この記事を書いた人
高岡智則
年齢:33歳 性別:男性 職業:Webディレクター(兼ライティング・SNS運用担当) 居住地:東京都杉並区・永福町の1LDKマンション 出身地:神奈川県川崎市 身長:176cm 体系:細身〜普通(最近ちょっとお腹が気になる) 血液型:A型 誕生日:1992年11月20日 最終学歴:明治大学・情報コミュニケーション学部卒 通勤:京王井の頭線で渋谷まで(通勤20分) 家族構成:一人暮らし、実家には両親と2歳下の妹 恋愛事情:独身。彼女は2年いない(本人は「忙しいだけ」と言い張る)
azureactivedirectoryとは何か
azureactivedirectory は Microsoft が提供するクラウド上のアイデンティティサービスです。日本語では Azure Active Directory と呼ばれますが、日常の資料では azureactivedirectory という語をそのまま使うことも多いです。ここでは初心者にも分かるように基礎を解説します。
基本の仕組み
アイデンティティを管理する仕組みの中心は「ディレクトリ(ディレクトリサービス)」と呼ばれるデータベースです。企業ごとに独立したテナントが作られ、ユーザー・グループ・アプリケーション・デバイスなどをこのテナント内で管理します。azureactivedirectory はこの情報をクラウドで安全に保ち、サインインを一元化します。
主な機能
シングルサインオンを使えば、1つのアカウントで複数のアプリにログインできます。多要素認証(MFA)を設定すれば、追加の確認手段を求めてセキュリティを強化します。
また、外部の企業やサービスと連携するための B2B や B2C の機能、アプリを登録して利用者に適切な権限を与える アプリ登録 の仕組みも用意されています。
「条件付きアクセス」を設定すると、場所やデバイス、リスクレベルに応じて認証の要求を変えることができます。これにより、重要なデータへはより厳しい条件を設定できます。
使い方の流れ
導入の基本は次の4ステップです。1) 企業用のディレクトリ(テナント)を作成します。2) ユーザーとグループを作成・取り込みます。3) アプリを登録してサインインの対象を設定します。4) 条件付きアクセスなどのセキュリティ設定を有効化します。
実務では、既存の社員情報をディレクトリへ連携(同期)する仕組み、オンプレミスのディレクトリサービスとの連携、Microsoft 365 などのクラウドサービスとの統合がよく行われます。
導入のポイント
初めて導入する場合は、必要最低限の機能から始めるのがコツです。まずは SSO と MFA を設定してセキュリティの基盤を固め、その後、アプリの登録と条件付きアクセスを段階的に追加していくのが一般的な流れです。
表で確認
| 項目 | 説明 |
|---|---|
| SSO | 1つのアカウントで複数のアプリにログインできる機能 |
| MFA | 追加の認証手段を要求してセキュリティを強化 |
| テナント | 企業ごとに独立したディレクトリ領域 |
| 条件付きアクセス | 場所、デバイス、ユーザーリスクに応じて認証手順を変える設定 |
| アプリ登録 | 利用するアプリを Azure AD に登録して権限を管理する機能 |
まとめ
azureactivedirectory はクラウド上でのアカウント管理とアプリへの安全なアクセスを実現する基盤です。企業のIT管理者はこのサービスを使って従業員のサインイン体験を向上させつつ、セキュリティと運用の効率を高めることができます。
よくある質問
Q&A形式の疑問点にも答えます。初期費用や設定の難易度、オンプレミスとの連携方法、他のクラウドサービスとの統合のポイントなど、実務で直面するポイントをざっくり解説します。初心者は小さな範囲から始め、徐々に範囲を広げるのがコツです。
azureactivedirectoryの同意語
- Azure Active Directory
- マイクロソフトが提供するクラウド型のIDとアクセス管理サービス。企業のユーザー認証、シングルサインオン(SSO)、アプリへのアクセス制御を一元的に行います。
- Azure AD
- Azure Active Directoryの略称。クラウド上のID管理と認証・SSO機能を指す短縮表現です。
- Microsoft Entra ID
- Azure Active Directoryの新しいブランド名。名称は変わりましたが、機能はID管理・認証・SSOを提供する同一サービスです。
- Entra ID
- Microsoft Entra IDの短縮形。クラウド型のID管理・認証サービスを指します。
