Microsoft Entra とは何ですか?
Microsoft Entra は、ID とネットワーク アクセス製品のファミリです。 これにより、組織はゼロ トラスト セキュリティ戦略を実装し、ID の検証、アクセス条件の検証アクセス許可の確認、接続チャネルの暗号化、セキュリティ侵害の監視を行うトラスト ファブリックを作成できます。
Microsoft Entra 製品ファミリ
Microsoft Entra 製品ファミリでは、信頼できる ID に対するセキュリティで保護されたエンドツーエンド アクセスの 4 つの成熟段階について説明します。 これらの段階には、ゼロ トラスト アクセス制御の確立、従業員、顧客、パートナー、およびクラウド環境へのアクセスのセキュリティ保護が含まれます。
ゼロ トラスト アクセス制御の確立
Microsoft Entra ID
Microsoft Entra ID は、Microsoft Entra の基本製品です。 従業員、デバイス、エンタープライズ アプリとリソースをセキュリティで保護するために不可欠な ID、認証、ポリシー、保護が提供されます。
Microsoft Entra Domain Services
Microsoft Entra Domain Services には、グループ ポリシー、ライトウェイト ディレクトリ アクセス プロトコル (LDAP)、Kerberos/NTLM 認証などのマネージド ドメイン サービスが用意されています。 これにより、組織は最新の認証方法を使用できないレガシ アプリケーションをクラウドで実行できます。
たとえば、Kerberos 認証へのアクセスを必要とするサービスを持つ組織は、コア サービス コンポーネントがマネージド ドメイン エクスペリエンスとして Microsoft によって展開および管理されるマネージド ドメインを作成できます。
従業員のアクセスをセキュリティで保護する
Microsoft Entra プライベート アクセス
Microsoft Entra Private Access は、企業ネットワークやマルチクラウド環境を含むすべてのプライベート アプリとリソースへのアクセスをセキュリティで保護します。 これにより、リモート ユーザーは、仮想プライベート ネットワーク (VPN) なしで、任意のデバイスとネットワークから内部リソースに接続できます。
たとえば、従業員は自宅やカフェで働きながら、企業のネットワーク プリンターに安全にアクセスできます。
Microsoft Entra インターネット アクセス
Microsoft Entra Internet Access は、サービスとしてのソフトウェア (SaaS) アプリ、Microsoft 365 アプリとリソースを含むすべてのインターネット リソースへのアクセスをセキュリティで保護します。 これにより、組織はアクセス許可またはリスク レベルが変更された場合に、ユーザー アクセスをリアルタイムで継続的に監視および調整できます。
たとえば、組織では Web コンテンツ のフィルター処理を有効にして、コンテンツ カテゴリとドメイン名に基づいて Web サイトへのアクセスを規制できます。
Microsoft Entra ID Governance
Microsoft Entra ID Governance を使用すると、アクセス要求、割り当て、レビューを自動化することで、ID とアクセス許可を管理しやすくなります。 さらに、ID ライフサイクル管理を通じて重要な資産を保護するのに役立ちます。
たとえば、管理者は新しい従業員にユーザー アカウントと Microsoft 365 ライセンスを自動的に割り当て、会社に所属しなくなった従業員からそれらの割り当てを削除できます。
Microsoft Entra ID Protection
Microsoft Entra ID 保護は、ID ベースのリスクを検出して報告します。 これにより、管理者は、条件付きアクセスなどのツールを使用してリスクを調査し、自動的に修復できます。
たとえば、組織はサインイン リスク レベルが中または高として報告されたときに多要素認証を必要とするリスクベースの条件付きアクセス ポリシーを作成できます。
Microsoft Entra Verified ID
認証に使用される ID に加えて、情報検証に使用される分散 ID (DID) もあります。
Microsoft Entra Verified ID は、オープン DID 標準に基づく資格情報検証サービスです。 これにより、組織は個人のデバイスに資格情報を保存するユーザーに検証可能な資格情報 (情報の有効性を証明するデジタル署名) を発行できます。 検証可能な資格情報を受け取ったユーザーは、自分の ID について何かを確認する会社または組織に資格情報を提示できます。
