>
>
Microsoft Entra ID(旧Azure Active Directory)は、現代の企業がマルチクラウドやハイブリッドワークを安全に推進するための中心的なクラウド型ID・アクセス管理(IDaaS)プラットフォームです。2023年の名称変更を経て、ゼロトラスト保護範囲をさらに拡大し、2024年末からのMFA(多要素認証)義務化などセキュリティ強化が続いています。本記事では、オンプレADとの違いや最新の料金プラン、移行手順を解説します。
Microsoft Entra ID(旧Azure Active Directory)とは
本記事のポイント
新名称への完全移行:旧Azure Active Directoryは「Microsoft Entra ID」に名称変更され、ブランドが統合されました。
オンプレADとは別物:オンプレミスのActive Directoryとは認証プロトコルや管理対象が根本的に異なる別製品です。
最新セキュリティ義務化:Azureポータル等へのアクセス時のMFA(多要素認証)が完全に必須となっています。
移行には連携が不可欠:オンプレからのスムーズな完全移行には、Microsoft Intune等を用いたモダン管理の設計が必要です。
Microsoft Entra IDは、クラウド環境に最適化されたモダンなID・アクセス管理(IDaaS)プラットフォームです。複数のクラウドサービスや社内システムの認証情報を一元化し、従業員へ安全かつ効率的なログイン環境を提供します。
現代のビジネス環境では、様々なクラウドサービスを駆使して業務を進めることが一般的です。しかし、それぞれのアカウント情報の管理は手間だけでなく、IDとパスワードの管理不備によるセキュリティリスクも伴います。こうした課題を解消するためのスマートな解決策が、旧「Azure Active Directory」ことMicrosoft Entra IDです。情報を一元管理することで、セキュリティレベルの向上と管理コストの削減に大きく貢献します。
また、これは従来のオンプレミスのActive Directory(オンプレAD)と異なり、サーバーを自社で物理管理・保守することなくクラウド上で提供されるため、運用の利便性が極めて高いことが特長です。まさに企業のアカウント管理をシンプルかつ強固にする、国内IDaaS市場シェアトップ(後述)のID管理基盤です。
Microsoft Entra IDが注目されている理由と最新動向
テレワークの日常化とサイバー脅威の巧妙化に伴い、境界防御に頼らないゼロトラストセキュリティと柔軟なアイデンティティ管理の重要性が急速に高まっています。国内のクラウドID管理市場をリードするMicrosoft Entra IDが、なぜこれほどまでに注目を集めるのか、最新動向と併せて解説します。
①テレワーク・ハイブリッドワークの普及
コロナ禍や働き方改革を経て、社員が社外の多様な場所やデバイスから業務システムへアクセスするハイブリッドワークが浸透しました。従来のオンプレADのような「社内ネットワークにいれば安全」という社内ネットワーク依存の認証局では対応しきれなくなり、どこからでもアクセス制御ができるクラウド対応のEntra IDの需要が爆発的に増加しています。
②ゼロトラストセキュリティへの移行
巧妙化するサイバー攻撃に対抗するため、一切のアクセスを信用せずに常に検証を行う「ゼロトラストセキュリティ」の考え方が主流となりました。Entra IDはゼロトラストの起点となるID認証と動的なアクセス制御のエンジンとして、企業の機密データを守る中核的な役割を担っています。なお、各種調査によると、依然として多くの中堅・中小企業がオンプレADを単体または併用して利用しており、今まさにクラウド(Entra ID)への移行トレンドの真っ只中にあります。
③Azure管理操作におけるMFA(多要素認証)の義務化(2025-2026年最新)
マイクロソフト社はセキュリティ強化の一環として、2024年10月よりAzure portalや管理センターへのサインイン時におけるMFA(多要素認証)の義務化を開始しました(フェーズ1)。Azure CLIやAzure PowerShellへのMFA義務化は2025年10月からのフェーズ2として順次展開されています。2025年から2026年にかけてはすべての管理者・ユーザーアカウントに対し段階的に強制適用が進められており、ID管理の厳格化が実務上必須となっています。
④AIエージェント向けID管理「Entra Agent ID」の登場
生成AIや自律型AIエージェントがビジネスプロセスを自動実行する2025-2026年のトレンドに対応するため、人間だけでなく「AIエージェント」自身に対して一意のID(Entra Agent ID)を付与し、最小権限の原則でアクセスを管理・追跡する最先端のIDガバナンス機能も登場しています。これらの先進性もあり、日本国内のIDaaS市場において、Microsoft Entra IDはシェア38%を獲得してトップの座を維持しています(2位:Okta 14%、3位:HENNGE One 10%)(※出典:市場調査データに基づく参考値。最新の調査レポートをご確認ください)。