- Azure Active Directory (AAD)
- Azure Active Directoryの略語の一つ。Azure ADと同じクラウドID管理サービスを意味します。
- Entra ID (Azure Active Directoryの新名称)
- 同一サービスの名称変更後の表現。ID管理・認証・SSO機能を提供します。
azureactivedirectoryの対義語・反対語
- オンプレミスActive Directory
- クラウド上ではなく、企業内のサーバー上で動作するActive Directory。Azure Active Directoryの対義語として使われることが多い概念。
- ローカルActive Directory
- クラウド中心のAzure ADに対して、社内の環境で運用されるActive Directory。対義語として分かりやすく使われる表現。
- オンプレミスAD
- Active Directoryをクラウドに置かず、社内のサーバーで運用する構成の略称。Azure ADの対義語として用いられることがある。
- オンプレミスディレクトリサービス
- 社内サーバー上で提供されるディレクトリサービス全般(例: Active Directory)。クラウド中心のAzure ADの対義語として使われる概念。
- クラウドを使わないID管理
- ID管理をクラウドに依存せず、社内環境だけで運用する考え方。
- 自社内完結型認証基盤
- 外部クラウドを使わず、自社内のリソースだけで認証・認可を完結させる基盤。
- クラウド非依存のディレクトリサービス
- クラウドへの依存を避け、オンプレミス中心で動くディレクトリサービスの総称。
- Azure AD以外のディレクトリサービス
- Azure Active Directory以外のディレクトリサービスを指す概念。対義語的に使われることがある。
azureactivedirectoryの共起語
- Azure Active Directory
- Microsoftが提供するクラウド型のアイデンティティ管理サービス。ユーザーやデバイス、アプリの認証・認可を一元管理します。
- SSO(シングルサインオン)
- 1つの認証で複数のアプリに自動的にサインインできる仕組み。
- MFA(多要素認証)
- パスワードだけでなく第二の要素(スマホのコード、通知、生体認証など)で本人確認を行う方法。
- 条件付きアクセス
- ユーザー・デバイス・場所・リスクなどの状況に応じて、アクセスを許可・制限するセキュリティ機能。
- Azure AD Connect
- オンプレミスのActive DirectoryとAzure ADを同期させるためのツール。
- Microsoft Graph
- Microsoft 365 や Azure のデータへアクセスするための統一 API。
- OpenID Connect(OIDC)
- 認証を行うための標準的なプロトコル。OIDCは OAuth 2.0 の上に認証情報を追加します。
- OAuth 2.0
- アプリ間の権限付与を扱う標準的な認可プロトコル。
- SAML 2.0
- 企業間のアイデンティティ連携を実現する認証プロトコル。
- External Identities
- 外部アイデンティティの管理、ゲストユーザーの受け入れや外部コラボレーション。
- Azure AD B2C
- 顧客向けのサインアップ/サインインを提供する機能。
- Azure AD B2B
- 企業間のゲストアクセスや共同作業をサポートする機能。
- アプリ登録
- アプリをAzure ADに登録して、認証情報や権限を設定する作業。
- サービスプリンシパル
- アプリの実体を表す Azure AD オブジェクト。
- ユーザー
- 組織内の人やアカウントを指す識別子。
- グループ
- 複数のユーザーをまとめて管理する集合体。
- ロール
- 権限のセット。ユーザーやグループに割り当ててアクセスを制御します。
- ライセンス
- 機能を利用する権利を割り当てる権利・プラン。
- PIM(Privileged Identity Management)
- 特権アイデンティティの管理と制御を行う機能。
- アイデンティティガバナンス
- アイデンティティのライフサイクルとアクセスの監視・制御。
- 監査ログ
- 操作履歴を記録するログ。セキュリティ監査に利用。
- セキュリティデフォルト
- 初期設定のセキュリティ推奨設定。
- ゲストユーザー
- 組織外の協力者を招待して利用できるユーザー。
- テナント
- Azure AD のディレクトリ単位の組織。
- ディレクトリ
- ユーザー・アプリ・デバイスを管理する階層。