たとえば、最近大学を卒業した卒業生は、卒業証明書のデジタル コピーを DID に発行するよう大学に依頼できます。 その後、卒業証明書の発行者、発行時刻、およびその状態を独立して確認できる潜在的な雇用主に卒業証明書を提示することを選択できます。
顧客とパートナーのアクセスをセキュリティで保護する
Microsoft Entra 外部 ID
Microsoft Entra 外部 ID を使用すると、外部 ID がビジネス リソースやコンシューマー アプリに安全にアクセスできます。 ビジネス パートナーやゲストと社内のアプリやリソースで共同作業を行うだけでなく、コンシューマー向けアプリケーションの顧客 ID およびアクセス管理 (CIAM) を管理するための安全な方法が提供されます。
たとえば、組織はワンタイム パスコードや Google や Facebook のソーシャル アカウントなどの方法を使用して、顧客が Web アプリケーションにサインインするためのセルフサービス登録を設定できます。
任意のクラウドでアクセスをセキュリティで保護する
Microsoft Entra Permissions Management
Microsoft Entra Permissions Management では、Microsoft Entra ID とその他の ID プロバイダーによって管理されているすべての ID に割り当てられたアクセス許可を包括的に可視化できます。 これにより、組織は、Microsoft Azure、アマゾン ウェブ サービス (AWS)、Google Cloud Platform (GCP) 全体で未使用の過剰なアクセス許可を検出し、自動的に適切なサイズにし、継続的に監視できます。
たとえば、管理者はリスクの高いアクセス許可を持っていても使用していないユーザーを確認し、承認システム間で使用されていないアクセス許可を自動的に削除できます。
Microsoft Entra ワークロード ID
アプリケーション、サービス、コンテナーなどのワークロード ID には、人間の ID とデバイスの ID に加えて、認証と承認のポリシーが必要です。
Microsoft Entra Workload ID は、ワークロード ID の ID とアクセス管理ソリューションです。 これにより、組織は、アプリのアダプティブ ポリシーとカスタム セキュリティ属性を使用してリソースへのアクセスをセキュリティで保護できます。
たとえば、GitHub Actions には、ソフトウェア開発ワークフローを自動化、カスタマイズ、実行するために Azure サブスクリプションにアクセスするためのワークロード ID が必要です。
Microsoft Entra の準備をする
組織が Microsoft Entra を展開する前に、セキュリティのベスト プラクティスと標準に従ってインフラストラクチャとプロセスを構成する必要があります。 次の記事では、Microsoft Entra を正常に統合するためのアーキテクチャ、デプロイ、運用に関するガイダンスを提供します。
Microsoft Entra の使用
組織が Microsoft Entra を展開した後、管理者は Microsoft Entra 管理センターと Microsoft Graph API を使用して ID とネットワーク アクセス リソースを管理し、開発者は Microsoft ID プラットフォームを使用して ID とアクセス アプリケーションを構築できます。
Microsoft Entra 管理センター
Microsoft Entra 管理センターは、管理者が 1 つのユーザー インターフェイスを使用して Microsoft Entra 製品を構成および管理するための Web ベースのポータルです。
詳細については、「Microsoft Entra 管理センターの概要」を参照してください。
Microsoft Graph API
Microsoft Entra 管理センターに加えて、Microsoft Graph API を使用して、ライセンスのデプロイやユーザー ライフサイクル管理などの管理タスクを自動化できます。
詳細については、「Microsoft Graph を使用して Microsoft Entra を管理する」を参照してください。
Microsoft ID プラットフォーム
Microsoft ID プラットフォームを使用すると、開発者はオープンソース ライブラリと標準準拠の認証サービスを使用して、Web、デスクトップ、モバイル アプリケーションの認証エクスペリエンスを構築できます。
開発を開始するには、「概要」を参照してください。