EntraID

Microsoft Entra ID SSO初期設定ガイド

ⓘ本ページはプロモーションが含まれています

もっとスキルを活かしたいエンジニアへ

スポンサードリンク
働き方から選べる

無料で使えて良質な案件の情報収集ができるサービス

エンジニアの世界では、「いつでも動ける状態を作っておけ」とよく言われます。
技術やポートフォリオがあっても、自分に合う案件情報を日常的に見れていないと、いざ動こうと思った時に比較や判断が難しくなってしまいます。
普段から案件情報が集まる環境を作っておくと、良い案件が出た時にすぐ動きやすくなりますよ。
筆者自身も、メガベンチャー勤務時代に年収1,500万円を超えた経験があります。振り返ると、技術だけでなく「どんな案件や働き方があるか」を日頃から見ていたことが、キャリアの選択肢を広げるきっかけになりました。
このブログを読んでくれた方に感謝を込めて、実際に使っている情報収集サービスを紹介します。

フルリモート・週3日・高単価、どんな条件も妥協したくないなら

フリーランスボードに無料会員登録する

利用者10万人以上。業界最大規模45万件の案件。AIマッチ機能や無料の相場情報が人気。

年収800万円以上のキャリアアップ・ハイクラス正社員を視野に入れているなら

Beyond Careerに無料相談する

内定獲得率90%以上。紹介先企業とは役員クラスのコネクションがある安心と信頼できるエージェント。


スポンサードリンク

Entra IDの初期設定と準備手順

Microsoft Entra IDでのシングルサインオン(SSO)を実装するには、事前準備が不可欠です。特にTier P1/P2の確認やドメイン検証プロセスは、後続の設定に影響を与える重要なステップです。本記事では、複数SaaS連携時の設定フローをケーススタディ形式で解説し、実務で即活用できる手順をご提供します。


Tier P1/P2確認とサブスクリプション選定

Entra IDのTier P1またはP2に所属しているかを確認する必要があります。

導入準備時の注意点

Tier P1/P2の確認方法

  1. Azureポータル > 「サブスクリプション」を選択
  2. サブスクリプション名をクリックし、プラン詳細を確認
Tier 対応アプリ 価格帯(例) 補足
P1 指定SaaSのみ 月額$50/ユーザー SalesforceやServiceNowなど一部アプリに限る
P2 全てのSaaS 月額$70/ユーザー すべてのクラウドアプリとの連携が可能

P2 Tierへの移行が必要な場合は、サブスクリプション追加の申請を速やかに進める必要があります。


必要となる管理者ロールの権限設定

SSO設定には「Global administrator」または「Application administrator」のロールが必須です。

  • Global administrator:Entra ID全体の管理権限あり(セキュリティ上、限定使用推奨)
  • Application administrator:アプリケーション専用の管理権限(実務ではこのロールを割当)

ロール割当手順例

  1. Azureポータル > 「ユーザー」 > ユーザーを選択
  2. 「役割とグループ」タブから適切なロールを割り当て

SSO有効化前のドメイン検証プロセス

SSOを有効にする前に、企業ドメインの所有権をMicrosoftに認証する必要があります。

  • DNSレコード追加:CNAMEレコードまたはTXTレコードでドメインを登録
  • 検証方法:ポータルから自動生成されたトークンを設定

DNSレコード種別選定基準

レコードタイプ 主な用途 適用例
CNAME サービスのアドレス解決 Entra IDと外部サービス(SaaS)との連携時
TXT ドメイン所有権確認 Microsoftによるドメイン検証プロセス

ドメイン検証のステップ

  1. Azureポータル > 「ディレクトリ」 > 「ドメイン」を選択
  2. カスタムドメインを追加し、提供されるDNSレコードをDNSプロバイダーに反映

アプリケーション登録とSAMLプロトコル構成

複数のSaaSアプリ(例:ServiceNowやSalesforce)との連携において、アプリケーション登録とSAMLプロトコル設定は不可欠です。以下で具体的な手順を解説します。


