Entra ID導入手順とチェックリスト【2025年版】中小企業IT管理者向け

Entra ID の概要と名称変更の背景

Microsoft は 2024 年に Azure AD を Entra ID に改称し、ID 管理機能を統合した Microsoft Entra ファミリーの中核サービスとして位置付けました。名前は変わっても基本的な概念は Azure AD と同様であり、最新情報は常に公式ドキュメント（Microsoft Entra admin center）をご確認ください。本セクションでは名称変更のポイントと、現在（2026 年 6 月時点）提供されている主要機能を整理します。

名称統一と UI の変化

• ポータル・ライセンス情報はすべて Entra ID 表記に置き換わっています。社内ドキュメントやヘルプデスクの用語も同様に更新が必要です。
• 管理センターの URL は https://entra.microsoft.com に統一され、旧 Azure AD の URL からは自動的にリダイレクトされます。

主な機能と提供開始時期（公式情報）

※上記は Microsoft の公式リリースノート（Entra ID release notes）に基づく情報です。

ポイント：名称変更は UI と用語の統一が主目的で、機能自体は Azure AD 時代と同等かそれ以上に強化されています。最新リリースノートを定期的にチェックし、機能追加や仕様変更に備えてください。

移行時に確認すべき前提条件とライセンス体系

Entra ID を本格運用するには、テナントの作成から適切なライセンス選択まで一連の手順を踏む必要があります。ここでは実装上の必須要件と、2026 年 6 月時点で提供されている主要ライセンスプランをまとめます。

必要な Azure リソース

1. Azure サブスクリプション：テナント作成・課金管理に不可欠です。
2. Entra ID テナント：ポータルの「リソースの作成」→「Microsoft Entra ID」から作成できます。

ライセンス要件（公式情報）

※詳細は Microsoft のライセンスページ（Entra ID ライセンス比較）をご参照ください。

テナント作成手順（概要）

1. Azure ポータルにサインインし 「リソースの作成」 → 「Microsoft Entra ID」 を選択。
2. 組織名・初期ドメイン (yourcompany.onmicrosoft.com) を入力してテナントを作成。
3. 作成完了後、最初にサインインしたアカウントへ 全域管理者 (Global Administrator) が自動付与されます。

ポイント：ライセンスはテナント作成直後でも追加できるため、機能要件を整理したうえで段階的に拡張するとコスト管理が楽になります。

テナント設定・カスタムドメイン追加、ユーザー管理のベストプラクティス

テナントが用意できたら、企業独自のブランディングとメールドメインを紐付け、ユーザーやグループを整備します。以下ではミスが起きやすいポイントに着目し、チェックリスト形式で手順を示します。

テナント基本情報の入力

テナント作成後は「プロパティ」画面で組織名・所在地・連絡先メールを設定します。これらはサインインページや Azure AD のレポートで外部に表示されるため、正確かつ最新の情報を入力してください。

カスタムドメインの検証手順

1. Entra ID 管理センター の「カスタム ドメイン」から yourdomain.com を追加。
2. DNS プロバイダーに TXT レコード（例：MS=ms12345678）を登録し、画面の 検証 ボタンをクリック。
3. 検証が成功すると、ユーザー UPN やメールアドレスにカスタムドメインを利用できるようになります。

ユーザー・グループ作成とライセンス割り当て

• ユーザー作成：ユーザー > 新規ユーザー で名前、表示名、UPN（例：alice@yourdomain.com）を入力。
• グループ構築：部門別に「Security グループ」または「Microsoft 365 グループ」を作成し、ロールベースのアクセス管理に活用します。
• ライセンス付与：ユーザー一覧から対象者を選び、「ライセンス」タブで P1 または P2 を割り当てます（PowerShell でも一括適用可能）。

ポイント：カスタムドメインの検証が完了したら、必ず メールフローテスト と サインインテスト を実施し、ユーザーが正しく認証できることを確認してください。

ハイブリッド同期（Entra Connect）とデバイス自動登録

オンプレミスの Active Directory と Entra ID を連携させる Microsoft Entra Connect は、パスワードハッシュ同期やデバイス書き込みを含む多彩なオプションが用意されています。ここでは最新（2024 年リリース）版インストーラの取得方法と構成手順を解説します。

Entra Connect のインストールと基本設定

1. 公式ダウンロードページ（Entra Connect ダウンロード）から最新版インストーラを取得。
2. インストールウィザードで 「カスタム インストール」 を選択し、以下のオプションを有効化：
3. パスワードハッシュ同期 (Password Hash Sync)
4. デバイス書き込み (Device Writeback)
5. オンプレミス AD の接続情報（サービスアカウント、対象 OU）を入力し、同期範囲を限定します。

同期状態の確認とトラブルシューティング

• Azure AD Connect Health ダッシュボードで「正常」ステータスを確認。エラーが出た場合は「属性マッピングの競合」や「パスワードハッシュ不一致」の警告に対処します。
• 初回フル同期完了後、Entra ID ポータルの ユーザー ページでオンプレミスアカウントが表示されていることを必ず確認してください。

Windows デバイスの自動 Azure AD 参加手順

1. Windows 10/11 の設定 → 「アカウント」 → 「職場または学校にアクセス」 → 「接続」を選択。
2. 組織メールでサインインし、自動 Azure AD 参加 が有効になるとデバイスが Entra ID に登録されます。
3. Intune の 「Automatic enrollment」 を有効化すると、同時に MDM 登録も完了します（公式手順は Intune デバイス自動登録 参照）。

