Written by 石田成美
インターネットプロバイダに7年間勤務し、出産・育児を機にフリーランスに転身。Webライターとして、主に情報セキュリティ系のテーマをわかりやすく解説します。
目 次
Microsoft Entra ID とは
Microsoft Entra ID の3つのプランと料金
なぜ Microsoft Entra ID が必要なのか
知っておきたい、Microsoft Entra ID の5つの機能
Microsoft Entra ID のセキュリティ機能を最大限活用するなら「Microsoft 365 セキュリティ診断」にご相談ください
Microsoft 365 の情報漏洩事故を「ログ監視」で防ぐ「LANSCOPE セキュリティオーディター」
まとめ
Microsoft Azure Active Directory(Azure AD)が、2023年10月1日より 「Microsoft Entra ID」に改名されました。Microsoft Entra ID は、マイクロソフト社が提供するクラウド型のID・アカウント管理サービスであり、安全で効率的な Microsoft 365 、Microsoft Azure および関連するサービスの運用をサポートします。
近年の多様な働き方に対応するため、多くの企業が業務にクラウドサービスを導入しています。
しかし、複数のクラウドサービスを導入することで
・ログイン情報が第三者に盗まれ、クラウドに不正ログインされる
・アクセス権限に不備があり、社外や本来権限のない社員に、機密情報を閲覧される
・共有設定にミスがあり、第三者にファイル情報を持ち出される
といった深刻なセキュリティ事故が、国内で頻発生していることも事実です。
Microsoft Entra IDを利用すれば、多要素認証やシングルサインオンといった機能によって、上記のようなセキュリティ課題を解決することが可能。また管理者側も、クラウドサービスのアカウントを一括管理できるので、業務負担の軽減が期待できます。
この記事では、改めて知っておきたい「Microsoft Entra ID」について、その概要やプラン、主な機能・Azure ADとの変更点などを、わかりやすく解説いたします。
▼この記事を要約すると
- Microsoft Entra IDとは、旧名称「Microsoft Azure Active Directory」のこと。2023年10月1日より、内容や機能は変わらず、名称が変更された
- Microsoft 365 の認証基盤(ログイン時のID・認証情報を一元管理する仕組み)である
- マイクロソフトのクラウド型セキュリティ製品群「Microsoft Entra」には、Microsoft Entra IDを含む3カテゴリ・8製品がある
- Microsoft Entra ID Free、Microsoft Entra ID Premium P1、P2の3プランがあり後者ほど使える機能が多い。Freeは Microsoft 365 利用者は無料
- 主な機能に「多要素認証」「特権ID管理」「シングルサインオン」「条件付きアクセス」「保護ID」などがある
Microsoft Entra ID とは
Microsoft Entra IDとは、マイクロソフト社が提供するセキュリティ製品群 「Microsoft Entra」の製品の一つで、データに接続するクラウド ID およびアクセス管理をおこなうサービスです。
Microsoft Entra IDを活用することで、ユーザーは場所やデバイスを問わず、安全なサービスへのアクセスを実現できるようになります。具体的には、多要素認証や条件付きアクセス・シングルサインオンといった機能を用いて、第三者による不正アクセスや情報窃取といった被害を防ぎます。
Entra製品ファミリの統合を目指すマイクロソフト社は、2023年10月1日より従来のAzure Active Directory (Azure AD)から「Microsoft Entra ID」へと名称を変更しました。
しかし、サービスの内容や機能自体は変わらず、これまでAzure ADを利用していた場合、再契約や変更手続きなどの対応無しで、引き続き同機能を利用することが可能です。
今回の名称変更で、Microsoft Entra ID(旧AzureAD)の各プラン名称も、以下のように変更になりました。
| これまで | 2023年10月1日より |
|---|---|
| Azure AD Free | Microsoft Entra ID Free |
| Azure AD Premium P1 | Microsoft Entra ID P1 |
| Azure AD Premium P2 | Microsoft Entra ID P2 |
| Azure AD External Identities | Microsoft Entra External ID |
Microsoft Entra ID は、Microsoft365 の認証基盤
近年、クラウドサービスの普及により「Microsoft365」を導入する企業が増えています。Microsoft365(旧Office365)は、WordやExcelといったOffice系アプリなどがオンライン上で使用できる、サブスクリプション型(月額課金制)のクラウドサービスです。
Microsoft Officeといえば、最新のパッケージ(買い切り)版であるOffice 2021のサポート終了が2026年10月13日に迫っており、今後新たなパッケージ版Officeのリリースは未定です。マイクロソフトとしては、Microsoft 365へのシフトを推奨していることが伺えます。
そんな Microsoft 365 の認証基盤(ログイン時のID・認証情報を一元管理する仕組み)として使われているのが、Microsoft Entra IDです。よって、Microsoft 365 を使っているユーザーは、必然的に Microsoft Entra ID を認証時に使用していることになります。
Microsoft Entra IDは Microsoft 365 以外のクラウドサービスでも認証基盤としても利用でき、今後、Microsoft365の普及とともに、複数サービスにまたがった Microsoft Entra ID の活用が定着していく可能性があります。
Microsoft Entra とは?