- デバイスベースの条件付きアクセス
- デバイスの状況に応じてアクセス制御を適用する設定。
- 自己サービスパスワードリセット(SSPR)
- ユーザー自身がパスワードをリセットできる機能。
- パスワードレス認証
- パスワードを使わずにサインインする認証方式。
- Windows Hello for Business
- デバイスと連携したパスワードレス認証の実装の一つ。
- FIDO2
- パスワードレス認証の規格。
- Managed Identities
- Azure リソースが自分自身のアイデンティティを持つ仕組み。
- Microsoft Entra ID
- Azure AD の新ブランド名。Entra ファミリーの ID サービス。
- アプリケーションプロキシ
- Azure AD を介したセキュアな外部アクセスを提供する機能。
- Consent(同意)
- アプリがデータへアクセスする許可をユーザーが与える仕組み。
- JWT(JSON Web Token)
- 認証・認可情報を含むトークン形式。
azureactivedirectoryの関連用語
- Azure Active Directory
- クラウド上のアイデンティティ管理サービス。サインイン認証、グループ・アプリの管理、SSO(シングルサインオン)などを提供します。
- Microsoft Entra ID
- Azure Active Directoryの新しいブランド名。基本機能は同じアイデンティティ管理サービスです。
- テナント (Tenant)
- 組織ごとに分離されたAzure ADの単位。ユーザー・グループ・設定を一元管理する枠組みです。
- カスタムドメイン
- 自社の独自ドメインをAzure ADに追加して、統一した識別子として使う設定です。
- ドメインの検証
- カスタムドメインを利用可能にするため、所有権を確認する手続きです。
- Azure AD Connect
- オンプレミスのActive DirectoryとAzure ADを同期・連携させるツールです。
- Password Hash Synchronization (PHS)
- オンプレミスADのパスワードハッシュをAzure ADと同期し、同じIDでサインインできるようにする機能です。
- Pass-through Authentication (PTA)
- オンプレミスの認証をAzure AD経由で実行する認証方法です。
- Federation / ADFS
- オンプレミスのADFSと連携して、認証をクラウドと統合する方法です。
- Hybrid Identity
- オンプレミスとクラウドのIDを統合して運用する考え方・構成です。
- Microsoft Graph
- Microsoft 365やAzure ADのデータへ統一的にアクセスする推奨APIです。
- Azure AD Graph API
- 旧世代のAzure AD向けAPI。現在はMicrosoft Graphへの移行が推奨されています。
- App registrations
- アプリをAzure ADに登録して、クライアントIDやリダイレクトURIなどの認証情報を管理する場所です。
- Enterprise applications
- 組織が利用するアプリの配布・設定・権限を管理する中心的な場所です。
- Service principal
- アプリの実行アイデンティティ。アプリ登録と連携して認証・承認を処理します。
- Client secret
- アプリ登録時に発行される秘密鍵。アプリとAzure ADの信頼関係を担保します。
- Certificate-based authentication
- 証明書を使った認証方式。セキュリティの高いサインインを実現します。
- OAuth 2.0
- リソースにアクセスする権限を取得する標準的な認可フレームワークです。
- OpenID Connect
- OAuth 2.0を拡張した認証プロトコル。IDトークンでユーザーを認証します。
- SAML 2.0
- 別の認証プロトコル。多くのSaaSと連携する際に使われます。
- Conditional Access
- 特定の条件下でのみアクセスを許可・拒否するポリシーです(例: 場所・デバイス・リスクに基づく判断)。
- MFA (Multi-Factor Authentication)
- パスワード以外の要素で本人確認を強化する認証方式です。
- Security defaults
- セキュリティ機能をデフォルトで強化する初期設定群です。
- Identity Protection
