Microsoft 365を全社展開している組織なら、Entra IDの管理画面を毎週のように開いている情シス担当者も多いはずです。

しかし「Azure ADから名称が変わった」「P1とP2の違いがわかりにくい」「条件付きアクセスとPIMの使い分けが曖昧」といった声が現場から多く上がっており、機能の全体像と運用設計の勘所を改めて整理したい場面も増えています。

本記事ではMicrosoft Entra IDの基本機能、Azure AD・オンプレADとの違い、ライセンス選定、SaaS管理プラットフォームとの組み合わせまで、情シスの実務目線で一気通貫に整理します。

Microsoft 365を導入した組織の認証統合・アクセス管理を担う情報システム部門の方を主な読者として想定しています。

Microsoft Entra IDとは

Microsoft Entra IDはMicrosoftが提供するクラウド型のID・アクセス管理サービスで、ユーザー認証、シングルサインオン、多要素認証、条件付きアクセスなどを一元的に統制できる基盤です。Microsoft 365のサインインを支えるバックエンドそのものであり、Azureや外部SaaSへの認証連携も担います。

Azure ADから名称変更された経緯

2023年8月から名称変更が開始され、SKU表示名は2023年10月1日にAzure Active DirectoryからMicrosoft Entra IDへ変更されました。機能・価格・ライセンス体系はそのまま維持されており、Microsoft Entraという統合セキュリティブランドの一部として整理されたかたちです。

旧Azure ADの管理ポータルURLや一部API名称は移行期間中も存続するため、運用ドキュメント内の「Azure AD」表記は即時対応不要なものも多いです。ただしAzure AD Graph、ADAL（Azure AD Authentication Library）、AzureAD PowerShellモジュールなど非推奨となった技術を使うスクリプトは棚卸しと移行計画が必要です。

Entra IDで解決できる課題

クラウドファースト戦略を取る組織では、SaaS数の増加に比例してアカウント管理の工数が増えます。Entra IDを導入することで、以下のような課題に対して一元的なアプローチが取れます。

• 部門ごとに別々のIDで利用していたSaaSのログイン情報を1つに集約する
• 連携設定済みのSaaSに対して多要素認証や条件付きアクセスを適用する
• SSO連携済みアプリへの新規サインインを停止できる（アカウント削除・無効化の自動化にはSCIMプロビジョニング設定が別途必要）
• アクセスログを一元的に監査ログ基盤へ送り出す

特にMicrosoft 365導入企業では、追加のIDaaS製品を導入せずともEntra IDの範囲内で大半の認証統合を完結できる点が大きな採用理由になっています。

参考：Microsoft Entraとは - Microsoft Learn

Microsoft Entra IDの主要機能

Entra IDの機能は、認証・アクセス制御・ID保護・特権管理の4つの軸で整理すると把握しやすくなります。情シス運用で日常的に触れる機能を中心に解説します。

シングルサインオン（SSO）

Entra IDはMicrosoft Entra ID上の職場または学校アカウントで連携先のSaaSや社内アプリにシングルサインオンする仕組みを提供します。SAML 2.0、OpenID Connect、WS-Federationの3プロトコルに対応しており、Microsoft 365はもちろん、Salesforce、Slack、Boxといった主要SaaSへワンクリックでログインできます。

多要素認証（MFA）

パスワードに加えて、Microsoft Authenticatorアプリ・SMSコード・FIDO2セキュリティキーなどを組み合わせた多要素認証を全ユーザーに適用できます。条件付きアクセスと組み合わせることで「社外からのアクセス時のみMFA要求」といった柔軟な制御も可能です。

条件付きアクセス

条件付きアクセスはユーザー、デバイス状態、所在地などのシグナルを組み合わせてアクセス可否を自動判定する仕組みです（リスクベースの条件付きアクセスはP2のIdentity Protectionが必要）。Entra ID P1ライセンス以上で利用でき、ゼロトラストアーキテクチャを実装する中核機能として位置づけられています。

代表的なポリシー例として、未管理デバイスからの機密データアクセス拒否、海外IPからのサインインに追加認証要求、レガシー認証プロトコルの全面ブロックなどが挙げられます。

Privileged Identity Management（PIM）

PIMは管理者権限を必要なときだけ、必要な時間だけ付与するジャストインタイム特権管理機能です。Entra ID P2ライセンスで利用でき、グローバル管理者やセキュリティ管理者などの強い権限が常時有効になっている状態を解消できます。