そもそも「Microsoft Entra」とは、マイクロソフト社が2022年5月に発表したクラウド型のセキュリティ製品グループの名称です。
Microsoft Entraには「ID およびアクセス管理」「新しい ID カテゴリ」「ネットワーク アクセス」の3つのカテゴリがあり、Microsoft Entra ID(「ID およびアクセス管理」カテゴリ)を含む合計8つの製品があります。
| ID およびアクセス管理 | 新しいIDカテゴリ | ネットワーク アクセス |
|---|---|---|
| ・Microsoft Entra ID ・Microsoft Entra ID ガバナンス ・Microsoft Entra 外部 ID |
・Microsoft Entra Verified ID ・Microsoft Entra Permissions Management ・Microsoft Entra ワークロード ID |
・Microsoft Entra Internet Access ・Microsoft Entra Private Access |
マイクロソフトは、以前までオンプレミスのWindows Server Active Directory(AD)と混同されやすかった Azure Active Directory(Azure AD)を、Microsoft Entra IDに変更したことで、Microsoft Entra製品ファミリの一つのサービスであることを、わかりやすく示しました。
Microsoft Entra ID の3つのプランと料金
Microsoft Entra IDには
・Microsoft Entra ID Free
・Microsoft Entra ID Premium P1
・Microsoft Entra ID Premium P2
の3つのプランがあり、それぞれ使える機能が異なります。
Freeは単体契約する必要はなく、Microsoft 365 や Microsoft Azure といったクラウドサブスクリプションを契約すれば、無料で利用することが可能です。主にMicrosoft 365のユーザーの管理機能が中心になります。
P1は、単品契約が可能な他、Microsoft 365 E3、Microsoft 365 Business Premiumに含まれています。同じくP2は単品契約のほか、Microsoft 365 E5に含まれています。
またP1、P2の利用者は、先述した Microsoft Entra ID ガバナンスの全機能が利用できる「Microsoft Entra ID Governance(¥880 ユーザー/月)」プランを、追加購入することもできます。
▼Microsoft Entra ID 各プランの料金・機能について
| Microsoft Entra ID Free(無料) | Microsoft Entra ID Premium P1(¥750 ユーザー/月) | Microsoft Entra ID Premium P2(¥1,130 ユーザー/月) | |
|---|---|---|---|
| 認証、シングル サインオン、アプリケーション アクセス | △ | 〇 | 〇 |
| 管理とハイブリッド ID | △ | 〇 | 〇 |
| エンド ユーザー セルフサービス | △ | △ | 〇 |
| 多要素認証と条件付きアクセス | △ | 〇 | 〇 |
| ID 保護 | ✕ | ✕ | 〇 |
| イベント ログとレポート | △ | 〇 | 〇 |
| ID ガバナンス | △ | △ | △ |
機能:〇=含まれる、△=部分的に含まれる、✕=含まれない
出典:Microsoft│Microsoft Entra のプランと価格
なぜ Microsoft Entra ID が必要なのか
現在のようにクラウドサービスが普及する以前は、Active Directory(AD)といえば社内ネットワークなどのオンプレミスで利用する認証システムが一般的でした。
しかし、テレワークなどの多様な働き方が普及したことにより、クラウドサービスを活用する機会が増加したことで、従来のオンプレミスのADだけでは、安全な認証管理が難しくなりました。
