Contents
Entra ID の概要と最新ライセンス体系(2026 年予測を含む)
Entra ID は Microsoft が提供するクラウドベースのアイデンティティプラットフォームで、オンプレミス AD と連携しつつ SaaS へのシングルサインオン (SSO) や条件付きアクセスポリシーによるゼロトラストを実現します。本節では 2026 年時点のライセンス構成 を概観すると同時に、情報が将来変わる可能性があることを明示し、読者が最新情報を確認できるようにします。
※注意 2026 年のプラン構成は現時点での予測です。正式リリースや価格改定は Microsoft の公式サイト(Microsoft Entra ID ライセンス)で必ず最新情報をご確認ください。
ライセンスプラン比較
| プラン | 主な機能 | MFA の提供方法 |
|---|---|---|
| Free | ユーザー上限 500、SAML/OIDC による基本 SSO、レポート機能のみ | Security defaults が有効化されていれば全ユーザーに対して MFA(Microsoft Authenticator 推奨)を自動的に要求可能 |
| Premium P1 | 条件付きアクセスポリシー、デバイスベース制御、Azure AD Connect の高度な同期、Identity Protection の一部機能 | ポリシーベースで MFA を必須化でき、カスタム条件(IP、デバイス状態など)を細かく設定 |
| Premium P2 | P1 のすべてに加えて Identity Protection のフル活用、Privileged Identity Management (PIM)、リスクベースの自動 MFA など | リスクスコアが一定以上の場合に自動で MFA を要求する高度なシナリオを構築可能 |
推奨プランと選定基準
- 小規模・テスト環境:Free プランでも Security defaults により MFA が利用できるため、最低限のセキュリティは確保できます。
- 中規模~大規模組織:条件付きアクセスポリシーが必須となるケースが多く、Premium P1 がコストパフォーマンス最適です。
- 高リスク・特権管理が必要な組織:Identity Protection と PIM を活用したい場合は Premium P2 が唯一の選択肢となります。
SSO に適した認証プロトコル選定基準と比較
SSO の実装では、アプリケーションが対応している認証プロトコルを正しく選ぶことが成功の鍵です。本節では SAML 2.0・OpenID Connect (OIDC)・WS‑Fed の3つを比較し、組織の要件に合わせた選定指針を示します。
プロトコル別特徴表(導入文)
以下の表は各プロトコルの技術的特性と運用上のメリット・デメリットをまとめたものです。実装時の判断材料としてご活用ください。
| プロトコル | 主な特徴 | メリット | デメリット/留意点 |
|---|---|---|---|
| SAML 2.0 | XML ベース、ブラウザリダイレクト方式 | ほとんどのエンタープライズ SaaS が標準対応。属性マッピングが柔軟 | 設定項目が多く、証明書管理が必須。モバイルアプリでの実装がやや複雑 |
| OpenID Connect | OAuth 2.0 上に構築された JSON/REST API | 軽量かつ SPA・モバイル向き。アクセストークンで API 呼び出しも可能 | 一部旧 SaaS が未対応(例:Salesforce の OIDC 対応が遅延) |
| WS‑Fed | SOAP ベース、主に Microsoft 製品で使用 | Azure AD との相互運用性が高く、レガシーオンプレミスアプリと容易に連携 | 新規開発では非推奨。将来的なサポート終了リスクあり |
選定指針(導入文)
組織の 既存 SaaS の標準、モバイル/SPA の有無、そして レガシーオンプレミス連携 の3軸でプロトコルを選びます。
- 既存 SaaS が SAML を前提にしている場合は、まず SAML で統一し、必要に応じて OIDC を補完します。
- 社内独自の SPA やモバイルアプリが多数ある場合は、OIDC のシンプルさとトークンベース認可を活かすべきです。
- AD FS が残っているレガシー環境では、一時的に WS‑Fed を利用しつつ、段階的に SAML/OIDC へ移行するロードマップを策定します。
テナント作成とユーザー/グループ管理のベストプラクティス
Entra ID のテナントは Azure ポータルから数クリックで構築できますが、運用フェーズでは 最小権限 と 動的グループ を活用した設計が不可欠です。本節では作成手順と推奨する管理プロセスを具体的に示します。
テナント作成手順(概要)
- Azure ポータルで「Azure Active Directory」→「テナントの作成」を選択。
- 組織名・初期ドメイン (
contoso.onmicrosoft.com形式) を入力し、Premium P1(もしくは Free)を暫定的に選択。 - 作成完了後、最初の管理者アカウントに Global Administrator ロールを付与し、以降はロール分離を徹底します。
ユーザーインポートと動的グループ設計
| 手順 | 内容 |
|---|---|
