ID の種類

Microsoft Entra IDは、クラウド時代の認証とアクセス管理を担うサービスです。

組織のセキュリティを強化するためには、どのような「ID」が存在し、どのように使われるのかを理解することが重要です。
本記事では、Microsoft Entra IDで扱うIDの種類をわかりやすく解説します。

Microsoft Entra IDで扱うIDの基本

Microsoft Entra IDでは、IDは大きく3つのカテゴリに分かれます。それは「人」「デバイス」「ワークロード」です。
この3つは、組織のセキュリティを支える基盤であり、ゼロトラストモデルの実現に欠かせません。

ユーザーID（User ID）
人間を対象とするIDです。従業員や外部パートナーなど、組織のリソースにアクセスするすべての人に割り当てられます。
ワークロードID（Workload ID）
アプリケーションやサービスに割り当てるIDです。クラウドネイティブな環境では、アプリやサービスが他のリソースにアクセスするために認証が必要です。
デバイスID（Device ID）
PCやスマートフォンなどの物理デバイスに割り当てるIDです。デバイスを登録・参加させることで、シングルサインオン（SSO）や条件付きアクセスを実現できます。

さらに、複数のIDをまとめて管理するために**グループ（Group）**という仕組みもあります。グループを使えば、アクセス権を効率的に付与できます。

ユーザーIDは、人間を対象とするIDで、従業員や外部ユーザー（顧客、パートナーなど）に割り当てられます。
特徴は次の2つの要素で決まります。

認証方法
- 内部認証：組織のMicrosoft Entraテナントにアカウントを持ち、その資格情報で認証します。
- 外部認証：別の組織のMicrosoft Entraアカウントや、ソーシャルIDなど外部IDプロバイダーを使います。
ユーザーの種類（UserType）
メンバー（Member）とゲスト（Guest）に分類されます。

さらに、認証方法とUserTypeの組み合わせで次の4つのパターンがあります。

ワークロードIDは、アプリケーションやサービスに割り当てるIDです。
クラウド環境では、アプリやサービスが他のリソースにアクセスするために認証が必要です。Microsoft Entra IDでは、次の仕組みを提供します。

サービスプリンシパル（Service Principal）
アプリケーションのIDであり、Microsoft Entraにアプリを登録すると作成されます。
マネージドID（Managed Identity）
資格情報を開発者が管理する必要がないID。Azureリソースで利用でき、追加コストなし。
種類は次の2つです。
- システム割り当て：Azureリソースに直接関連付けられる
- ユーザー割り当て：複数リソースで共有できる

デバイスIDは、PCやスマートフォンなどの物理デバイスに割り当てるIDです。
Microsoft Entraでは、次の方法でデバイスを管理します。

デバイスを登録・参加させることで、クラウドリソースへのSSOや条件付きアクセスが可能になります。
さらに、Microsoft Intuneと連携すれば、モバイルデバイス管理（MDM）やアプリ管理（MAM）も実現できます。

複数のIDをまとめて管理するために、Microsoft Entraではグループを利用します。
種類は次の2つです。

グループは手動でメンバーを追加する方法と、ルールに基づいて自動的に追加する「動的メンバーシップ」があります。

Microsoft Entra IDのID管理は、ゼロトラストの基本です。
「ユーザー」「デバイス」「ワークロード」の3つを理解し、適切に管理することで、セキュリティと利便性を両立できます。