Microsoft Entra ライセンス
この記事では、Microsoft Entra サービスのライセンスについて説明します。 この記事は、組織に Microsoft Entra サービスを検討している IT 意思決定者、IT 管理者、IT プロフェッショナルを対象としています。 エンド ユーザー向けではありません。
重要
ここに記載されていないサービスのライセンス情報については、サービス ドキュメントまたは Microsoft Entra ID の価格ページを参照してください。
アプリ プロビジョニング
Microsoft Entra アプリケーション プロキシには、Microsoft Entra ID P1 または P2 ライセンスが必要です。 ライセンスの詳細については、「Microsoft Entra の価格」を参照してください。
認証
次の表に、さまざまなバージョンの Microsoft Entra ID の認証に使用できる機能を示します。 ユーザーのサイン情報のセキュリティ保護に必要なものを詳しく検討し、その要件を満たす方法を決定します。 たとえば、Microsoft Entra ID Free では多要素認証によるセキュリティの既定値群が提供されますが、認証プロンプトに使用できるのはテキストや音声通話を含む Microsoft Authenticator のみです。 ユーザーの個人用デバイスに Authenticator がインストールされていることを確認できない場合、この方法は成約を受けるかもしれません。
| 機能 | Microsoft Entra ID Free - セキュリティの既定値群 (すべてのユーザーに対して有効) | Microsoft Entra ID Free - グローバル管理者のみ | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| MFA で Microsoft Entra テナント管理者アカウントを保護する | ✅ | ✅ (Microsoft Entra 全体管理者アカウントの場合のみ) | ✅ | ✅ | ✅ |
| モバイル アプリを 2 番目の要素にする | ✅ | ✅ | ✅ | ✅ | ✅ |
| 音声通話を 2 番目の要素にする | ✅ | ✅ | ✅ | ||
| SMS を 2 番目の要素にする | ✅ | ✅ | ✅ | ✅ | |
| 検証方法の管理制御 | ✅ | ✅ | ✅ | ✅ | |
| 不正アクセスのアラート | ✅ | ✅ | |||
| MFA レポート | ✅ | ✅ | |||
| 音声通話のカスタムあいさつ文 | ✅ | ✅ | |||
| 音声通話のカスタム発信元 ID | ✅ | ✅ | |||
| 信頼できる IP | ✅ | ✅ | |||
| 信頼済みデバイスの MFA の記憶 | ✅ | ✅ | ✅ | ✅ | |
| オンプレミス アプリケーション用の MFA | ✅ | ✅ | |||
| 条件付きアクセス | ✅ | ✅ | |||
| リスクベースの条件付きアクセス | ✅ | ||||
| セルフサービス パスワード リセット (SSPR) | ✅ | ✅ | ✅ | ✅ | ✅ |
| 書き戻しを使用した SSPR | ✅ | ✅ |
マネージド ID
Azure リソース用マネージド ID を使用するためのライセンス要件はありません。 Azure リソースのマネージド ID は、Microsoft Entra 認証をサポートするリソースに接続するときにアプリケーションが使用する自動的にマネージド ID を提供します。 マネージド ID を使用するベネフィットの 1 つは、資格情報を管理する必要がなく、追加料金なしで使用できることです。 詳細については、「Azure リソースのマネージド ID とは」を参照してください。
Microsoft Entra ID Governance
次の表は、Microsoft Entra ID ガバナンス機能のライセンス要件を示しています。 ライセンス情報と、エンタイトルメント管理、アクセス レビュー、ライフサイクル ワークフローのライセンス シナリオの例を表の後に示します。
ライセンス別の機能
次の表は、各ライセンスので使用できる機能を示しています。 すべての機能がすべてのクラウドで使用できるわけではありません。Azure Government の「Microsoft Entra 機能の可用性」を参照してください。
| 機能 | Free | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID Governance |
|---|---|---|---|---|
| API 駆動型のプロビジョニング | ✅ | ✅ | ✅ | |
| 人事主導のプロビジョニング | ✅ | ✅ | ✅ | |
| SaaS アプリへの自動ユーザー プロビジョニング | ✅ | ✅ | ✅ | ✅ |
| SaaS アプリへの自動グループ プロビジョニング | ✅ | ✅ | ✅ | |
| オンプレミス アプリへの自動プロビジョニング | ✅ | ✅ | ✅ | |
| 条件付きアクセス - 使用条件の構成証明 | ✅ | ✅ | ✅ | |
| エンタイトルメント管理 - 基本的なエンタイトルメント管理 | ✅ | ✅ | ||
| エンタイトルメント管理 - 条件付きアクセス スコープ | ✅ | ✅ | ||