新規アプリケーションの作成手順

Entra ID内にアプリケーションを登録するには、以下の4ステップを行います。

  1. Azureポータル > 「エンタープライズアプリ」 > 「すべてのアプリ」を選択
  2. 「新規登録」ボタンをクリックし、アプリ名と種類(SAML)を入力
  3. リダイレクトURLを設定(例:https://yourapp.com/sso)
  4. 登録完了後、「証明書とシークレット」からクライアントシークレットを作成

注意事項

  • クライアントシークレットは2年以内に更新が必要です
  • 本番環境では、アプリケーションの「公開されているURL」を正確に設定すること

SAMLベースのSSOプロトコル選択と認証フロー設計

SAMLは企業が最もよく使用するプロトコルで、以下の4つの主要なフェーズがあります。

  1. ユーザーがアプリケーションにアクセス
  2. Entra IDがIDPとしてログイン画面を表示
  3. 認証成功後、SAML応答が送信される
  4. アプリケーションがSAMLレスポンスを検証し、セッションを作成

プロトコル選択時の判断基準

項目 SAML OpenID Connect
信頼性 高(企業向け) 中(クラウドサービス向け)
認証フロー より複雑(エンタープライズ向け) シンプル(OAuth2との互換性あり)

SaaSアプリの要件に応じて選択してください。


応答URLの設定とクエリパラメータ確認

SAMLプロトコルを使用する際、応答URLとクエリパラメータは正確に設定する必要があります。

  • 応答URL例https://yourapp.com/sso?RelayState=...
  • クエリパラメータSAMLResponse, RelayState(アプリケーション依存性あり)

設定ミスの回避策

  • URLエンコードを忘れずに行う
  • テスト時にログを確認し、応答が正常に処理されているかを検証する

IDプロバイダー設定ファイル生成とドメイン統合

IDプロバイダー(IdP)のメタデータXML生成と企業カスタムドメインとの統合は、SSO構築において技術的負荷が大きい部分です。以下で具体的なフローを解説します。


IDPメタデータXMLの生成手順

IDP設定ファイル(XML)は、SaaSアプリ側に提供して認証プロセスを開始するための必要書類です。

  1. Azureポータル > 「エンタープライズアプリ」 > 登録済みアプリを選択
  2. 「プロトコル」タブから「SAML」を選択
  3. 「IDプロバイダー設定ファイルをダウンロード」ボタンをクリック

XMLファイルの構成例(一部抜粋)


企業カスタムドメインのSSL証明書申請フロー

カスタムドメインを使用する場合、SSL証明書を取得・設定する必要があります。

  • 証明書種別:OV(Organization Validation)またはEV(Extended Validation)
  • 申請手順例:Let's Encrypt → 申請 → ドメイン検証 → 証明書取得

SSL設定時の注意点

  • 証明書の有効期限は90日以内に更新が必要
  • Microsoft Entra ID側で証明書をアップロードし、DNSレコードを一致させる

ドメインDNSレコードのAWS Route 53設定

カスタムドメインを統合するには、DNSレコードをAWS Route 53に設定します。以下が主要な設定手順です。

  1. AWSコンソール > 「Route 53」を選択
  2. ドメイン名を選び、「DNSレコードの追加」をクリック
  3. Microsoft Entra IDから提供されたCNAMEやTXTレコードを入力

トラブルシューティング例

  • エラー:ドメイン検証失敗
  • DNSレコードが正しく反映されていない可能性 → AWS側で再度確認する

ユーザー属性マッピングとテスト環境構築

Entra IDのユーザー属性とSaaSアプリケーションとのマッピング設定は、SSOの動作に直接関与します。以下では実業務での事例も交えながら解説します。


Entra ID属性とSaaSアプリケーションの変数マッピング

Entra IDには「userPrincipalName」「mail」などの標準属性が存在し、これらをSaaSアプリにマッピングします。

  • Salesforceの場合upn(= userPrincipalName) → Username
  • ServiceNowの場合mailEmail Address