特権アクティブ化時に承認ワークフロー、追加MFA、理由入力を必須化することで、内部不正と特権アカウント乗っ取りの両方のリスクを下げられます。

参考：Microsoft Entra 条件付きアクセス: Zero Trust ポリシーエンジン - Microsoft Learn

オンプレミスActive Directoryとの違い

Entra IDとオンプレミスAD（Windows Server上で動作する従来のAD）は、名前は似ていますがアーキテクチャも対応プロトコルも別物です。両者の関係を整理しないと、ハイブリッド環境の運用設計でつまずきます。

提供形態とインフラ

オンプレADはWindows Server上に構築する自社運用基盤で、ドメインコントローラの可用性とパッチ適用は組織側の責任になります。Entra IDはMicrosoftが運用するマネージドクラウドサービスで、可用性99.99%のSLAが提供されます。

対応プロトコル

オンプレADはKerberos、NTLM、LDAPといった社内ネットワーク向けプロトコルが中心です。Entra IDはSAML、OpenID Connect、OAuth 2.0、SCIMといったクラウド・モバイル時代のプロトコルに対応しており、SaaSやモバイルアプリとの連携を前提としています。

ハイブリッド構成での同期

多くの組織はオンプレADをそのまま残しつつ、Entra Connectツールで両者を同期させるハイブリッド構成を採用しています。社内システムはオンプレAD、SaaSやMicrosoft 365はEntra IDというすみ分けで段階的に移行できる点が現実的な選択肢です。

参考：Active Directory と Microsoft Entra ID との比較 - Microsoft Learn

Entra IDのライセンスプランと選び方

Entra IDにはFree、P1、P2の3つのライセンスがあり、利用できる機能と価格が大きく異なります。組織の規模とセキュリティ要求レベルに応じた選定が重要になります。

Free プラン

Microsoft 365やAzureサブスクリプションに自動的に含まれる無料プランで、基本的なユーザー管理、シングルサインオン、クラウドユーザーのパスワード変更などが利用できます（オンプレミスへの書き戻しを含むセルフサービスパスワードリセットは上位ライセンスが必要）。条件付きアクセスやPIMは含まれません。

P1 プラン

ユーザーあたり月額課金（税抜・2025年時点）の有償プランで、条件付きアクセス、動的グループ、SCIMプロビジョニング、ハイブリッド環境向けのEntra Connect Healthなど、エンタープライズ運用に必須の機能が解放されます。Microsoft 365 E3プランに含まれます。

P2 プラン

ユーザーあたり月額課金（税抜・2025年時点）の最上位プランで、PIM、Identity Protection（リスクベース条件付きアクセス）、アクセスレビューなどの高度な機能が利用できます。Microsoft 365 E5プランに含まれており、上場企業や金融・通信業界などコンプライアンス要件の厳しい組織で採用される傾向があります。

プラン選定の判断軸

判断軸は次の3点です。

• 多要素認証のみで十分か、リスクベースの自動制御まで必要か
• 特権アカウントへのジャストインタイム制御が必要な統制要件があるか
• アクセスレビューによる定期的な権限棚卸しが内部監査で要求されているか

特に上場企業の情シスでは、内部統制報告制度（J-SOX）の対応観点でP2を採用するケースが目立ちます。

参考：Microsoft Entra ライセンス - Microsoft Learn

情シスがEntra IDを導入するメリット

Entra IDは特にMicrosoft 365を全社展開している組織で、追加コストを抑えながら認証統合とゼロトラスト基盤を整備できる現実的な選択肢になります。情シスの実務目線で得られる効果を整理します。

SaaS連携の標準化

Microsoft 365に同梱される範囲でEntra IDが使えるため、新規SaaS導入時に「Entra IDでSSOできるか」を1つの判断軸にすれば、認証連携の検討工数を大きく削減できます。Entraアプリギャラリーには数千のSaaSテンプレートが用意されており、設定作業もチェックボックス操作中心で済むケースが多くあります。

退職処理の即応性

人事システムからEntra IDへ退職データが連携されると、SCIMプロビジョニングを通じて連携SaaSのアカウントが自動的に無効化されます。手作業で各SaaSにログインしてアカウント削除を回す必要がなくなり、退職処理に半日かかっていた工数が10分以下に短縮された事例もあります。

コンプライアンス対応の効率化

Entra IDのサインインログ・監査ログはAzure MonitorやSentinelに転送できるため、SIEM基盤との統合が容易です。アクセスレビューを四半期ごとに自動実行する設定にしておけば、監査対応資料の取得に追われることもなくなります。