| エンタイトルメント管理 MyAccess 検索 | ✅ | ✅ | ||
| 検証済み ID を使用したエンタイトルメント管理 | ✅ | |||
| エンタイトルメント管理 + カスタム拡張機能 (Logic Apps) | ✅ | |||
| エンタイトルメント管理 + 自動割り当てポリシー | ✅ | |||
| エンタイトルメント管理 - 任意のユーザーを直接割り当てる (プレビュー) | ✅ | |||
| エンタイトルメント管理 - ゲスト変換 API | ✅ | |||
| エンタイトルメント管理 - 猶予期間 (プレビュー) | ✅ | ✅ | ||
| マイ アクセス ポータル | ✅ | ✅ | ||
| エンタイトルメント管理 - Microsoft Entra ロール (プレビュー) | ✅ | |||
| エンタイトルメント管理 - スポンサー ポリシー | ✅ | |||
| Privileged Identity Management (PIM) | ✅ | ✅ | ||
| グループの PIM | ✅ | ✅ | ||
| PIM CA コントロール | ✅ | ✅ | ||
| アクセス レビュー - 基本的なアクセス認定とレビュー | ✅ | ✅ | ||
| アクセス レビュー - グループの PIM | ✅ | |||
| アクセス レビュー - 非アクティブなユーザーのレビュー | ✅ | |||
| アクセス レビュー - 非アクティブなユーザーのレコメンデーション | ✅ | ✅ | ||
| アクセス レビュー - 機械学習支援によるアクセス認定とレビュー | ✅ | |||
| ライフサイクル ワークフロー (LCW) | ✅ | |||
| LCW + カスタム拡張機能 (Logic Apps) | ✅ | |||
| ID ガバナンス ダッシュボード | ✅ | ✅ | ✅ | |
| 分析情報とレポート - 非アクティブなゲスト アカウント | ✅ |
エンタイトルメント管理
組織のユーザーがこの機能を使うには、Microsoft Entra ID Governance のサブスクリプションが必要です。 この機能に含まれる一部の機能は、Microsoft Entra ID P2 サブスクリプションで動作する場合があります。
ライセンスのシナリオ例
必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。
| シナリオ | 計算 | ライセンス数 |
|---|---|---|
| Woodgrove Bank の ID ガバナンス管理者が初期カタログを作成します。 ポリシーの 1 つで、すべての従業員 (2,000 の従業員) は特定のアクセス パッケージのセットを要求できることが指定されています。 150 人の従業員がアクセス パッケージを要求します。 | アクセス パッケージを要求できる 2,000 人の従業員 | 2,000 |
| Woodgrove Bank の ID ガバナンス管理者が初期カタログを作成します。 ポリシーの 1 つで、すべての従業員 (2,000 の従業員) は特定のアクセス パッケージのセットを要求できることが指定されています。 150 人の従業員がアクセス パッケージを要求します。 | 2,000 人の従業員にライセンスが必要です。 | 2,000 |
| Woodgrove Bank の ID ガバナンス管理者が初期カタログを作成します。 営業部門のすべてのメンバー (350 人の従業員) に特定のアクセス パッケージへのアクセス権を付与する自動割り当てポリシーを作成します。 350 人の従業員がアクセス パッケージに自動的に割り当てられます。 | 350 人の従業員にライセンスが必要です。 | 351 |
アクセス レビュー
この機能を使用するには、アクセスをレビューしているやアクセスがレビューしされているすべての従業員を含む、組織のユーザー向けの Microsoft Entra ID ガバナンス サブスクリプションが必要です。 この機能に含まれる一部の機能は、Microsoft Entra ID P2 サブスクリプションで動作する場合があります。
ライセンスのシナリオ例
必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。
| シナリオ | 計算 | ライセンス数 |
|---|---|---|
| 管理者は、ユーザーが 75 人でグループ所有者が 1 人のグループ A のアクセス レビューを作成し、そのグループ所有者をレビュー担当者として割り当てます。 | レビュー担当者としてのグループ所有者のライセンスが 1 つ、75 人のユーザーに対して 75 ライセンス。 | 76 |
| 管理者は、ユーザーが 500 人でグループ所有者が 3 人のグループ B のアクセス レビューを作成し、その 3 人のグループ所有者をレビュー担当者として割り当てます。 | ユーザーには 500 ライセンス、レビュー担当者としてグループ所有者ごとに 3 つのライセンス。 | 503 |
| 管理者は、ユーザーが 500 人のグループ B のアクセス レビューを作成します。 自己レビューにします。 | 自己レビュー担当者としての各ユーザー用に 500 ライセンス | 500 |
| 管理者は、メンバー ユーザーが 50 人のグループ C のアクセス レビューを作成します。 自己レビューにします。 | 自己レビュー担当者としての各ユーザー用に 50 ライセンス。 | 50 |
