft Entra ディレクトリが関連付けられています。 しかし、所有者は追加のディレクトリを作成して、開発またはテストの目的をサポートできます。あるいは、別のディレクトリを用意して、ローカルの Windows Server AD フォレストと同期させたい場合もあります。

重要

新しいディレクトリを作成する手順は次のとおりです。ただし、Azure アカウントの所有者でない場合、このオプションは使用できません。 Azure サンドボックスでは、新しい Microsoft Entra ディレクトリを作成することはできません。

1. Azure portal にサインインします。

2. Azure ホーム ページの [Azure サービス] で、[リソースの作成] を選択します。

3. 左側のメニュー ウィンドウで [ID] を選択し、[Microsoft Entra ID] を検索して選択します。

4. ［作成］ を選択します

5. テナントの種類として [Microsoft Entra ID] を選択し、[次へ: 構成] を選択します。

6. 各設定に対して次の値を入力します。

   • 組織名: 他のディレクトリと区別できるように、ディレクトリの名前を入力します。 作成するディレクトリは運用環境で使用されます。ユーザーが組織の名前として認識できる名前を設定します。 名前は必要に応じて後で変更できます。

   • 初期ドメイン名: 組織に関連付けられているドメイン名を入力します。 ドメインが不明な場合、または見つからない場合は、検証エラーが発生します。 既定のドメイン名には、常に .onmicrosoft.com というサフィックスが付きます。 既定のドメインを変更することはできません。 必要に応じて、定義されたユーザーが従来の会社のメール (john@contoso.com など) を使用できるように、組織が所有するカスタム ドメインを追加できます。

   • 国/リージョン: ディレクトリが存在する国/リージョンを選択します。 国や地域によって Microsoft Entra インスタンスが存在するリージョンとデータ センターが示されます。後でこれを変更することはできません。

   

7. [作成] を選択して、新しいディレクトリを作成します。 Free レベルのディレクトリが作成され、ユーザーの追加、ロールの作成、アプリとデバイスの登録、ライセンスの制御を行うことができます。

ディレクトリを作成したら、[ここをクリックして新しいテナントを管理する] を選択して、すべてのディレクトリの側面を制御できる概要ダッシュボードにアクセスします。

Microsoft Entra ID で使用する主な要素の 1 つであるユーザーを確認しましょう。

自分の知識をチェックする

1.

Azure サブスクリプションは _______________ です。

課金エンティティとセキュリティ境界。

ユーザーを保持するコンテナー。

Azure サービスの月額料金。

2.

サブスクリプションと Microsoft Entra ディレクトリの関係を最も適切に説明しているのは次のうちどれですか。

Microsoft Entra ディレクトリには、サブスクリプションと 1:1 の関係がある。

Microsoft Entra ID ディレクトリは複数のサブスクリプションに関連付けることができるが、サブスクリプションが結び付けられるディレクトリは常に 1 つである。

Microsoft Entra ディレクトリは 1 つのサブスクリプションに関連付けられるが、サブスクリプションは複数のディレクトリを信頼することができる。

3.

正誤問題。組織は複数の Microsoft Entra ディレクトリを持つことができる。

正

いいえ

作業を確認する前にすべての問題に回答する必要があります。