Microsoft 365 ID モデルと id モデルAzure Active DirectoryMicrosoft 365 identity models and Azure Active Directory

この記事は、Microsoft 365 Enterprise および Office 365 Enterprise の両方に適用されます。This article applies to both Microsoft 365 Enterprise and Office 365 Enterprise.

Microsoft 365は、Microsoft 365 サブスクリプションに含まれるクラウドベースのユーザー ID および認証サービスである Azure Active Directory (Azure AD) を使用して、Microsoft 365 の ID と認証を管理します。Microsoft 365 uses Azure Active Directory (Azure AD), a cloud-based user identity and authentication service that is included with your Microsoft 365 subscription, to manage identities and authentication for Microsoft 365. ID インフラストラクチャを正しく構成することは、組織のユーザー アクセスMicrosoft 365アクセス許可を管理する上で重要です。Getting your identity infrastructure configured correctly is vital to managing Microsoft 365 user access and permissions for your organization.

開始する前に、Microsoft 365 の ID モデルと認証の概要についてこのビデオをご覧ください。Before you begin, watch this video for an overview of identity models and authentication for Microsoft 365.

最初の計画の選択は、Microsoft 365 ID モデルです。Your first planning choice is the Microsoft 365 identity model.

Microsoft 365 ID モデルMicrosoft 365 identity models

ユーザー アカウントを計画するには、まず、ユーザー アカウントの 2 つの ID モデルをMicrosoft 365。To plan for user accounts, you first need to understand the two identity models in Microsoft 365. 組織の ID はクラウドでのみ維持するか、オンプレミスの Active Directory ドメイン サービス (AD DS) ID を維持し、ユーザーが Microsoft 365 クラウド サービスにアクセスするときに認証に使用できます。You can maintain your organization's identities only in the cloud, or you can maintain your on-premises Active Directory Domain Services (AD DS) identities and use them for authentication when users access Microsoft 365 cloud services.

ID の 2 種類と、最適なフィット感と利点を次に示します。Here are the two types of identity and their best fit and benefits.

属性Attribute クラウド専用 IDCloud-only identity ハイブリッド IDHybrid identity
定義Definition ユーザー アカウントは、サブスクリプションの Azure ADテナントにのみMicrosoft 365されます。User account only exists in the Azure AD tenant for your Microsoft 365 subscription. ユーザー アカウントは DS AD存在し、コピーはサブスクリプションの Azure ADテナントMicrosoft 365です。User account exists in AD DS and a copy is also in the Azure AD tenant for your Microsoft 365 subscription. Azure ADのユーザー アカウントには、既にハッシュされた DS ユーザー アカウント のパスワードADが含まれる場合があります。The user account in Azure AD might also include a hashed version of the already hashed AD DS user account password.
ユーザー Microsoft 365認証方法How Microsoft 365 authenticates user credentials サブスクリプションAD Azure Microsoft 365テナントは、クラウド ID アカウントを使用して認証を実行します。The Azure AD tenant for your Microsoft 365 subscription performs the authentication with the cloud identity account. Azure ADサブスクリプションMicrosoft 365、認証プロセスを処理するか、ユーザーを別の ID プロバイダーにリダイレクトします。The Azure AD tenant for your Microsoft 365 subscription either handles the authentication process or redirects the user to another identity provider.
最適シナリオBest for DS を使用するオンプレミスの組織または必要AD組織。Organizations that do not have or need an on-premises AD DS. DS または別AD ID プロバイダーを使用している組織。Organizations using AD DS or another identity provider.
最大のメリットGreatest benefit 使いやすい。Simple to use. 追加のディレクトリ ツールやサーバーは必要ありません。No extra directory tools or servers required. ユーザーは、オンプレミスまたはクラウドベースのリソースにアクセスするときに同じ資格情報を使用できます。Users can use the same credentials when accessing on-premises or cloud-based resources.

クラウド専用 IDCloud-only identity

クラウド専用 ID は、Azure アカウントにのみ存在するユーザー アカウントを使用AD。A cloud-only identity uses user accounts that exist only in Azure AD. クラウド専用 ID は、通常、オンプレミス のサーバーを持たない、またはローカル ID を管理するために AD DS を使用しない小規模な組織で使用されます。Cloud-only identity is typically used by small organizations that do not have on-premises servers or do not use AD DS to manage local identities.

クラウド専用 ID の基本的なコンポーネントを次に示します。Here are the basic components of cloud-only identity.