| 管理者は、メンバー ユーザーが 6 人のグループ D のアクセス レビューを作成します。 自己レビューにします。 | 自己レビュー担当者としての各ユーザー用に 6 ライセンス。 その他のライセンスは不要です。 | 6 |
ライフサイクル ワークフロー
ライフサイクル ワークフローの Entra Governance ID ライセンスを使用すると、次のことができます:
- 合計 50 ワークフローまで作成、管理、削除できます。
- オンデマンドおよびスケジュールされたワークフロー実行をトリガーします。
- 既存のタスクを管理および構成して、ニーズに固有のワークフローを作成します。
- ワークフローで使用するカスタム タスク拡張機能を最大 100 個作成します。
組織のユーザーがこの機能を使うには、Microsoft Entra ID Governance のサブスクリプションが必要です。
ライセンスのシナリオ例
| シナリオ | 計算 | ライセンス数 |
|---|---|---|
| ライフサイクル ワークフロー管理者は、マーケティング部門の新入社員をマーケティング チーム グループに追加するワークフローを作成します。 このワークフローを介して、250 人の新入社員がマーケティング チーム グループに割り当てられます。 | ライフサイクル ワークフロー管理者用ライセンスが 1 つ、ユーザー用ライセンスが 250 あります。 | 251 |
| ライフサイクル ワークフロー管理者は、雇用最終日になる前に従業員のグループに事前オフボードするためのワークフローを作成します。 事前オフボードされるユーザーの範囲は、40 人のユーザーです。 | ユーザー用ライセンスが 40、ライフサイクル ワークフロー管理者用ライセンスが 1 つ あります。 | 41 |
Microsoft Entra Connect
この機能の使用は無料で、Azure サブスクリプションに含まれています。
Microsoft Entra Connect Health
この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 自分の要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。
Microsoft Entra 条件付きアクセス
この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 自分の要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。
Microsoft 365 Business Premium ライセンスをお持ちのお客様も、条件付きアクセス機能にアクセスできます。
リスクベースのポリシーでは、Microsoft Entra ID P2 機能である Identity Protection へのアクセスが必要です。
条件付きアクセス ポリシーと対話する可能性のあるその他の製品と機能には、それらの製品と機能に対する適切なライセンスが必要です。
条件付きアクセスに必要なライセンスの有効期限が切れても、ポリシーが自動的に無効にされたり削除されたりすることはありません。 そのため、お客様は、セキュリティ体制を急激に変更することなく、条件付きアクセス ポリシーから移行できます。 残りのポリシーは表示および削除できますが、更新できなくなります。
セキュリティの既定値は ID 関連の攻撃を防止するのに役立ち、すべての顧客が利用できます。
Microsoft Entra ID Protection
この機能を使用するには、Microsoft Entra ID P2 ライセンスが必要です。 自分の要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。
| 機能 | 詳細 | Microsoft Entra ID Free / Microsoft 365 Apps | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|
| リスク ポリシー | サインインおよびユーザー リスク ポリシー (Identity Protection または条件付きアクセス経由) | No | 番号 | はい |
| セキュリティ レポート | 概要 | いいえ | 番号 | はい |
| セキュリティ レポート | 危険なユーザー | 限定的な情報。 リスクの程度が中から高のユーザーのみが表示されます。 詳細ドロアーやリスクの履歴は提供されません。 | 限定的な情報。 リスクの程度が中から高のユーザーのみが表示されます。 詳細ドロアーやリスクの履歴は提供されません。 | フル アクセス |
| セキュリティ レポート | リスクの高いサインイン | 限定的な情報。 リスクの詳細やリスク レベルは表示されません。 | 限定的な情報。 リスクの詳細やリスク レベルは表示されません。 | フル アクセス |
| セキュリティ レポート | リスク検出 | いいえ | 限定的な情報。 詳細ドロアーは提供されません。 | フル アクセス |
| 通知 | 危険な状態のユーザーが検出されたアラート | いいえ | 番号 | はい |
| 通知 | 週間ダイジェスト | いいえ | 番号 | はい |
| MFA 登録ポリシー | いいえ | 番号 | はい |
Microsoft Entra の監視と正常性
