Microsoft Entra Connect とは
かつては似た名前が付いていましたが、Microsoft Entra ID は、Windows Server Active Directory のクラウド バージョンでは "ありません"。 また、オンプレミスの Active Directory を完全に置き換えることを目的としたものでもありません。 代わりに、Windows AD サーバーを既に使用している場合は、それを Microsoft Entra ID に接続して、ディレクトリを Azure に拡張できます。 この方法により、ユーザーは同じ資格情報を使用して、ローカル リソースとクラウドベースのリソースにアクセスできます。
ユーザーは、Windows AD とは独立して Microsoft Entra ID を使用することもできます。 小規模な企業では、Microsoft Entra ID を唯一のディレクトリ サービスとして使用して、所有するアプリケーションや Microsoft 365、Salesforce、Dropbox などの SaaS 製品へのアクセスを制御することができます。
Note
このアプローチでは、完全に集中管理された管理モデルが提供されないことに注意してください。たとえば、ローカルの Windows マシンではローカルの資格情報を使用して認証が行われます。 ユーザーは、Microsoft Entra ID を使用し、ユーザーによって 1 か所で管理される認証と認可を提供するようにアプリケーションを作成できます。
ディレクトリ、サブスクリプション、およびユーザー
Microsoft では現在、複数のクラウドベースのサービスを提供しています。そのすべてで、Microsoft Entra ID を使用して、ユーザーを識別し、アクセスを制御することができます。
- Microsoft Azure
- Microsoft 365
- Microsoft Intune
- Microsoft Dynamics 365
企業または組織が、これらのサービスの 1 つを使用するためにサインアップすると、既定の "ディレクトリ"、つまり Microsoft Entra ID のインスタンスが割り当てられます。 このディレクトリには、企業が購入した各サービスにアクセスできるユーザーとグループが保持されます。 この既定のディレクトリは、"テナント" と呼ぶこともあります。 テナントは、組織と、それに割り当てられた既定のディレクトリを表します。
Azure の "サブスクリプション" は、課金エンティティおよびセキュリティ境界の両方です。 仮想マシン、Web サイト、データベースなどのリソースは、単一サブスクリプションに関連付けられます。 また、各サブスクリプションには、アカウント "所有者" が 1 人おり、そのサブスクリプションのリソースによって発生するすべての料金に対して責任があります。 組織でサブスクリプションの料金を別のアカウントに対して請求する場合は、サブスクリプションを譲渡することができます。 サブスクリプションは、単一の Microsoft Entra ディレクトリに関連付けられます。 複数のサブスクリプションが同じディレクトリを信頼できますが、1 つのサブスクリプションは 1 つのディレクトリだけを信頼できます。
ユーザーとグループを複数のサブスクリプションに追加できます。 これにより、ユーザーはサブスクリプションのリソースを作成、制御、およびアクセスできます。 ユーザーをサブスクリプションに追加する場合は、次の図に示すように、関連付けられているディレクトリに対してユーザーが認識されている必要があります。
複数のディレクトリに属している場合は、Azure portal ヘッダーの ディレクトリ + サブスクリプション」 ボタンを使用して、作業中の現在のディレクトリを切り替えることができます。
既定のディレクトリを選択する方法 (最後にアクセスしたディレクトリ、または特定のディレクトリ) も決定できます。 また、表示されるサブスクリプションに対して既定のフィルターを設定することもできます。 既定のフィルターは、複数のサブスクリプションにアクセスできるが、通常はその中のいくつかのみで作業する場合に便利です。
新しいディレクトリを作成します。
組織 (テナント) には、1 つの既定の Microsoft Entra ディレクトリが関連付けられています。 しかし、所有者は追加のディレクトリを作成して、開発またはテストの目的をサポートできます。あるいは、別のディレクトリを用意して、ローカルの Windows Server AD フォレストと同期させたい場合もあります。
重要
新しいディレクトリを作成する手順は次のとおりです。ただし、Azure アカウントの所有者でない場合、このオプションは使用できません。 Azure サンドボックスでは、新しい Microsoft Entra ディレクトリを作成することはできません。
Azure portal にサインインします。
Azure ホーム ページの [Azure サービス] で、[リソースの作成] を選択します。
左側のメニュー ウィンドウで [ID] を選択し、[Microsoft Entra ID] を検索して選択します。
[作成] を選択します
テナントの種類として [Microsoft Entra ID] を選択し、[次へ: 構成] を選択します。
各設定に対して次の値を入力します。
組織名: 他のディレクトリと区別できるように、ディレクトリの名前を入力します。 作成するディレクトリは運用環境で使用されます。ユーザーが組織の名前として認識できる名前を設定します。 名前は必要に応じて後で変更できます。
初期ドメイン名: 組織に関連付けられているドメイン名を入力します。 ドメインが不明である場合を除き、Azure によって検証エラーが表示されます。 既定のドメイン名には、常に
.onmicrosoft.comというサフィックスが付きます。 既定のドメインを変更することはできません。 必要に応じて、定義されたユーザーが従来の会社のメール (john@contoso.comなど) を使用できるように、組織が所有するカスタム ドメインを追加できます。国/リージョン: ディレクトリが存在する国/リージョンを選択します。 この国/リージョンによって Microsoft Entra インスタンスが存在するリージョンとデータセンターが特定されます。これは後で変更することはできません。
[作成] を選択して、新しいディレクトリを作成します。 ユーザーの追加、ロールの作成、アプリとデバイスの登録、ライセンスの制御を行うことができる Free レベルのディレクトリが作成されます。
ディレクトリを作成したら、[ここをクリックして新しいテナントを管理する] を選択して、すべてのディレクトリの側面を制御できる概要ダッシュボードにアクセスします。
Microsoft Entra ID で使用する主な要素の 1 つであるユーザーを確認しましょう。