Microsoft Entra ID について調べる

完了

学生は、Active Directory Domain Services (AD DS または単なる旧称 "Active Directory") に精通している必要があります。 AD DS は、ユーザー アカウントやパスワードなどのディレクトリ データを格納する方法を提供し、このデータをネットワーク ユーザー、管理者、その他のデバイスやサービスで使用できるようにするディレクトリ サービスです。 これは、ドメイン コントローラーと呼ばれる Windows Server 上のサービスとして実行されます。

Microsoft Entra ID は、サービスとしてのプラットフォーム (PaaS) オファリングの一部であり、クラウドで Microsoft マネージド ディレクトリ サービスとして動作します。 これは、顧客が所有および管理するコア インフラストラクチャに含まれるものではなく、サービスとしてのインフラストラクチャ オファリングでもありません。 これは実装を制御できる範囲が少ないことを意味しますが、デプロイまたはメンテナンスに専用のリソースを割り当てる必要がないことも意味します。

Microsoft Entra ID では、多要素認証、ID 保護、セルフサービス パスワード リセットのサポートなど、AD DS でネイティブには使用できない一連の機能にもアクセスできます。

Microsoft Entra ID を使用すると、次の方法で、組織や個人がクラウドベースのリソースに、より安全にアクセスすることを実現できます。

  • アプリケーションへのアクセスの構成
  • クラウドベースの SaaS アプリケーションに対するシングル サインオン (SSO) の構成
  • ユーザーとグループの管理
  • ユーザーのプロビジョニング
  • 組織間のフェデレーションの有効化
  • ID 管理ソリューションの提供
  • 不規則なサインイン アクティビティの特定
  • 多要素認証の構成
  • オンプレミスで実装されている既存の Active Directory の Microsoft Entra ID への拡張
  • クラウドおよびローカル アプリケーションのアプリケーション プロキシの構成
  • ユーザーとデバイスに対する条件付きアクセスの構成

Microsoft Entra Connect スタックを示す図。

Microsoft Entra は独立した Azure サービスを構成します。 新しい Azure サブスクリプションに自動的に含まれる最も基本的な形式では、追加コストは発生しないため、Free レベルと呼ばれます。 Microsoft Online ビジネス サービス (Microsoft 365、Microsoft Intune など) をサブスクライブすると、Microsoft Entra ID を自動的に入手し、すべての Free 機能を利用できるようになります。

Note

既定では、Microsoft アカウントを使用して新しい Azure サブスクリプションを作成すると、そのサブスクリプションには Default Directory という名前の新しい Microsoft Entra テナントが自動的に含まれます。

より高度な ID 管理機能の一部には、Basic と Premium のレベルの形式で提供される有料バージョンの Microsoft Entra ID が必要です。 これらの機能の一部は、Microsoft 365 サブスクリプションの一部として生成された Microsoft Entra インスタンスにも自動的に含まれます。 Microsoft Entra のバージョン間の違いについては、このモジュールの後半で説明します。

Microsoft Entra ID の実装は、Azure に仮想マシンをデプロイし、AD DS を追加し、その後新しいフォレストやドメイン用にドメイン コントローラーをデプロイすることと同じではありません。 Microsoft Entra ID は別のサービスであり、オンプレミス アプリに重点を置いた AD DS とは異なり、Web ベースのアプリに ID 管理サービスを提供することに重点を置きます。

Microsoft Entra テナント

AD DS と異なり、Microsoft Entra ID はマルチテナントとして設計されており、特に、個々のディレクトリ インスタンスが確実に分離されるように実装されています。 これは、100 万個を超えるディレクトリ サービス インスタンスをホストし、1 週間あたり数十億の認証要求がある、世界最大のマルチテナント ディレクトリです。 このコンテキストでテナントという用語は、通常、Microsoft 365、Microsoft Intune、Azure など、Microsoft のクラウドベース サービスのサブスクリプションをサインアップした会社または組織を表します。これらのそれぞれで Microsoft Entra ID が使用されます。 ただし、技術的な観点から言うと、テナントという用語は、個々の Microsoft Entra インスタンスを表します。 1 つの Azure サブスクリプション内で、複数の Microsoft Entra テナントを作成できます。 複数の Microsoft Entra テナントを用意しておくと、他のテナントに影響を与えることなく 1 つのテナント内で Microsoft Entra 機能をテストしたいときに便利な場合があります。