| CSV インポート | Azure AD → 「ユーザー」→「一括作成」で userPrincipalName、displayName、mailNickname を含む CSV をアップロード。 |
| 動的グループ設定 | 「グループ」→「新規」→「メンバーシップタイプ:動的」。例: department -eq "営業" で自動所属させる。 |
| ロール割り当て | 必要最小限のロール(User Administrator、Application Administrator)をグループ単位で付与し、定期的にレビュー。 |
最小権限設計例(導入文)
以下は実務で推奨するロール構成です。特権アカウントの数を極力抑えることで、内部リスクと外部攻撃の両方を低減します。
- Global Administrator:テナント全体管理者は 2 名に限定。
- Privileged Role Administrator (P2):特権ロールの昇格・解除のみ担当。
- Application Administrator:部門ごとに SaaS 管理を委任し、Scope をアプリ単位に絞る。
主要 SaaS アプリ向け SSO 設定手順と構成例
Entra ID の Enterprise Application に対象アプリケーションを追加し、メタデータ取得・属性マッピング・証明書管理という共通フローを踏むことで、設定ミスを大幅に削減できます。本節では代表的 SaaS を取り上げ、個別の設定ポイントを解説します。
共通 SSO 設定フロー(導入文)
- アプリ登録:Azure ポータル → Azure AD → Enterprise applications → + New application。
- プロトコル選択:ギャラリーに無い場合は「非ギャラリー アプリケーションの追加」を選び、SAML か OIDC のメタデータ URL を入力。
- エンティティ ID と Reply URL の設定:SaaS 側で要求される Identifier(Entity ID)と Assertion Consumer Service (ACS) URL を正確に貼り付ける。
- 属性マッピング:
user.mail → emailなど、認証後に SaaS が期待するクレームを定義。 - 証明書/シークレット管理:SAML 用は Base64 証明書をエクスポートし、OIDC 用は Client secret を生成。期限切れ対策として Azure Key Vault と自動ローテーションを組み合わせる。
SaaS 個別設定例(導入文)
以下に Microsoft 365・Salesforce・kintone・HubSpot の具体的な SSO 設定項目を示します。実装時は各ベンダーの公式ドキュメントと照らし合わせてください。
| SaaS | プロトコル | Entity ID(例) | Reply URL / ACS | 主要属性マッピング |
|---|---|---|---|---|
| Microsoft 365 | SAML | https://login.microsoftonline.com/<テナントID>/saml2 |
https://portal.office.com/auth/saml2/acs |
user.userprincipalname → userPrincipalName、user.mail → mail |
| Salesforce | SAML(※OIDC も利用可) | 同上 | Salesforce の「SAML 設定」画面で取得した ACS URL | user.mail → Email、user.givenname → FirstName、user.surname → LastName |
| kintone | SAML | 同上 | https://{サブドメイン}.cybozu.com/k/v1/sso/callback |
user.mail → email、user.displayName → name |
| HubSpot | OpenID Connect | Issuer: https://login.microsoftonline.com/<テナントID>/v2.0 |
https://app.hubspot.com/auth/callback |
スコープ openid profile email、クレーム email, name |
参考リンク(公式情報)
- Microsoft 365 SSO: https://learn.microsoft.com/ja-jp/entra/identity/applications/sso-configuration
- Salesforce SAML 設定: https://help.salesforce.com/articleView?id=sf.sso_saml.htm&type=5
- kintone SAML ガイド: https://developer.kintone.io/hc/ja/articles/360018657374
- HubSpot OIDC ドキュメント: https://developers.hubspot.com/docs/api/oauth
ハイブリッド構成・ゼロトラスト実装、テスト・運用ガイド
オンプレミス AD と Entra ID を連携させるハイブリッド環境は、既存資産を活かしつつクラウドへシームレスに移行できる最適解です。本節では Azure AD Connect による同期・シームレス SSO、条件付きアクセスポリシーの設計、テストシナリオ、運用自動化までを体系的に紹介します。