Microsoft Entra IDの主要機能と特徴
Entra IDは、認証情報の統合からデバイス、アクセス権限の動的制御までを網羅する多機能プラットフォームです。数多くの機能の中でも、特に重要な主要機能について紹介します。
シングルサインオン(SSO)
一度のログインだけで、連携された数千種類以上のクラウドサービス(SaaS)へ追加認証なしで安全にアクセスできる機能です。毎回ログイン情報を入力する手間を省き、従業員のパスワード管理負担を劇的に軽減します。SSOの連携により、セキュリティ対策と業務利便性の向上の両方を同時に実現できます。詳細については、SSOの仕組みを解説した記事も併せてご覧ください。
ユーザー/グループ管理
組織内のすべての従業員や、外部の協力会社メンバーなどのID情報を中央で一元管理します。プロジェクトや部門ごとにグループを作成し、グループごとに特定のクラウドツールへのアクセス権を付与するといった効率的な管理操作が可能です。
アプリケーション管理
自社で利用している多様なクラウドツールに対して、どのユーザーがアクセス可能かを集中制御します。許可されていないアプリへのアクセスを拒否するだけでなく、プロビジョニング機能を使って、Entra ID側のアカウント作成・削除に連動してSaaS側のアカウントも自動で作成・削除することができます。
デバイス管理
Entra IDに登録(参加)されたデバイスを一元的に管理します。「Microsoft Intune」などのMDM(モバイルデバイス管理)製品と高度に密連携することで、会社が支給・許可した安全な端末からのみアクセスを可能にし、シャドーITや紛失時のデータ漏えいを防止します。
多要素認証(MFA)
IDとパスワードの入力に加え、スマートフォンの認証アプリ(Microsoft Authenticator)、SMS、FIDO2物理セキュリティキーなどの追加要素を求めることで、なりすましログインを防止します。パスワードのみに依存する認証に比べて、アカウント侵害リスクを99.9%以上低減させることが実証されています(※Microsoft社内調査データによる)。
アクセスログとレポート機能
ユーザーがいつ、どこから、どのデバイスで、何のアプリにアクセスを試み、成功したか失敗したかを細かく記録します。不審な海外からのアクセス試行などを検知した場合、システム管理者にアラート通知するなどの監査・追跡が可能です。
ゼロトラストの核心「条件付きアクセス(Conditional Access)」
有償プラン(P1以上)で利用できるアクセスポリシー制御機能です。「もし(If)〜ならば、そのとき(Then)〜する」という条件ベースで動的にセキュリティをコントロールします。例えば、「特定の営業部員が(If)」「会社の管理外デバイスや未許可のネットワークから(If)」「機密データを扱うSaaSにアクセスしようとした場合(If)」、「多要素認証を強制し、かつ読み取り専用権限でしかアクセスさせない(Then)」、あるいは「完全にアクセスをブロックする(Then)」といった高度できめ細やかな運用が可能です。
オンプレミスのActive Directoryとの決定的な違い
オンプレADとEntra IDは名前が酷似していますが、認証プロトコルや管理対象が根本的に異なる別製品です。企業がクラウド移行を検討する際は、これらの「別物である」性質を正しく理解する必要があります。以下の比較表にてその主な違いを整理しました。
比較項目 | オンプレミスActive Directory | Microsoft Entra ID(旧Azure AD) |
|---|---|---|
主な認証プロトコル | Kerberos, LDAP, NTLM | SAML, OpenID Connect, OAuth 2.0 |
主な管理対象 | 社内LAN、物理サーバー、Windows PC | クラウドサービス(SaaS)、Webアプリ、モバイルを含むマルチデバイス |
グループポリシー(GPO) | あり(詳細なレジストリや端末制御が可能) | なし(別売のMicrosoft Intuneを組み合わせる必要がある) |
運用の手間とコスト | 物理/仮想サーバーの保守、UPS対策、専門スキルが必要 | マイクロソフトがプラットフォームを維持。保守不要の従量課金 |
①利用用途と認証プロトコルの違い
オンプレADは「社内ローカルネットワーク」を保護・管理することに最適化されており、Windowsドメイン環境内の認証(Kerberosなど)を得意とします。一方で、インターネットを介して動く現代のSaaSをオンプレADで管理するのは困難です。Entra IDは、インターネット上で安全にIDをやり取りするために策定された最新のオープンプロトコル(SAMLやOIDCなど)を採用しており、クラウド間連携において圧倒的な優位性を持っています。
②サーバー構成と機能追加の容易性の違い
