Microsoft Entra について説明する
Microsoft Entra は、Microsoft の ID およびネットワーク アクセス製品のファミリです。 組織がゼロ トラスト セキュリティ モデルを採用する場合、ID ガバナンス、検証済み資格情報、セキュリティで保護されたネットワーク アクセス、AI エージェントの ID をカバーするために、基本認証を超えるソリューションが必要です。 このユニットでは、Microsoft Entra 製品ファミリと、これらの製品が連携して、あらゆるクラウド環境で従業員、顧客、パートナー、ワークロード、AI エージェントのエンド ツー エンド アクセスをセキュリティで保護する方法について説明します。
Microsoft Entra ファミリは、セキュリティで保護されるアクセス シナリオを中心に編成されています。
| カテゴリ | 内容 |
|---|---|
| Zero Trustアクセス制御を確立する | 基本 ID、認証、およびマネージド ドメイン サービス |
| 従業員のアクセスをセキュリティで保護する | ID ガバナンス、ID 保護、セキュリティで保護されたネットワーク アクセス、検証済みの資格情報 |
| 顧客とパートナーのアクセスをセキュリティで保護する | 外部コラボレーションと顧客 ID とアクセス管理 (CIAM) |
| 任意のクラウドでアクセスをセキュリティで保護する | アプリケーション、サービス、ワークロードの ID |
| AI エージェントへのセキュリティ保護されたアクセス | 非ヒト AI エージェントのアイデンティティ、アイデンティティ管理、保護 |
Microsoft Entra 製品ファミリを理解する
Microsoft Entra ファミリの各カテゴリは、組織がよく直面する特定のアクセス シナリオにマップされます。 次のセクションでは、各カテゴリの主要な製品とその機能について説明します。
Zero Trustアクセス制御を確立する
Microsoft Entra ID は、ファミリの基本製品です。 これは、ユーザー、デバイス、アプリ、リソースに対する認証、シングル サインオン (SSO)、ポリシーの適用、保護を提供するクラウドベースの ID およびアクセス管理サービスです。 組織で Microsoft 365、Azure、または Dynamics CRM Online を使用している場合は、既に Microsoft Entra ID を使用しています。 これらのサービスのすべてのテナントは自動的に Microsoft Entra テナントであり、 contoso.onmicrosoft.comなどの初期ドメイン名が付けられます。 組織は、独自のカスタム ドメイン名を追加することもできます。
Microsoft Entra Domain Services は、従来の Windows Server Active Directory 機能を必要とする古いアプリケーションをクラウドで実行する組織向けにマネージド ドメイン サービスを提供します。 これにより、これらのアプリケーションは、ドメイン コントローラーをデプロイおよび管理する必要なく、クラウドで動作できます。 基になるインフラストラクチャは Microsoft が管理するため、組織は管理する必要はありません。
従業員のアクセスをセキュリティで保護する
このカテゴリは、ほとんどの組織が従業員の管理、保護、接続に使用する製品をグループ化します。
- Microsoft Entra Private Access は、企業ネットワークやマルチクラウド環境を含むプライベート アプリとリソースへのアクセスをセキュリティで保護します。 リモート ユーザーは、仮想プライベート ネットワーク (VPN) なしで、任意のデバイスまたはネットワークから内部リソースに接続できます。 たとえば、従業員は自宅やカフェで働いている間、企業のネットワーク プリンターに安全にアクセスできます。
- Microsoft Entra Internet Access は、サービスとしてのソフトウェア (SaaS) アプリや Microsoft 365 アプリやリソースなど、インターネット リソースへのアクセスをセキュリティで保護します。 管理者は、Web コンテンツ フィルターを有効にして、コンテンツ カテゴリとドメイン名に基づいて Web サイトへのアクセスを規制できます。
- Microsoft Entra ID Governance は、アクセス要求、割り当て、レビューを自動化することで、ID とアクセス許可の管理を簡略化します。 ID ライフサイクル管理を通じて重要な資産を保護することもできます。 たとえば、管理者は新しい従業員にユーザー アカウント、グループ、ライセンスを自動的に割り当て、従業員が退職したときにそれらの割り当てを削除できます。
- Microsoft Entra ID Protection は、危険なユーザーや危険なサインインなどの ID ベースのリスクを検出して報告します。管理者は、リスクベースの条件付きアクセス ポリシーなどのツールを使用して、リスクを調査し、自動的に修復できます。 一般的なシナリオは、サインイン リスク レベルが中または高の場合に多要素認証 (MFA) を必要とするポリシーです。
- Microsoft Entra Verified ID は、オープン分散型 ID (DID) 標準に基づく資格情報検証サービスです。 組織は、個人のデバイスに資格情報を保存し、必要に応じて提示するユーザーに、検証可能な資格情報 (情報の有効性を証明するデジタル署名) を発行できます。 たとえば、最近の大学の卒業生は、DID にデジタル卒業証明書を発行するように大学に依頼し、発行者、発行時間、ステータスを独立して検証できる潜在的な雇用主に提示することができます。
顧客とパートナーのアクセスをセキュリティで保護する