またクラウドサービスの利用が進んだことで、組織・従業員は以下の課題が生じています。
・1日に複数のクラウドサービスを利用するため、従業員はその都度認証する手間がかかる。
・管理者側も、従業員すべてのアカウント管理に、多くの工数がかかる
・不正アクセスの手口が巧妙化する中、従来のID/パスワードだけに頼る認証では、侵入を防ぎきれない
こうした業務効率・セキュリティの双方における課題を、解消するために生まれたのが「 Microsoft Entra ID 」です。
まず、Microsoft Entra IDを利用することで、クラウド・オンプレミスの環境を問わず、両者が混在した業務環境であっても、アカウント認証やアプリケーションへのアクセスを一括管理することができます。
次に、Microsoft Entra IDの「シングルサインオン」の機能を使うことで、ユーザーは一度ログインすれば、連携した複数のクラウドサービスに自動的にアクセスすることが可能となります。サービスごとに都度ログインする手間が不要なため、ユーザーの業務効率がアップします。
▼シングルサインオンを導入した場合・していない場合の比較
さらに Microsoft Entra IDによって、認証方法に「多要素認証」や「パスワードレス認証」など、IDとパスワードのみに頼らない認証方法を設定することで、Microsoftサービスおよび連携するクラウドサービスのセキュリティを、より強固なものにすることが可能です。
多要素認証(MFA)とは、通常のID/パスワードによる認証に加え、ワンタイムパスワードや指紋認証といった、その他の方法を組み合わせてサービスへのログインをおこなうセキュリティ手法です。
▼多要素認証のイメージ
万が一、ユーザーの MicrosoftアカウントのIDやパスワードが漏洩し、攻撃者がサービスへの不正ログインを試みたとしても、もう1つの認証(生体認証やワンタイムパスワード)が突破できないため、攻撃者の不正ログインを阻止することができます。
同じく「パスワードレス認証」とは、その名の通りパスワードを用いず、生体認証やデバイス認証、プッシュ通知による認証によってサービスにログインできる仕組みです。
Microsoft Entraでは、ユーザーの希望に応じて、以下のような認証方法を設定することが可能です。
| 認証方法 | セキュリティ | 使いやすさ |
|---|---|---|
| Windows Hello for Business | 高 | 高 |
| Microsoft Authenticator | 高 | 高 |
| Authenticator Lite | 高 | 高 |
| FIDO2 セキュリティ キー | 高 | 高 |
| 証明書ベースの認証 | 高 | 高 |
| OATH ハードウェア トークン (プレビュー) | 中 | 中 |
| OATH ソフトウェア トークン | 中 | 中 |
| 一時アクセス パス (TAP) | 中 | 高 |
| SMS | 中 | 高 |
| 音声 | 中 | 中 |
| Password | 低 | 高 |
出典:Microsoft|Microsoft Entra ID で使用できる認証方法と検証方法(2023年10月25日)
サイバー攻撃が高度化する中、安全な認証ができるMicrosoft Entra IDはクラウドサービス利用者にとって不可欠な存在と言えます。
すでに Microsoft Entra ID を導入している場合は、シングルサインオンや多要素認証といった安全な認証状態を正しく設定できているかどうか、定期的に自社の認証状態について確認すると良いでしょう。
知っておきたい、Microsoft Entra ID の5つの機能
Microsoft Entra IDに備わっている、セキュリティを強化する主な機能を5つ紹介します。
1.多要素認証
2.条件付きアクセス
3.シングル サインオン(SSO)
4.ID保護
5.特権ID管理
※Microsoft Entra IDのプランにより利用できる機能は異なります。
1.多要素認証
1つ目は、先ほども登場した「多要素認証」です。