クラウド専用 ID の基本的なコンポーネント

オンプレミスとリモート (オンライン) の両方のユーザーは、Azure ADアカウントとパスワードを使用して、クラウド Microsoft 365アクセスします。Both on-premises and remote (online) users use their Azure AD user accounts and passwords to access Microsoft 365 cloud services. Azure AD、保存されているユーザー アカウントとパスワードに基づいてユーザー資格情報を認証します。Azure AD authenticates user credentials based on its stored user accounts and passwords.


ユーザー アカウントは Azure AD にのみ格納されるので、クラウド ID は、クラウド ID などのツールを使用Microsoft 365 管理センター管理Windows PowerShell。Because user accounts are only stored in Azure AD, you manage cloud identities with tools such as the Microsoft 365 admin center and Windows PowerShell.

ハイブリッド IDHybrid identity

ハイブリッド ID は、オンプレミスの DS で発生し、ADサブスクリプションの Azure AD テナントにコピー Microsoft 365します。Hybrid identity uses accounts that originate in an on-premises AD DS and have a copy in the Azure AD tenant of a Microsoft 365 subscription. ただし、ほとんどの変更は 1 つの方法でのみフローします。However, most changes only flow one way. DS ユーザー アカウントに対して行AD変更は、Azure ユーザー アカウントのコピーと同期AD。Changes that you make to AD DS user accounts are synchronized to their copy in Azure AD. ただし、Azure AD のクラウドベースのアカウント (新しいユーザー アカウントなど) に加えた変更は、AD DS と同期されません。But changes made to cloud-based accounts in Azure AD, such as new user accounts, are not synchronized with AD DS.

Azure AD Connectは、継続的なアカウント同期を提供します。Azure AD Connect provides the ongoing account synchronization. オンプレミス サーバー上で実行し、DS の変更をADし、それらの変更を Azure サーバーに転送AD。It runs on an on-premises server, checks for changes in the AD DS, and forwards those changes to Azure AD. Azure AD Connectでは、同期するアカウントと、パスワード ハッシュ同期 (PHS) と呼ばれるハッシュバージョンのユーザー パスワードを同期するかどうかをフィルター処理できます。Azure AD Connect provides the ability to filter which accounts are synchronized and whether to synchronize a hashed version of user passwords, known as password hash synchronization (PHS).

ハイブリッド ID を実装する場合、オンプレミスの AD DS がアカウント情報の権限を持つソースになります。When you implement hybrid identity, your on-premises AD DS is the authoritative source for account information. つまり、主にオンプレミスで管理タスクを実行し、Azure サーバーに同期AD。This means that you perform administration tasks mostly on-premises, which are then synchronized to Azure AD.

ハイブリッド ID のコンポーネントを次に示します。Here are the components of hybrid identity.

ハイブリッド ID のコンポーネント

Azure ADテナントには、DS アカウントのADがあります。The Azure AD tenant has a copy of the AD DS accounts. この構成では、クラウド サービスにアクセスするオンプレミスユーザーとリモート ユーザーの両方Microsoft 365 Azure サービスに対して認証AD。In this configuration, both on-premises and remote users accessing Microsoft 365 cloud services authenticate against Azure AD.


ハイブリッド ID のユーザー アカウントを同期するには、常AD Connect Azure サーバーを使用する必要があります。You always need to use Azure AD Connect to synchronize user accounts for hybrid identity. ライセンスの割り当てとグループAD、アクセス許可の構成、およびユーザー アカウントに関連するその他の管理タスクを実行するには、Azure AD で同期されたユーザー アカウントが必要です。You need the synchronized user accounts in Azure AD to perform license assignment and group management, configure permissions, and other administrative tasks that involve user accounts.


元のユーザー アカウントと権限のあるユーザー アカウントはオンプレミスの AD DS に格納されますので、AD DS を管理するのと同じツールを使用して id を管理します。Because the original and authoritative user accounts are stored in the on-premises AD DS, you manage your identities with the same tools as you manage your AD DS.

Azure Microsoft 365 管理センターで同期Microsoft 365ユーザー アカウントを管理するために、Microsoft 365 管理センター PowerShell を使用AD。You don't use the Microsoft 365 admin center or PowerShell for Microsoft 365 to manage synchronized user accounts in Azure AD.

次の手順Next step

クラウド専用 ID モデルが必要な場合は、「クラウド専用 ID」を参照してくださいIf you need the cloud-only identity model, see Cloud-only identity.

ハイブリッド ID モデルが必要な場合は、「ハイブリッド ID」 を参照してくださいIf you need the hybrid identity model, see Hybrid identity.

関連項目See also

Microsoft 365 Enterprise の概要Microsoft 365 Enterprise overview