Microsoft Entra ID — Microsoft のクラウド ID・アクセス管理サービス。旧称 Azure Active Directory (Azure AD)。Microsoft 365・Azure・サードパーティ SaaS の認証基盤となる。
概要
Entra ID は 2023 年 7 月に Azure AD から改称されたクラウド ID 基盤。オンプレミスの Active Directory と同じ概念(ユーザー・グループ・アプリ)をクラウドネイティブに再設計しており、以下の機能を提供する。
| 機能 | 内容 |
|---|---|
| シングルサインオン (SSO) | Microsoft 365、Azure、サードパーティ SaaS 間の統合認証 |
| 多要素認証 (MFA) | Microsoft Authenticator・FIDO2・Windows Hello・パスキー |
| 条件付きアクセス | デバイス状態・場所・リスクレベルに応じた動的ポリシー |
| デバイス参加 | Windows 11 / 10 を Entra ID に参加させ集中管理 |
| Intune 連携 | MDM / MAM による端末管理 |
| アプリ登録 | OAuth 2.0 / OIDC / SAML 対応の SaaS 統合 |
旧名との関係
| 旧名 | 現在の名称 |
|---|---|
| Azure Active Directory | Microsoft Entra ID |
| Azure AD Connect | Microsoft Entra Connect |
| Azure AD B2C | Microsoft Entra External ID |
テナント ID や API エンドポイント(login.microsoftonline.com)は改称後も変更なし。
Entra ID 参加デバイスの特徴
Windows 11 を Entra ID に参加させると、組織のクラウドアカウント(user@example.com)でサインインできる。オンプレミス AD ドメイン参加との主な違い:
| 項目 | AD ドメイン参加 | Entra ID 参加 |
|---|---|---|
| 認証先 | オンプレ AD | Microsoft クラウド |
| オフライン動作 | ○(キャッシュログオン) | ○(PRT キャッシュ) |
| グループポリシー | GPO(フル機能) | Intune ポリシー(相当機能) |
| VPN / RDP 先での認証 | DOMAIN\user | AzureAD\user@example.com |
RDP との関係(ハマりどころ)
Entra ID 参加 Windows 11 PC へ RDP 接続する場合、以下の挙動に注意:
- ユーザー名の形式:
AzureAD\user@example.com(AzureAD\プレフィックスが必須) - Mac 版 Windows App + NLA:
0x1f07 credentials were not provided in timeエラーの原因。PC 側で NLA 無効化(UserAuthentication=0)が必要なケースあり - パスキー / Windows Hello: RDP 越しには PIN / パスワード経由のフォールバックになる
セキュリティの勘所
- Global Admin に MFA / パスキー必須化 — アカウント乗っ取りは全権限奪取に直結
- 条件付きアクセス で「管理端末以外はブロック」「海外からのアクセスを MFA 必須」等を定義
- 特権 ID 管理 (PIM) で Global Admin を Just-In-Time 付与にする
- 監査ログ(Entra ID Sign-in logs)を定期確認、または SIEM 連携