Azure サブスクリプションは常に 1 つの Microsoft Entra テナントのみに関連付けられている必要があります。 この関連付けにより、Azure サブスクリプションのリソースへのアクセス許可を、その特定の Microsoft Entra テナントに存在するユーザー、グループ、およびサービス プリンシパルに (RBAC を介して) 付与することができます。

Note

同じ Microsoft Entra テナントを複数の Azure サブスクリプションに関連付けることができます。 これにより、同じユーザー、グループ、およびアプリケーションを使用して、複数の Azure サブスクリプション間でリソースを管理できます。

各 Microsoft Entra テナントには、一意のプレフィックスを構成する既定のドメイン ネーム システム (DNS) ドメイン名が割り当てられます。 このプレフィックスは、Azure サブスクリプションの作成に使用した Microsoft アカウントの名前から派生したものか、Microsoft Entra テナントの作成時に明示的に指定されたものであり、後ろに onmicrosoft.com のサフィックスが続きます。 同じ Microsoft Entra テナントに 1 つ以上のカスタム ドメイン名を追加することは可能であり、一般的です。 この名前には、該当する会社または組織が所有する DNS ドメイン名前空間が利用されます。 Microsoft Entra テナントは、セキュリティ境界として機能すると同時に、ユーザー、グループ、アプリケーションなどの Microsoft Entra オブジェクトのコンテナーとしても機能します。 1 つの Microsoft Entra テナントで複数の Azure サブスクリプションをサポートできます。

Microsoft Entra スキーマ

Microsoft Entra のスキーマに含まれるオブジェクトの種類は、AD DS よりも少なくなります。 特に、コンピューター クラスの定義は含まれませんが、デバイス クラスは含まれます。 デバイスを Microsoft Entra に参加させるプロセスは、コンピューターを AD DS に参加させるプロセスとは大きく異なります。 Microsoft Entra のスキーマも簡単に拡張でき、その拡張は完全に元に戻すことができます。

従来のコンピューター ドメイン メンバーシップがサポートされていないということは、グループ ポリシー オブジェクト (GPO) などの従来の管理手法を使ってコンピューターまたはユーザーの設定を管理するために Microsoft Entra ID を使用できないことを意味します。 代わりに、Microsoft Entra ID とそのサービスによって、最新の管理の概念が定義されます。 Microsoft Entra ID の主な強みは、ディレクトリ サービスの提供にあります。ユーザー、デバイス、アプリケーションのデータの格納と公開、ユーザー、デバイス、アプリケーションの認証と認可が行われます。 これらの機能の有効性と効率性は、ID プロバイダーとして Microsoft Entra ID に依存して何百万人ものユーザーをサポートするクラウド サービス (たとえば、Microsoft 365 など) の既存のデプロイに基づいて明らかになります。

Microsoft Entra ID には組織単位 (OU) クラスは含まれません。つまり、オンプレミスの AD DS デプロイで頻繁に使用されるカスタム コンテナーの階層にそのオブジェクトを配置することはできません。 ただし、AD DS の OU は主にグループ ポリシーのスコープと委任に使用されるため、これは大きな欠点ではありません。 グループ メンバーシップに基づいてオブジェクトを編成することで、同等の配置を行うことができます。

Application と servicePrincipal クラスのオブジェクトは、Microsoft Entra ID のアプリケーションを表します。 Application クラスのオブジェクトにはアプリケーション定義が含まれており、servicePrincipal クラスのオブジェクトが、現在の Microsoft Entra テナント内のインスタンスを構成します。 これら 2 つの特性セットを分離すると、各テナントでこのアプリケーションのサービス プリンシパル オブジェクトが作成されることで、1 つのテナントにアプリケーションを定義し、複数のテナントで使用できるようになります。 Microsoft Entra ID では、対応するアプリケーションをその Microsoft Entra テナントに登録すると、サービス プリンシパル オブジェクトが作成されます。