Microsoft Entra External ID では、外部 ID がビジネス リソースやコンシューマー アプリに安全にアクセスできます。 内部アプリでビジネス パートナーやゲストと共同作業を行う場合や、コンシューマー向けアプリケーションで顧客 ID とアクセス管理 (CIAM) を管理するための安全な方法が提供されます。 たとえば、組織はセルフサービス登録を設定して、顧客がワンタイム パスコードや Google や Facebook などのプロバイダーのソーシャル アカウントを使用して Web アプリケーションにサインインするようにすることができます。
任意のクラウドでアクセスをセキュリティで保護する
Microsoft Entra Workload ID は、認証と承認ポリシーを必要とするアプリケーション、サービス、コンテナーなど、ワークロード ID の ID およびアクセス管理ソリューションです。 これにより、組織はアダプティブ ポリシーとカスタム セキュリティ属性を使用してリソースへのアクセスをセキュリティで保護できます。 たとえば、GitHub Actions には、Azure サブスクリプションにアクセスしてソフトウェア開発ワークフローを実行するためのワークロード ID が必要です。
AI エージェントへのセキュリティ保護されたアクセス
Microsoft Entra Agent ID は、Microsoft Entra機能を AI エージェントに拡張する ID およびセキュリティ フレームワークです。 組織が支援型、自律型、ユーザーに似たエージェントをデプロイする場合、エージェント ID は、エンタープライズ規模でこれらの非人間 ID を認証、承認、管理、保護するための専用の ID コンストラクトを提供します。 たとえば、組織がユーザーの代わりに企業データにアクセスする AI エージェントをデプロイすると、エージェント ID によって各エージェントに管理 ID が付与され、最小特権アクセスが適用され、エージェントのアクションの監査証跡が維持されます。
Microsoft Entra 製品の連携方法
Microsoft Entra ファミリの強みは、製品の統合方法です。 新しい従業員が組織に参加するシナリオを考えてみましょう。
- Microsoft Entra ID は従業員を認証し、企業アプリにシングル サインオンを提供します。
- Microsoft Entra ID ガバナンスは 、従業員の役割に基づいて適切なアクセス権を自動的にプロビジョニングします。
- Microsoft Entra ID Protection は、各サインインのリスクを評価し、必要に応じ、より強力な認証をトリガーします。
- Microsoft Entra Internet Access は、従業員のクラウドおよびインターネット リソースへの接続をセキュリティで保護します。
- Microsoft Entra Private Access では、VPN を使用せずにオンプレミス アプリに安全にアクセスできます。
この統合されたアプローチにより、組織が ID とネットワーク アクセス管理に切断されたツールを使用する場合に発生するセキュリティギャップが軽減されます。
Microsoft Entra ライセンス
Microsoft Entra ファミリの各製品は個別に使用できますが、包括的な ID とアクセス戦略の一部として一緒に使用すると、製品は最も価値を発揮します。 Microsoft Entra ID は複数のライセンスレベルで利用でき、組織のニーズに応じて追加の製品を追加またはバンドルできます。
- Microsoft Entra ID Free — Microsoft Azure や Microsoft 365 などの Microsoft クラウド サブスクリプションに含まれています。 ユーザーとグループの管理、基本的なレポート、セルフサービスパスワードリセットなどの主要な ID 機能を提供します。
- Microsoft Entra ID P1 — 条件付きアクセス、ハイブリッド ID のサポート、高度なグループ機能などの機能を追加します。 Microsoft 365 E3、F1、F3、Enterprise Mobility + Security E3、Microsoft 365 Business Premium に含まれています。
- Microsoft Entra ID P2 — リスクベースの条件付きアクセス、Microsoft Entra ID Protection、Privileged Identity Management (PIM) を追加します。 Microsoft 365 E5 および Enterprise Mobility + Security E5 に含まれています。
- Microsoft Entra Suite — 包括的な ID とネットワーク アクセス保護を必要とする組織向けに設計された、1 つのオファリングの下に 5 つの Entra 製品を組み合わせたバンドル されたライセンス。 Microsoft Entra ID P1 サブスクリプションが必要です。 このスイートには、Microsoft Entra Private Access、Microsoft Entra Internet Access、Microsoft Entra ID Governance、Microsoft Entra ID Protection、および Microsoft Entra Verified ID のプレミアム機能が含まれています。
また、Microsoft Entra は Security Copilot と統合され、管理者が ID リスクを調査し、AI を使用してアクセスの問題をトラブルシューティングするのに役立ちます。
Microsoft Entra 管理センター
管理者は、Microsoft Entra 管理センターと呼ばれる 1 つの Web ベースのポータルからすべての Microsoft Entra 製品を構成および管理します。
Microsoft Entra 製品ファミリの概要を理解したら、このモジュールの残りの部分では、ファミリの基本製品である Microsoft Entra ID に焦点を当てています。 そのコア関数、サポートされている ID の種類、ハイブリッド ID の概念、および外部 ID のしくみについて説明します。