ポイント：Entra Connect とデバイス自動参加は、オンプレミスとクラウドの統合管理を実現する鍵です。同期エラーは Health ダッシュボードで即座に検知できるため、定期的なモニタリングを推奨します。

アプリケーション SSO と認証方式（SAML / OIDC）の実装手順

社内 SaaS を Entra ID に統合すれば、ユーザーは一度のサインインで複数アプリにアクセスできます。以下では SAML と OpenID Connect (OIDC) のそれぞれの登録フローとテスト方法を示します。

SAML アプリケーションの登録手順

1. Entra ID 管理センター → 「エンタープライズ アプリケーション」 → 「新規登録」 を選択。
2. 非ギャラリー アプリ を選び、アプリ名を入力して作成。
3. シングルサインオン方式 で SAML を選択し、以下情報を SaaS 側の設定に合わせて入力：
4. Identifier (Entity ID)
5. Reply URL (Assertion Consumer Service URL)
6. 属性マッピング画面で user.mail → NameID 等、必要なクレームを追加。
7. テスト ボタンでアサーションが正しく送信されるか確認し、問題があれば属性・証明書設定を調整します。

OIDC アプリケーションの登録手順

1. 同様に「新規登録」→「非ギャラリー アプリ」を作成。
2. シングルサインオン方式 で OpenID Connect を選択し、リダイレクト URI、クライアント ID/Secret（自動生成または手入力）を設定。
3. スコープは最低でも openid profile email を追加し、保存。
4. クライアント側で Authorization Code Flow を実装し、トークン取得テストを行います。

ベストプラクティス（公式ガイドに基づく）

• 証明書ローテーション：SAML 用 X.509 証明書は 12 ヶ月ごとに更新し、期限切れを防止。
• リダイレクト URI の正規化：OIDC では末尾のスラッシュ違いで認証エラーになるため、統一した形式で管理します。
• 自動テスト：PowerShell の Test-MgApplication コマンドレットを活用し、登録後にサインインシミュレーションを実行して設定漏れを早期検出（参考: Microsoft Graph API ドキュメント）。

ポイント：SAML と OIDC は用途に応じて選択しますが、どちらも属性・証明書管理とテスト自動化が成功の鍵です。外部サイトへのリンクは公式ドキュメントで代替し、情報の正確性を担保してください。

セキュリティ強化のチェックリストとトラブルシューティング

Entra ID の導入だけではなく、運用中に継続的なセキュリティ対策が不可欠です。ここでは条件付きアクセスや Identity Protection を活用した具体例と、障害発生時の対応フローをまとめます。

条件付きアクセスポリシーの実装例

※ポリシー作成は Entra ID 管理センターの「条件付きアクセス」から行い、適用前に必ず シミュレーションモード で影響範囲を確認してください。

Identity Protection の推奨設定

• リスクベースサインインブロック：自動的に高リスクサインインをブロックし、ユーザーへパスワード変更の通知を送ります。
• アカウント回復ポリシー：SSPR を必ず有効化し、電話番号・代替メールの登録を義務付けます（設定は「Azure AD > セキュリティ > Identity Protection」）。

導入チェックリスト（実装完了時に確認）

1. テナント名とカスタムドメインの検証 ✔
2. ライセンス（P1/P2）の割当てと適用 ✔
3. Entra Connect の同期ステータスが「正常」✔
4. デバイス自動 Azure AD 参加と Intune 登録 ✔
5. SSO アプリの SAML/OIDC 設定テスト完了 ✔
6. 条件付きアクセス・MFA が期待通りに機能 ✔

よくある障害と対処法

• 同期エラー：AADConnectHealth に「属性マッピング競合」や「パスワードハッシュ不一致」の警告が出たら、対象 OU と属性フィルタを再確認し、必要に応じて PowerShell で手動同期 (Start-ADSyncSyncCycle -PolicyType Delta) を実行。
• ライセンス未適用：ユーザー一覧で「ライセンスなし」と表示された場合は、PowerShell の Set-MgUserLicense コマンドで手動割当（例：Add-MgUserLicense -UserId <id> -SkuId "c1e9e5f0-...）。
• デバイス登録失敗：OS バージョンが 1903 未満の Windows デバイスは自動 Azure AD 参加に対応していません。最新の累積更新プログラムを適用し、再度接続手順を実行してください。

ポイント：セキュリティポリシーは「設定 → テスト → 本番」サイクルで検証し、障害が発生したら Health ダッシュボードと Azure AD の監査ログを併用して原因特定を迅速に行うことが重要です。

まとめ

• 名称変更は UI とドキュメントの統一 が目的であり、機能面では Azure AD 時代から継承・拡張された形です。
• ライセンス選択は機能要件とコストを天秤に掛けて、P1 か P2 を適切に割り当てます。
• テナント設定・カスタムドメインの検証 は初回だけ正しく行えば、以後のユーザー管理がスムーズになります。
• Entra Connect とデバイス自動参加 によりオンプレミスとクラウドの統合管理が実現し、Health ダッシュボードで継続的に監視します。
• SSO の SAML / OIDC 実装は属性・証明書管理とテスト自動化を徹底 すれば設定ミスを防げます。
• 条件付きアクセスと Identity Protection を組み合わせたセキュリティポリシー は、チェックリストで網羅的に検証し、障害時はログと Health ダッシュボードで早期対応します。

本ガイドは 2026 年 6 月現在の公式情報を基に作成しています。Microsoft の製品は頻繁に更新されるため、定期的に Microsoft Entra のリリースノート と ライセンスページ を確認し、最新のベストプラクティスへアップデートしてください。