Entra ID導入時の注意点

Entra IDは強力な機能を備える一方、導入直後にハマりやすい落とし穴があります。事前に押さえておきたい3つのポイントを紹介します。

緊急アカウント（Break-Glassアカウント）の確保

Entra IDがダウンしたり、条件付きアクセスポリシーの設定ミスで全管理者がロックアウトされる事態に備え、条件付きアクセス対象外の緊急アクセス用アカウントを2つ以上用意するのがMicrosoft推奨です。

レガシー認証の段階的廃止

旧来のメールクライアントやスクリプトはBasic認証など古い方式を使っているため、レガシー認証ブロックポリシーを一気に有効化すると業務停止リスクがあります。サインインログから利用状況を可視化し、段階的に切り替えるアプローチが安全です。

グループ運用の設計

Entra IDのグループには「割り当て済み」「動的ユーザー」「動的デバイス」の3種類があり、運用負荷が大きく異なります。属性に応じた自動グルーピングを使うと退職・異動時のメンテナンスが不要になりますが、属性データの正確性が前提になります。

Entra IDだけでは解決できないSaaS管理の課題

Entra IDは認証統合では強力ですが、Entra ID対応外のSaaSや、SaaS内部の利用状況・コスト・ライセンス重複までは見渡せません。SaaS数が30を超える組織では、Entra IDとSaaS管理プラットフォーム（SMP）の組み合わせ運用が現実解になります。

Entra ID対応外SaaSの存在

部門が独自に契約した小規模SaaSや業務特化型ツールはSAML・SCIMに対応していないことがあり、Entra ID配下で一元管理できません。アカウント発行と削除を別ルートで管理する必要が出てきます。

ライセンスコストの可視化

Entra IDはアカウントの存在は把握できても、各SaaSで誰がどれだけのライセンスを消費しているか、有償ライセンスの利用率はどうかまでは追えません。年間SaaS支出の最適化には別の仕組みが必要です。

利用状況のヒートマップ

特定SaaSが本当に使われているか、休眠アカウントが何人いるか、といった粒度の可視化はEntra IDのスコープ外です。SaaS管理プラットフォームを併用すると、未使用ライセンスの削減につながった事例もあります。

SaaS管理プラットフォームが補う領域

ジョーシスのプラットフォームは350以上のSaaSアプリ連携と31カテゴリの管理機能を備え、Entra ID対応・非対応の双方を統合管理できる設計です。国内外700社以上の導入実績があり、事例によっては、IT工数の最大50%削減、IT管理コストの最大75%削減につながった報告もあります。

無料デモはJosys デモ予約から日程を選べます。

Microsoft Entra IDについてよくある質問

Entra IDの導入検討フェーズで情シス担当者から多く寄せられる質問を整理しました。

Entra IDとAzure ADは別物ですか

別物ではなく、Azure Active Directoryが2023年10月にMicrosoft Entra IDへ名称変更されたサービスそのものです。機能・価格・ライセンス体系は変わっていません。

Entra IDだけでゼロトラストは実現できますか

Entra ID P2ライセンスの条件付きアクセスとIdentity Protection、PIMを組み合わせれば、ID視点のゼロトラストはかなりのレベルで実現できます。ただしネットワーク・デバイス・データ層の対策はDefenderやIntuneなど他のMicrosoftセキュリティ製品との連携が必要です。

オンプレADと併用するべきですか

レガシーアプリやファイルサーバが残っている組織はEntra Connectでハイブリッド運用するのが現実解です。クラウドネイティブ前提の組織ではEntra ID単独運用に踏み切るケースも増えています。

Entra IDのバックアップは必要ですか

Microsoftがインフラレベルで冗長化していますが、誤削除・設定ミス・条件付きアクセスのロックアウトに備えて、ディレクトリ設定とポリシーをエクスポートする運用フローを別途整備するのが推奨されます。

まとめ

Microsoft Entra IDはMicrosoft 365導入企業にとって、追加投資を抑えながら認証統合とゼロトラスト基盤を整備できる中核サービスです。SSO、MFA、条件付きアクセス、PIMの4機能を中心に運用設計し、ライセンスはセキュリティ要件に応じてP1かP2を選定するのが基本的な進め方になります。

ただしEntra IDは認証統合に強い一方、SaaSの利用状況・コスト・対応外SaaSの可視化までは届きません。Entra IDとSaaS管理プラットフォームを組み合わせれば、認証統制とSaaSライフサイクル管理を同時に運用できます。自社のSaaS環境を統合的に整備したい場合は、5分でわかるJosysから検討を始めるのが近道になります。