Azure AD Connect とシームレス SSO の構築(導入文)
- ダウンロード & インストール:Microsoft 公式サイトから Azure AD Connect を取得し、Windows Server 2019 以降にインストール。
- エクスプレス設定で Password Hash Synchronization (PHS) と シームレス SSO にチェックを入れると、オンプレミスのハッシュが自動同期され、社内ブラウザで追加認証なしにクラウドアプリへアクセス可能になります。
- OU フィルタリングや属性マッピング(
userPrincipalName,mail,departmentなど)を適切に設定し、不要オブジェクトは除外します。
詳細は Microsoft Learn の「シングルサインオンの概要」をご参照ください。
条件付きアクセスポリシーと MFA 強制(導入文)
| テンプレート名 | 主な対象 | 推奨設定 |
|---|---|---|
| ブロック非管理デバイス | 全社アプリ | Intune で管理外の端末はアクセス拒否 |
| 高リスクサインインに MFA | Global Administrator 等特権ユーザー | リスクスコアが閾値以上の場合に MFA 必須化 |
| 場所ベース MFA | 全ユーザー | 社内 IP 以外からのアクセスは必ず MFA を要求 |
設定手順は Azure Portal → Azure AD → Security → Conditional Access → + New policy。作成後は Report‑only モードで影響範囲を確認し、問題なければ On に切り替えます。
テストシナリオとサインインログ活用(導入文)
| シナリオ | 確認項目 |
|---|---|
| 正常系テスト | 社内 PC → Microsoft 365 でシームレス SSO が機能するか |
| MFA 強制テスト | VPN 経由の外部アクセス時に MFA プロンプトが出るか |
| デバイス管理テスト | 個人端末から Salesforce にログインし、ブロックまたは MFA 要求が正しく適用されているか |
サインインログは Azure AD の Sign‑in logs から取得でき、代表的なエラーコードと対処法は以下の通りです。
| エラーコード | 発生要因 | 推奨対策 |
|---|---|---|
AADSTS50076 |
MFA が要求されたが未実施 | 条件付きアクセスポリシーで MFA 設定を再確認 |
AADSTS50105 |
デバイスが管理対象外 | Intune へデバイス登録、またはポリシー除外条件を追加 |
AADSTS50020 |
ユーザーがテナントに存在しない | Azure AD Connect の同期状態と UPN の一貫性を点検 |
運用フェーズ:レビュー・自動化・レポート(導入文)
- ロール&ライセンスの定期レビュー
-
Azure AD の「アクセスレビュー」機能で四半期ごとにロールメンバーシップと Premium ライセンス割当を点検。不要な権限は即削除。
-
証明書更新の自動化
-
Azure Key Vault と Azure Automation Runbook を組み合わせ、SAML 証明書の有効期限が 30 日前になると新証明書を生成し、対象 Enterprise Application に自動プッシュするフローを構築。
-
監査レポート作成
- Microsoft Sentinel または Power BI 用に「Sign‑in logs」データセットをエクスポートし、以下の KPI を月次で可視化する:
- MFA 成功率
- 条件付きアクセス適用率
- 高リスクサインイン件数(上位 5%)
参考リンク(公式情報)
- Azure AD Connect ガイド: https://learn.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-install-custom
- 条件付きアクセスポリシー概要: https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/overview
まとめ
- Entra ID のライセンスは組織規模とリスク要件に応じて Free → Premium P1 → Premium P2 と段階的に選択すべきです。特に MFA は Security defaults が有効な Free プランでも利用可能である点を忘れないでください。
- 認証プロトコルは SaaS の標準と社内アプリの性質(SPA/レガシー)で使い分け、SAML と OIDC を組み合わせる設計が実務的です。
- テナント構築時の最小権限・動的グループは管理工数削減とヒューマンエラー防止に直結します。
- SSO 設定は共通フローを踏むことで、Microsoft 365 から HubSpot まで一貫した運用が可能です。公式メタデータと属性マッピングだけを個別カスタマイズすれば、迅速な導入が実現します。
- ハイブリッド構成と条件付きアクセスポリシーの組み合わせでゼロトラストを具現化し、テスト・運用自動化により継続的なセキュリティ向上が期待できます。