- サインイン時のリスクを検出・対処する機能です。
- PIM (Privileged Identity Management)
- 特権アカウントの権限を時間制限・最小権限で管理する機能です。
- Access Reviews
- ユーザーのアクセス権を定期的に見直す機能です。
- Entitlement Management / Access Packages
- アクセス権をパッケージ化して配布・回収を効率化する機能です。
- Azure AD Roles
- 管理者権限などのロールを割り当てる機能です。
- Groups (Security / Microsoft 365)
- ユーザーをまとめて管理するグループ。動的メンバーシップも設定可能です。
- B2B collaboration
- 他社のユーザーを自社のAzure ADに招待して共同作業を行える機能です。
- B2C
- 外部の顧客向けにサインアップ・サインインを提供するソリューションです。
- Self-service password reset (SSPR)
- ユーザー自身がパスワードをリセットできる機能です。
- Passwordless sign-in
- パスワードを使わずにサインインする方法全般を指します(例: FIDO2、Authenticatorアプリ)。
- Windows Hello for Business
- Windowsデバイスで生体認証・PINを使ってサインインする機能です。
- FIDO2 security keys
- FIDO2準拠のセキュリティキーを用いたサインイン方式です。
- Guest users
- 外部のユーザーを自社のAzure ADにゲストとして招待する機能です。
- Dynamic Groups
- 条件に基づき自動でメンバーを追加・削除するグループです。
- Application Proxy
- 社内アプリをAzure AD経由で外部から安全に公開する機能です。
- Managed identities for Azure resources
- Azureリソースが他のAzureサービスへ安全にアクセスするための自動IDです。
- Azure AD Domain Services
- クラウド上で AD DS の機能を提供するマネージドサービスです。
- Licensing (Free, P1, P2)
- Azure ADの機能レベル。P1・P2で追加機能が使えます。
- Admin centers (Azure / Entra Admin Center)
- 管理者が設定を行う管理画面の総称です。
- Sign-in logs / Audit logs
- サインイン履歴と監査ログを確認・分析する機能です。
- Token types (Access token, ID token, Refresh token)
- サインイン後に用いられるトークンの種類と役割を指します。
- Scopes / API permissions
- アプリがアクセスできるデータ範囲を定義する権限設定です。
- Graph Explorer
- Microsoft GraphのAPIを試すためのウェブツールです。
- App registrations vs Enterprise applications
- アプリ登録とエンタープライズアプリの役割と管理場所の違いを示します。
- Single Sign-On (SSO)
- 一度のサインインで複数のアプリへ自動的にログインできる仕組みです。
- Hybrid Identity / Cloud Connector
- オンプレとクラウドのIDを連携させ、連携運用を実現する考え方です。
- Directory synchronization
- ディレクトリ間のユーザー情報を同期させる基本的な機能です。
azureactivedirectoryのおすすめ参考サイト
- 【初心者向け】AzureActiveDirectoryとは何なのか #AzureAD - Qiita
- Azure ADとは?知っておきたい機能や料金、オンプレADとの違い
- 【Azure入門⑦】AzureADとは?ユーザの管理を行う!
- Azure ADとは?知っておきたい機能や料金、オンプレADとの違い
インターネット・コンピュータの人気記事
14730viws
2448viws
1092viws
1071viws
960viws
922viws
881viws
862viws
813viws
813viws
738viws
721viws
622viws
619viws
609viws
563viws
540viws
519viws
511viws
487viws