必要なロールとライセンスは、レポートによって異なる場合があります。 Microsoft Graph の監視データと正常性データにアクセスするには、個別のアクセス許可が必要です。 ゼロ トラスト ガイダンスに沿って、最小限の特権アクセス権を持つロールを使用することをお勧めします。
| ログ/レポート | ロール | ライセンス |
|---|---|---|
| Audit | レポート閲覧者 セキュリティ閲覧者 セキュリティ管理者 グローバル閲覧者 |
Microsoft Entra ID のすべてのエディション |
| サインイン | レポート閲覧者 セキュリティ閲覧者 セキュリティ管理者 グローバル閲覧者 |
Microsoft Entra ID のすべてのエディション |
| プロビジョニング | レポート閲覧者 セキュリティ閲覧者 セキュリティ管理者 グローバル閲覧者 セキュリティ オペレーター アプリケーション管理者 クラウド アプリ管理者 |
Microsoft Entra ID P1 または P2 |
| カスタム セキュリティ属性の監査ログ* | 属性ログ管理者 属性ログ閲覧者 |
Microsoft Entra ID のすべてのエディション |
| 使用状況と分析情報 | レポート閲覧者 セキュリティ閲覧者 セキュリティ管理者 |
Microsoft Entra ID P1 または P2 |
| Identity Protection** | セキュリティ管理者 セキュリティ オペレーター Security Reader グローバル閲覧者 |
Microsoft Entra ID Free Microsoft 365 アプリ Microsoft Entra ID P1 または P2 |
| Microsoft Graph アクティビティ ログ | セキュリティ管理者 対応するログ保存先のデータにアクセスするためのアクセス許可 |
Microsoft Entra ID P1 または P2 |
*監査ログでカスタム セキュリティ属性を表示するか、カスタム セキュリティ属性の診断設定を作成するには、いずれかの属性ログのロールが必要です。 また、標準の監査ログを表示するための適切なロールも必要です。
**Identity Protection のアクセス レベルと機能は、ロールとライセンスによって異なります。 詳細については、「Identity Protection ライセンス要件」を参照してください。
Microsoft Entra Privileged Identity Management
Microsoft Entra Privileged Identity Management を使用するには、テナントに有効なライセンスが必要です。 また、管理者と関連ユーザーにライセンスを割り当てることも必要です。 この記事では、Privileged Identity Management を使用するためのライセンス要件について説明します。 Privileged Identity Management を使用するには、次のライセンスのいずれかが必要です。
PIM の有効なライセンス
PIM とそのすべての設定を使用するには、Microsoft Entra ID ガバナンス ライセンスまたは Microsoft Entra ID P2 ライセンスが必要です。 現時点では、アクセス レビューのスコープを、Microsoft Entra ID へのアクセス権を持つサービス プリンシパルと、テナントで Microsoft Entra ID P2 または Microsoft Entra ID ガバナンス エディションがアクティブになっているユーザーの Azure リソース ロールに設定できます。 サービス プリンシパルのライセンス モデルは、この機能の一般提供のために終了する予定です。このため、追加のライセンスが必要になる場合があります。
PIM に必要なライセンス
次のユーザー カテゴリについて、お使いのディレクトリに Microsoft Entra ID P2 または Microsoft Entra ID ガバナンスのライセンスがあることを確認します:
- PIM を使用して管理される Microsoft Entra ID または Azure ロールへの適格な割り当てや期限付き割り当てを持つユーザー
- グループの PIM のメンバーまたは所有者として、資格のある割り当てまたは期限付きの割り当てを持つユーザー
- PIM でアクティブ化要求を承認または却下できるユーザー
- アクセス レビューに割り当てられたユーザー
- アクセス レビューを実行するユーザー
PIM のライセンスのシナリオ例
必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。
| シナリオ | 計算 | ライセンス数 |
|---|---|---|
| Woodgrove Bank には、各部門に 10 人の管理者がいて、PIM を構成および管理する特権ロール管理者が 2 人います。 5 人の管理者を対象とします。 | 資格のある管理者用の 5 ライセンス | 5 |
| Graphic Design Institute には 25 人の管理者がいて、そのうちの 14 人は PIM で管理されています。 ロールのアクティブ化には承認が必要であり、組織にはアクティブ化を承認できるユーザーが 3 人います。 | 資格のあるロール用の 14 ライセンス + 3 承認者 | 17 |
