Microsoft Entra ID が担う、ID 管理・認証・SSO・MFA などの基本機能
Microsoft 365 を安全に使うには、「誰がアクセスしているか」を正しく確認することが欠かせません。このページでは、その仕組みの中心となる「ID」と「認証」の基本を、Microsoft Entra ID の役割を通じてわかりやすく説明します。
ID と認証の基本
Microsoft 365 では、メールやファイル共有、会議などすべての操作の前提に「ユーザーが誰か」を確認する処理があります。
この「誰か」を示すのが ID で、Microsoft 365 ではユーザーごとに ID が割り当てられ、どのサービスにアクセスできるかが管理されています。
Microsoft 365 の ID には、次の2種類があります。
- クラウド専用 ID:会社内のサーバーに依存せず、Microsoft Entra ID 内で完全に作成・管理される ID です
- ハイブリッド ID:会社内のサーバー(Active Directory)で作られた ID を、クラウドと同期して使う方式です。
Microsoft 365 ID には通常、次の要素が含まれます。
- ユーザー名(例:jane.doe@contoso.com のようなメールアドレス)
- パスワードまたはその他のサインイン方法
- 役職・部署・グループメンバーシップなどの属性
- Microsoft 365 内でアクセスや操作できる内容を決定する権限
この ID を管理している仕組みが、Microsoft Entra ID です。
Microsoft Entra ID は、ユーザー・デバイス・サービスの ID を一元的に管理し、Microsoft 365 のどのサービスにアクセスできるかを判断する基盤になります。
ログイン時に「本当に本人であるか」を確かめる工程が、認証です。
Microsoft Entra ID ではパスワードや追加の確認手段を使い、ID が本当に本人のものであるかを安全に確認する仕組みを提供しています。
Microsoft Entra ID とシングルサインオン(SSO)
Microsoft 365 の ID と認証の中心となっているのは、Microsoft Entra ID です。
ユーザーは Microsoft Entra ID で一度ログインするだけで、メール・ファイル共有・会議など、複数のサービスに繰り返しログインせずにアクセスできます。
このように、一度のログインで複数のサービスを利用できる仕組みを、シングルサインオン(SSO)と呼びます。
SSO を使うと、ユーザーの利便性が上がり、管理者が一括でアクセス制御しやすくなります。
SSO の内部動作:トークンの仕組み
SSO では、Microsoft Entra ID がトークンと呼ばれる一時的なデジタル通行証を発行します。
トークンは短時間しか有効でなく、セキュリティの維持に役立ちます。
各アプリはトークンを確認することで、再ログインなしにユーザーの ID を確認します。
SSO の実装パターン
- クラウド専用 SSO
- すべての ID を Microsoft Entra ID で管理します。オンプレミスのインフラ不要で、クラウドネイティブな環境に最適です。
- ハイブリッド SSO
- オンプレミスの Active Directory と Microsoft Entra ID を Connect Sync で同期します。ドメイン参加済みのコンピューターにサインインすると、クラウドサービスにも自動的に認証されます。
- デバイスベース SSO
- Microsoft Intune で管理するデバイスや、Microsoft Entra ID 参加済みの Windows デバイスでは、Windows 統合認証を通じて SSO が自動的に有効になります。
代表的な認証方法
1. パスワード認証
ユーザー名とパスワードを入力してログインする従来の方法です。長く複雑なパスワードを選ぶことが推奨されています。
2. 多要素認証(MFA)
パスワードに加え、以下の確認手段のいずれかを組み合わせて本人確認します。
- Microsoft Authenticator アプリのプッシュ通知
- SMS・音声通話
- OATH トークン(ハードウェア/ソフトウェア)
- FIDO2 セキュリティキー
パスワードが漏れても、不正ログインを防ぐ効果があります。
3. パスワードレス認証(4つの方法)
パスワードを入力せずに本人確認できる方法です。
フィッシング対策や操作の簡略化が期待できます。
- Windows Hello for Business
- 顔認証・指紋認証と PIN を組み合わせてログインします。
- Microsoft Authenticator
- スマホアプリへの通知を承認してログインします。
- パスワードレスサインインでは、生体認証やデバイス PIN を使って承認します。
- FIDO2 セキュリティキー
- USB や NFC 対応の物理キーでログインします。
- パスワードを送信せずに、鍵と錠のような仕組みを使って、パスワードを送らずに本人であることを証明します。
- 証明書ベース認証(CBA)
- スマートカードやデバイスに格納したデジタル証明書と PIN でログインします。
- 企業や政府機関など、高いセキュリティが求められる環境で使われます。
セキュリティを守るための機能
セキュリティの既定値
「セキュリティの既定値」を有効にすると、すべてのユーザーへの MFA 要求や、管理者向けの保護強化など、組織全体のセキュリティ設定がまとめて適用されます。
個別に細かく設定する手間なく、基本的なリスクをまとめて下げられる手軽な方法です。
条件付きアクセス
どのデバイス・どこから・どのアプリでアクセスしているかに応じて、MFA の要求やアクセスブロックを設定できます。
多要素認証(MFA)と条件付きアクセスを組み合わせることで、ゼロトラストに近い、段階的に強化できるセキュリティ設計が可能になります。
認証方法ポリシー
管理者が組織で利用できる認証方法を制御する仕組みです。具体的には、次のことができます。
- すべてのユーザーに MFA を要求するか、リスクの高い場面でのみ要求するかを選択
- 承認するサインイン方法の指定(パスワードレスの要求や禁止など)
- 古い認証プロトコルや安全でないプロトコルのブロック
- 認証の動作を記録・監視
SSPR(セルフサービスパスワードリセット)
- ユーザーが IT 担当者に連絡せず、自分でパスワードをリセットできる仕組みです。
- 電話番号や Authenticator アプリで本人確認してからリセットします。
- IT サポートの負担を減らし、ユーザーの待ち時間を短縮できます。
Microsoft Entra Identity Protection
- コンピューターが過去のログイン履歴を学習し、普段と違う場所やデバイスからのログインを自動で検出します。
- リスクのレベルに応じて、追加の確認を要求したり、アクセスをブロックしたり、管理者に通知したりできます。
ハイブリッド環境での認証
オンプレミスの Active Directory とクラウドを組み合わせた環境では、以下の3つの方法で Microsoft Entra ID と連携できます。
- Password Hash Synchronization(PHS)
- パスワードを暗号化した文字列を Entra ID に同期して認証します。
- パスワードそのものはクラウドに送られません。
- Pass-through Authentication(PTA)
- 認証処理をオンプレミス側で行い、パスワードをクラウドに保存しません。
- コンプライアンス上の理由でパスワードのクラウド保存を禁止している組織に向いています。
- Federation(AD FS)
- 運用するために、会社内にサーバーを用意して維持する必要があります。
まとめ
Microsoft 365 のすべての操作は、「このユーザーは本当に本人か」という確認から始まります。
その確認を担うのが Microsoft Entra ID です。
ID の管理・認証・SSO・MFA・条件付きアクセスなど、このページで紹介した機能はすべて、「正しい人だけが、正しいサービスに、安全にアクセスできる」という一つの目的のために連携しています。
クラウドだけの環境でも、オンプレミスと組み合わせたハイブリッド環境でも、Microsoft Entra ID を中心に据えることで、組織全体のアクセスとセキュリティを一体で管理できます。
参考URL