オンプレADの場合、冗長化のための複数サーバーの稼働、パッチ適用、ハードウェア更新などの物理運用コストが常に発生します。機能を追加する場合(ADFSなどの外部認証連携)には、新規に中継サーバーを構築する必要があり、莫大な工数と設計コストがかかりました。それに対し、Entra IDはMicrosoftが保守・運用する高可用性なIDaaSであるため、追加のサーバーなしで、コントロールパネル(Entra管理センター)上から瞬時にセキュリティポリシーや新機能(SSO、リスク検知など)を有効化することができます。
▲ オンプレミスActive DirectoryとMicrosoft Entra IDの決定的な違い
Microsoft Entra IDを導入するメリットと国内事例
Entra IDの導入は、物理サーバー保守コストの削減とSSOによる従業員の生産性向上を同時に得られる点が大きな魅力です。特にコストパフォーマンスとセキュリティの双方で、企業に具体的な導入効果をもたらします。米Forrester Consultingが実施した「総経済効果(TEI)調査」によると、Microsoft Entra Suiteを導入した組織において、3年間で「131%の投資収益率(ROI)」、純現在価値(NPV)で820万ドルの経済効果が実証されています(※同調査は大企業を対象とした複合試算のため、自社規模での効果は異なる場合があります)。オンプレミスの物理/仮想サーバーとして社内認証基盤を維持・保守するコストと比較して、クラウド移行により総運用コストの大幅な削減が見込めます(削減効果は組織規模・構成により異なります)。以下に、日本国内の代表的な先進導入事例をフォーマットを統一して紹介します。
事例1:中外製薬株式会社(ハイブリッドワークとモダン管理)
業種・規模:医薬品製造・販売 / 数千名規模
導入時期:ハイブリッドワーク推進期
課題:コロナ禍に伴うPCのリプレイスの際、従来のオンプレAD基盤では、社員が出社して内部ネットワークに接続しキッティング(セットアップ)を行う必要があり、業務の非効率と安全性の両立が課題だった。
施策:認証基盤を「Microsoft Entra ID」に移行し、デバイス管理をMicrosoft Intune、キッティングをWindows Autopilotへ統合。
成果:完全クラウドベースのモダンマネジメントが実現。社員は自宅から直接PCを開き、安全に自動キッティングを完了させることが可能になり、運用のシンプル化とトラブル対応の迅速化を両立した。
事例2:NTTコミュニケーションズ株式会社(完全ゼロトラストの構築)
業種・規模:通信・ITサービス / 数万名規模
導入時期:リモートスタンダード制度導入期
課題:全国どこからでも制限なく働ける制度の本格導入にあたり、境界防御(社内LAN)を前提としない強固なセキュリティ環境が必要であった。
施策:社内に存在したレガシーなオンプレAD等のインフラをすべて廃止し、Entra IDとIntuneを中心とした完全クラウドのゼロトラスト認証基盤へと切り替え。
成果:接続デバイスやアクセス元の動的な条件評価が可能になり、社員が住む場所を問わず極めて安全にハイブリッドワークを行える強固なセキュリティ基盤が完成。
事例3:日本精工株式会社(アジア初の最新顧客ID管理導入)
業種・規模:ベアリング・精密機械製造 / グローバル企業
導入時期:2024年(一般提供開始直後)
課題:外部の取引先、パートナー、顧客ポータルに対してセキュアなアクセスを提供しつつ、ログイン時のユーザー体験を向上させる必要があった。
施策:顧客ID・アクセス管理に特化した「Microsoft Entra External ID(旧Azure AD B2Cの後継)」をアジア圏で初めて導入。
成果:社内従業員(B2E)だけでなく、社外のパートナーや顧客(B2B/B2C)のID認証も一つのブランドで一元化。高度なアクセス条件制御と使いやすさを両立した。
Entra ID導入における注意点とよくある失敗パターン
移行や運用の設計が不十分な場合、従来の社内管理機能の喪失やアクセスポリシーのカオス化を引き起こす恐れがあります。実務上で情シス担当者が特に陥りやすい3つの失敗パターンと、その対策方法を提示します。
失敗パターン1:オンプレADの「グループポリシー(GPO)」が使えなくなる
【原因】「クラウド版Active Directory」という言葉を鵜呑みにしてEntra IDにのみ移行した結果、デバイス制御を行っていたオンプレADのGPO(グループポリシー)機能が使えなくなり、PCのセキュリティ統制が利かなくなる失敗です。
【対策】デバイス制御を行うためには、MDMツールである「Microsoft Intune」を併用・設計する必要があります。Entra ID P1プラン以上(Microsoft 365 E3やBusiness Premiumなどのライセンスに含まれる)にIntuneを組み合わせることで、クラウドベースでの安全な端末制御(ポリシー適用)が実現します。
失敗パターン2:自社開発の社内システム(LDAP/Kerberos認証)にログイン不可になる
【原因】社内の古いファイルサーバーや基幹システム、複合機などがクラウド対応プロトコル(SAMLやOIDC)に非対応であるため、認証基盤をクラウド化(Entra ID化)した途端、アクセス不能になるケースです。