いくら長く強力なパスワードを設定しても、一度漏洩し攻撃者の手にわたれば、複数のサービスで不正アクセスがおこなわれる危険性があります。攻撃者はダークウェブマーケットでパスワードのリストを購入したり、背後からターゲットのPCを覗き見してパスワードを盗んだりと、あらゆる手法で不正ログインを試みます。
こういった状況の中、不正ログインを根本から解決する手段として、そもそもパスワードを用いない認証方式である「多要素認証」が注目されているのです。
Microsoft Entra IDの多要素認証では
・Microsoft Authenticator(指紋認証・顔認証、 PINデータ)
・Authenticator Lite(Outlook内:モバイル端末のワンタイムパスコード)
・Windows Hello for Business(指紋認証・顔認証・ 虹彩認証・ PINデータ)
・FIDO2セキュリティキー(セキュリティキーを差し込む)
・SMS
・音声通話
などの認証形式が使用できます。
参考:Microsoft|しくみ: Microsoft Entra 多要素認証
2. 条件付きアクセス
クラウドサービスにアクセスする際、安全なユーザーであることを証明するため、アクセス条件をユーザーやグループごとに設定することができます。
例えば
・管理者権限を持つユーザーは多要素認証を必須とする
・社外ネットワークからのアクセスは多要素認証を求める
・特定の場所からのアクセスをブロックする
など、あらかじめ設定しておいた条件に基づいて、ユーザーアクセスを許可・拒否することができます。
3.シングル サインオン(SSO)
Microsoft Entra ID を活用する大きなメリットに「シングルサインオン」があります。
シングルサインオン機能を有効にすると、1度ログインを行うだけでクラウド・オンプレミスを問わず連携する全てのサービスへ、自動的にアクセスが可能となります。サービスごとにログインする手間が省かれるため、従業員の業務効率向上が見込まれます。
またサービスごとにIDやパスワードを管理する必要が無くなるので、ユーザーの「パスワード忘れ」によるリセット対応のような、IT管理者の作業負担も軽減されるでしょう。
Microsoft Entra ID のシングルサインオン機能では、Microsoftアプリケーション以外の、連携可能なクラウド・SaaSアプリケーション(例:Salesforce、Adobe Creative Cloudなど)にも、再認証不要でアクセス可能となります。
出典:Microsoft│Microsoft Entra シングル サインオン (SSO)
4.ID保護
Microsoft Entra ID の「ID保護」とは、高度な機械学習を通じて、通常とは異なるユーザー行動を特定し、不正なアクセスのブロックや制限、認証情報を要求する等の操作を行える機能です。
万が一パスワード情報が流出した場合も、ID保護によって「ユーザーによる正規のアクセスか、不正なアクセスか」をリアルタイムで判断するため、サイバー攻撃や不正アクセスの脅威を防止することが可能です。
5.特権ID管理
特権IDとは、特別な権限をもつ管理者IDのことです。特権IDを所持することで、データベースの管理やシステム設定の変更など、一般のユーザーIDでは使用できない操作をおこなえます。
「特権ID管理」機能を使用することで、管理者は利用者に作業で必要となりそうな権限(特権ID)を、利用者の要望に応じて、一定の期間提供することができます。
利用者に継続的に特権IDを与え続けるのではなく、必要に応じて管理者が承認し、都度利用者に権限を与えるといったイメージです。
特権ID管理が行われる背景として、システム変更などの権限をもつ特権IDを悪用されれば、企業にとって致命的なダメージとなるためです。外部攻撃による悪用はもちろん、内部不正対策としても、特権ID管理は効果的な機能です。
Microsoft Entra ID のセキュリティ機能を最大限活用するなら「Microsoft 365 / Microsoft Azure セキュリティ診断」にご相談ください
Microsoft Entra ID には、多要素認証や条件アクセス・シングルサインオンといった様々なセキュリティ機能があり、それらを効果的に用いることで、お使いの Microsoft 365 や Microsoft Azure を安全かつ効率的に運用できるのは、先述の通りです。