| Contoso には 50 人の管理者がいて、そのうちの 42 人は PIM で管理されています。 ロールのアクティブ化には承認が必要であり、組織にはアクティブ化を承認できるユーザーが 5 人います。 また、Contoso では、管理者ロールに割り当てられているユーザーのレビューが毎月行われており、レビュー担当者はユーザーのマネージャーで、そのうちの 6 人は PIM によって管理される管理者ロールにはなっていません。 | 資格のあるロール用の 42 ライセンス + 5 承認者 + 6 レビュー担当者 | 53 |
PIM のライセンスの有効期限が切れた場合
Microsoft Entra ID P2、Microsoft Entra ID Governance、または試用版のライセンスの有効期限が切れた場合、お使いのディレクトリで Privileged Identity Management の機能を使用できなくなります。
- Microsoft Entra ロールへの永続的なロールの割り当てには影響しません。
- 特権ロールのアクティブ化、特権アクセスの管理、または特権ロールのアクセス レビューの実行のために、Microsoft Entra 管理センターの Privileged Identity Management サービスと、Privileged Identity Management の Graph API コマンドレットおよび PowerShell インターフェイスを利用することはできなくなります。
- ユーザーが特権ロールをアクティブ化できなくなったので、Microsoft Entra ロールの有資格ロールの割り当ては削除されます。
- Microsoft Entra ロールのすべての実行中のアクセス レビューが終了し、Privileged Identity Management の構成設定が削除されます。
- ロールの割り当てを変更しても、Privileged Identity Management からメールが送信されなくなります。
Microsoft Entra Verified ID
Microsoft Entra Verified ID は現在、Microsoft Entra ID Free を含むすべての Microsoft Entra サブスクリプションに追加料金なしで含まれています。 検証済み ID とその有効化方法については、「検証済み ID の概要」を参照してください。
マルチテナント組織
ソース テナント内: この機能を使用するには、Microsoft Entra ID P1 のライセンスが必要です。 テナント間同期で同期される各ユーザーは、ホーム/ソース テナントに P1 ライセンスを持っている必要があります。 要件に適したライセンスを見つけるには、「Microsoft Entra ID のプランと価格」を参照してください。
ターゲット テナント内: テナント間同期は、Microsoft Entra 外部 ID の課金モデルに依存します。 外部 ID のライセンス モデルを理解するには、「Microsoft Entra 外部 IDの MAU 課金モデル」を参照してください。 また、自動引き換えを有効にするには、ターゲット テナントに少なくとも 1 つの Microsoft Entra ID P1 ライセンスが必要です。
ロールベースのアクセス制御
Microsoft Entra ID では組み込みロールを無料で使用できます。 カスタム ロールを使用するには、カスタム ロールの割り当てを持つすべてのユーザーに対して Microsoft Entra ID P1 ライセンスが必要です。 ご自分の要件に対して適切なライセンスを探すには、一般公開されている Free および Premium エディションの機能比較に関するページをご覧ください。
ロール
管理単位
管理単位を使用するには、管理単位のスコープを介してロールを直接割り当てられている管理単位の各管理者に Microsoft Entra ID P1 ライセンスが必要です。また、管理単位の各メンバーには Microsoft Entra ID Free ライセンスが必要です。 管理単位の作成は、Microsoft Entra ID Free ライセンスで行うことができます。 管理単位に動的なメンバーシップの規則を使っている場合は、各管理単位メンバーに Microsoft Entra ID P1 ライセンスが必要です。 ご自分の要件に対して適切なライセンスを探すには、一般公開されている Free および Premium エディションの機能比較に関するページをご覧ください。
制限付き管理の管理単位
制限付き管理の管理単位には、それぞれの管理単位管理者用の Microsoft Entra ID P1 ライセンスと、管理単位メンバー用の Microsoft Entra ID Free ライセンスが必要です。 ご自分の要件に対して適切なライセンスを探すには、一般公開されている Free および Premium エディションの機能比較に関するページをご覧ください。
プレビュー段階の機能
現在プレビュー段階にある機能のライセンス情報は、該当する場合はここに含まれています。 プレビュー機能の詳細については、「Microsoft Entra ID プレビュー機能」を参照してください。
次のステップ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示