「Microsoft Entra IDとは」アクセス管理を担う重要なサービス

　Microsoft Azureを利用するうえで安全で効率的なアクセス管理を行い、組織のセキュリティを強化するために重要なサービスがMicrosoft Entra ID（旧 Azure Active Directory）です。本記事では、Microsoft Entra IDの概要、特徴や利点、料金・価格、使い方を解説します。

 Microsoft Entra IDとは？

　Microsoft Entra ID は、Microsoft Azureが提供するクラウドベースのアイデンティティ（ID）およびアクセス管理サービスです。旧称はAzure Active Directory（Azure AD）です。Microsoft Entraファミリーの製品であることをわかりやすくするために2023年10月1日より名称が変更されましたが、機能やサービス内容は変わっていません。
　Microsoft Entra IDは、クラウド環境にてアクセス管理や認証を効率的に行うために設計されており、スケーラビリティの高いサービスとなっています。これに対し、従来のActive Directoryは主にオンプレミス（Windows）環境で使用されており、社内ネットワーク内でのリソース管理やファイル共有に特化しています。

Microsoft Entra IDの特徴と利点

　Microsoft Entra IDには、以下のような特徴および利点があります。

ユーザー管理

　Microsoft Entra IDはActive Directoryと同様に、ユーザー管理を効率的かつ安全に行うための機能を提供します。後述するグループ管理や多要素認証によって効率的かつ安全なユーザー管理を実現します。
　そのほかのユーザー管理の手段としては、ユーザーの手動追加やバルクインポート（大量のデータやレコードを一度にシステムにインポートすること）が可能で、属性（役職、部署など）を設定できます。また、Microsoft 365や他のアプリケーションとの統合により、ユーザーの作成、更新、削除を自動化できます。

グループ管理

　役割ベースのアクセス制御（RBAC）を用いて、グループに基づいて特定のリソースへのアクセス権を管理できます。グループ管理を利用することで同じ役割を持つユーザーに対して一貫した設定を行えます。
　特定の条件に基づいてユーザーを自動的に追加・削除する動的グループを作成できます。動的グループを利用することで、ユーザーに変更があった際に迅速に対応できます。

シングルサインオン（SSO）

　何千ものクラウドやオンプレミスのアプリケーションに対して、ユーザーが一度のログインでアクセスできるようにします。ユーザーは異なるアプリケーションやサービスにログインするために複数のパスワードを覚える必要がなくなり、業務効率の向上が期待できます。また、SAML、OpenID Connect、OAuthなどの標準を使用して、自社のアプリケーションをシングルサインオンに統合できます。

多要素認証（MFA）

　SMS、音声通話、認証アプリ（Microsoft Authenticatorなど）を使用した追加の認証手段を提供します。指紋などの生体認証も実施できます。また、特定の条件に基づいてMFAを要求し、セキュリティを向上させることができます。多要素認証を行うことにより、パスワード漏えいした際の対策になることや不正アクセスの防止が期待できます。

条件付きアクセス

　ユーザー、グループ、アプリケーション、デバイス、場所に基づいてアクセスを制御するポリシーを設定できます。ユーザーの行動に基づいてリスクを評価し、必要に応じて追加の認証を要求できます。

アイデンティティプロテクション

　不審なサインイン活動やユーザーアカウントの異常を検出し、リスクを評価します。リスクが検出された場合、自動的にMFAを要求したり、アクセスをブロックしたりできます。

レポートと監視

　ユーザーのログインや操作の記録を監視し、サインイン ログや監査ログを出力してセキュリティインシデントの調査に役立てます。ユーザーのサインイン活動を分析し、アクセスの集中や異常を把握します。

エンタープライズアプリケーション管理

　自社のアプリケーションをMicrosoft Entra IDに登録し、アクセス管理を行うことができます。これにより組織が使用するアプリケーションを集中管理し、ユーザーが必要なアプリケーションに簡単にアクセスできるようにします。

パスワードレス認証

　FIDO2（Fast Identity Online：ユーザーが安全にオンラインサービスにアクセスするための新しい認証プロトコル）デバイスやWindows Hello（パスワードの代わりに生体認証やPINコードを利用した認証機能）を利用したパスワードレス認証を導入し、ユーザーエクスペリエンスを向上させつつ、セキュリティを強化します。多要素認証と同様にこちらもパスワード漏えいの対策になることが期待できます。また、シングルサインオン同様ログインが簡素化され、業務効率が向上することも期待できます。

Microsoft Entra IDの価格・料金

　Microsoft Entra IDの価格は、利用できる機能によって下記の3つのプランから選択できます。本記事では2024年10月における料金を公式サイトより引用して記載しています。詳細については公式サイトにて最新の情報をご確認ください。

これらのプランに加え、Microsoft Entra Suiteプランを追加することでMicrosoft Entra ID保護、Microsoft Entra Internet AccessなどのMicrosoft Entra製品の機能が利用できます。

Microsoft Entra IDの使い方

　Microsoft Entra IDの導入手順は以下のとおりです。

Azure Portalにログイン

　Azure Portalにログインします。

ユーザーとグループの管理

　Azure Portalのリソースから「Microsoft Entra ID」を選択すると、「既定のディレクトリ」の「概要」セクションに飛びます。そこで「＋追加」＞「ユーザー」を選択し、「新しいユーザーの作成」をクリックして必要な情報を入力します。
　「＋追加」＞「グループ」を選択して新しいグループを作成し、ユーザーを追加します。これにより、役割やアクセス権を一括で管理できます。

シングルサインオン（SSO）の設定

　手順2の画面にて「＋追加」＞「エンタープライズアプリケーション」を選択し、使用するアプリを追加します。アプリケーションの設定画面でシングルサインオンを有効にし、必要な認証情報を設定します。

多要素認証（MFA）の設定

　手順2の画面にて左側のメニューの「管理」＞「セキュリティ」を選択します。「管理」＞「多要素認証」からMFAを有効にし、どのユーザーに適用するかを選択します。

 条件付きアクセスの設定

　手順2の画面にて左側のメニューの「管理」＞「セキュリティ」を選択します。「保護」＞「条件付きアクセス」を選択して、新しいポリシーを作成します。ユーザーやグループ、アプリケーションに基づいてアクセス制御を設定します。

レポートと監視

　手順2の画面にて左側のメニューの「監視」＞「監査ログ」もしくは「監視」＞「サインインログ」を選択します。ユーザーのアクティビティを確認し、異常がないかを監視します。

APIの使用

　手順2の画面にて左側のメニューの「管理」＞「アプリの登録」を選択し、「＋新規登録」をクリックして、Microsoft Entra IDの機能を自分のアプリケーションに統合できます。機能を統合することで、Microsoft Graph APIを利用してユーザー管理やアクセス制御をプログラムから操作できます。

まとめ

　本記事では、Microsoft Entra IDが以下のようなさまざまなアクセス管理に関する機能を持っており、数多くの利点があるということを紹介し、簡単な使い方を説明しました。

1. ユーザー・グループを管理する機能
2. シングルサインオン（SSO）を行う機能
3. 多要素認証（MFA）を行う機能
4. 条件に基づいてアクセスを制御する機能
5. 不審なアクセスをブロックするアイデンティティプロテクション機能
6. 操作記録を監視し、ログを出力する機能
7. アプリケーションを登録して、アクセスを集中管理する機能
8. パスワードレス認証を行う機能

　本記事を最後までお読みいただきありがとうございました。今後もAzureサービスについての記事をリリースする予定ですので、ぜひお楽しみに。