しかし、実際には Microsoft Entra IDのセキュリティ設定をうまく導入できておらず、 Microsoftサービスのセキュリティ設定が脆弱な状態で、運用されているケースが少なくありません。
実際、クラウドサービスの情報漏洩事件の多くは、アクセス権限や認証方法といった設定不備に起因します。
・Microsoft 365 や Microsoft Azure の設定が現状で問題ないか知りたい
・よりセキュアな状態で、Microsoftサービスを運用したい
・認証や権限設定の最適解がわからず、アドバイスが欲しい
そういったお客様は、LANSCOPE プロフェッショナルサービスの提供する「Microsoft 365 セキュリティ診断」「Microsoft Azure セキュリティ診断」がおすすめです。
弊社の経験豊富なセキュリティエンジニアが、ご利用中のMicrosoftサービス環境における設定を診断し、セキュリティリスクに繋がる不備を洗い出します。多要素認証の適用、アクセス権限や共有設定の見直しといった対策をおこない、お客様の不安を解消します。
また、より低コスト・短期間で診断をおこなう「Microsoft 365 セキュリティ健康診断パッケージ」も提供しています。
Microsoft 365 の情報漏洩事故を「ログ監視」で防ぐ「LANSCOPE セキュリティオーディター」
Microsoft 365 アプリケーションのユーザー操作を、監査ログ機能で「見える化」し、情報漏洩に繋がる従業員の行動を即時に防止できるのが、「LANSCOPE セキュリティオーディター」です。
セキュリティオーディターを お使いの Microsoft 365 に連携することで、
・社外への不正なファイル共有
・情報の持ち出し
・OneDrive やTeams への不正アクセス
といったユーザー行動を、管理画面から一覧で把握することができます。
▼Microsoft 365 の監査ログを解析し、誰が・いつ・何をしたのか把握
「監査ログの保存機能」自体は Microsoft 365 自体にも搭載されていますが、管理画面がやや見づらいことに加え、ログが90日しか保管できないというデメリットがあります。
しかしセキュリティオーディターであれば、対象ユーザーや対象期間を指定し、最大過去25ヶ月分の監査ログを保存・一括でエクスポートすることが可能です。
Microsoft Entra IDにおけるセキュアな運用に、LANSCOPE セキュリティオーディターを加えることで、Microsoft 365 に起因する情報漏洩事故リスクを大きく軽減することが期待できます。
LANSCOPE セキュリティオーディターは、PC1台あたり、最大300円(税抜)/ 月にてご利用いただけます。
まとめ
本記事では「Microsoft Entra ID」をテーマに、その概要について解説しました。
▼本記事のまとめ
- Microsoft Entra IDとは、旧名称「Microsoft Azure Active Directory」のこと。2023年10月1日より、内容や機能は変わらず、名称が変更された
- Microsoft 365 や Microsoft Azure の認証基盤(ログイン時のID・認証情報を一元管理する仕組み)である
- マイクロソフトのクラウド型セキュリティ製品群「Microsoft Entra」には、Microsoft Entra IDを含む3カテゴリ・8製品がある
- Microsoft Entra ID Free、Microsoft Entra ID Premium P1、P2の3プランがあり後者ほど使える機能が多い。Freeは Microsoft 365 利用者は無料
- 主な機能に「多要素認証」「特権ID管理」「シングルサインオン」「条件付きアクセス」「保護ID」などがある
定着した多様な働き方や 今後の Microsoft 365 ・クラウドサービス移行の流れにより、Microsoft Entra ID のニーズは、今後ますます高まりを見せるでしょう。
ぜひ皆さまもいま一度、ご利用中の Microsoft サービスおよびクラウドサービスにて、セキュリティ設定や現状を見直してみてはいかがでしょうか。
関連する記事