マッピングミスの事例

  • 過去の実務で、upnemailと誤って設定し、一部ユーザーがログインできなくなったケースがありました。

テストユーザー作成時のRoleベース認証設定

テスト環境構築では、Role(役割)に応じたアクセス制限を設定します。

  • 管理者ロール:すべての機能を操作可能
  • 一般ユーザーロール:限定された機能のみ利用可能

テストユーザー作成手順

  1. Azureポータル > 「ユーザー」タブに移動
  2. 「新規ユーザー」を作成し、適切なRoleを割り当て

MFAとの併用で発生するエラーケース事例

MFA(多要素認証)とSSOの併用で発生したエラーの一例として、以下のようなケースがあります。

  • エラー:認証失敗(401 Unauthorized)
  • MFAが無効な状態でSSOを試みると発生する可能性があります

対処法

  • MFA設定を有効にしてから再度テストを行う
  • ログイン履歴を確認し、認証プロトコルの流れを追跡する

オンプレミスAD(Active Directory)とEntra IDの連携は、セキュリティと柔軟性を両立させるための重要なステップです。以下では具体的な設定手順とトラブルシューティング方法を解説します。


Azure AD Connectによる同期設定

オンプレADからEntra IDへのユーザー情報の同期には「Azure AD Connect」を使用します。

  1. 「Azure AD Connect」をダウンロードし、インストール
  2. インストール時に同期スケジュール(例:毎日午前8時)を設定

同期の注意点

  • 同期対象のオブジェクトは「User」に限定する
  • パスワード同期も含め、必要に応じて設定

Hybrid Authentication Modeの切り替え手順

混合認証モード(Hybrid Authentication)を有効にするには、以下の手順が推奨されます。

  1. Azureポータル > 「IDプロバイダー」タブを選択
  2. 「混合認証」オプションをアクティブ化し、設定を保存

切り替え時のトラブルシューティング

  • エラー:Azure ADとActive Directory Domain Services(AD DS)の同期失敗
  • タイムゾーンが一致していない可能性 → Windowsサーバー側で時間を確認

ログファイルの解析ツール導入例

SSO動作確認後のログ監視には、以下のようなツールが利用可能です。

  • Azure Monitor Logs:Entra IDのイベントをリアルタイムで収集・分析
  • Microsoft Sentinel:セキュリティイベントの検出と対応自動化

導入時のポイント

  • ログの保存期間を30日以上設定し、過去の調査にも対応する
  • ログファイルにアクセス権を持つユーザーを限定管理する

スポンサードリンク

もっとスキルを活かしたいエンジニアへ

スポンサードリンク
働き方から選べる

無料で使えて良質な案件の情報収集ができるサービス

エンジニアの世界では、「いつでも動ける状態を作っておけ」とよく言われます。
技術やポートフォリオがあっても、自分に合う案件情報を日常的に見れていないと、いざ動こうと思った時に比較や判断が難しくなってしまいます。
普段から案件情報が集まる環境を作っておくと、良い案件が出た時にすぐ動きやすくなりますよ。
筆者自身も、メガベンチャー勤務時代に年収1,500万円を超えた経験があります。振り返ると、技術だけでなく「どんな案件や働き方があるか」を日頃から見ていたことが、キャリアの選択肢を広げるきっかけになりました。
このブログを読んでくれた方に感謝を込めて、実際に使っている情報収集サービスを紹介します。

フルリモート・週3日・高単価、どんな条件も妥協したくないなら

フリーランスボードに無料会員登録する

利用者10万人以上。業界最大規模45万件の案件。AIマッチ機能や無料の相場情報が人気。

年収800万円以上のキャリアアップ・ハイクラス正社員を視野に入れているなら

Beyond Careerに無料相談する

内定獲得率90%以上。紹介先企業とは役員クラスのコネクションがある安心と信頼できるエージェント。


-EntraID