【対策】まずは「ハイブリッド同期構成」を選択し、オンプレADを段階的に残したまま併用を続けます。または、クラウド上でActive Directoryドメインサービス(ADDS)を提供する「Microsoft Entra Domain Services」を活用してレガシー認証を仲介するか、自社システムの認証方式をSAML対応に近代化(アプリモダナイゼーション)する計画を立ててください。
失敗パターン3:条件付きアクセスポリシーが増えすぎてカオス化する
【原因】「営業部用」「社長用」「外部パートナー用」など、部門や要望の都度場当たり的に条件付きアクセスの設定を増やした結果、ポリシー同士が競合し、「なぜユーザーがログインできないのか」の原因究明が情シス側で不可能になる状態です。
【対策(Microsoft推奨の命名標準の導入)】この管理課題の解決策として有効なのが、ポリシー名への明確な命名規則の導入です。Microsoftが推奨するベストプラクティスとして、ポリシー名に「[適用対象][制御対象アプリ][条件][アクション]」という構造化された命名規則(例: [全社員][Salesforce][社外かつ未登録端末][MFA強制])を徹底することで、設定一覧をひと目で把握でき、管理表不要で安全な保守を続けられます。
Microsoft Entra IDのプラン料金比較(2025-2026年最新)
Entra IDの料金体系は無料版から高度なセキュリティを提供する有償版まで4つの主要ライセンスに分かれています。組織規模や必要なセキュリティレベルに合わせてライセンスを選定します。以下は、2025-2026年現在最新の目安料金表です。
プラン名 | 料金目安(1ユーザー/月・税抜) | 主な機能・特徴 | 含まれるバンドル上位ライセンス |
|---|---|---|---|
Free(無料版) | 0円 | ユーザー・グループ管理、最大10個までのアプリSSO連携、基本的な多要素認証 | Azure、Dynamics 365、Power Platform契約に標準付属 |
P1(旧Premium P1) | 約899円 | 条件付きアクセス、動的グループ、自動プロビジョニング、ハイブリッド同期(Entra Connect) | Microsoft 365 E3 / Business Premium に標準同梱 |
P2(旧Premium P2) | 約1,349円 | P1の全機能、特権ID管理(PIM)、Identity Protection(リスクベース認証)、アクセスレビュー | Microsoft 365 E5 に標準同梱 |
Entra Suite | 約1,800円〜 | 上記に加え、プライベートアクセス、インターネットアクセス、検証済みIDなど、SSE(セキュリティサービスエッジ)機能の統合 | 単体、または各アドオンで拡張可能 |
※為替相場の変動により、Microsoftによる日本円の公式小売価格は随時改定されます。実環境でのライセンス見積もりや最新の正確な価格については、必ずMicrosoft公式価格ページや認定CSPパートナーの価格を参照するようにしてください。
オンプレミスADからEntra IDへの段階的移行プロセス
オンプレADからEntra IDへの移行は、業務への影響を抑えるためハイブリッド構成を経由した段階的移行が基本となります。すべてを一度に切り替えるとシステム停止等の重大リスクが発生するため、以下の3つのフェーズに沿って「いつ、何を、どの順で」行うかを計画します。
フェーズ1:検証期(事前準備とアカウント整合)
まずは、オンプレADのアカウントデータがクラウド側の仕様と合致しているかを精査します。Microsoft提供の無償ツール「idFix」を実行し、ユーザー情報の重複や非互換文字などのエラーを事前に検出・修正します。同時に、試験的な一部のグループでMicrosoft 365などのクラウドサービスを導入し、移行時のユーザーの心理的負荷を測定します。
フェーズ2:ハイブリッド期(同期・併用構成)
完全にオンプレADを廃止できないこの時期は、同期ツール「Microsoft Entra Connect(旧Azure AD Connect)」を使用して、オンプレADのパスワードやアカウント属性情報をEntra IDへ定期的に自動同期します。この「ハイブリッドアイデンティティ」環境により、ユーザーはこれまでと同じ社内アカウントでSaaS(クラウド)へシングルサインオンできるようになります。
フェーズ3:完全クラウド期(段階的移行と廃止)
デバイス管理をIntuneなどのモダンな管理方法へ完全に移管し、レガシーなファイルサーバーや物理複合機の認証方式を近代化していきます。最後にオンプレ側の追加登録を完全に停止し、数カ月間の安定運用期間を経て、不要になったオンプレADサーバーを段階的に完全に廃止(Decommission)し、完全なクラウドネイティブ認証への移行を完了させます。
▲ オンプレADからEntra IDへ安全に移行するための3つのフェーズ
よくある質問
Q:オンプレADを完全に廃止してEntra IDだけにすることは可能ですか?
A:はい、完全に移行してオンプレADを廃止することは可能です。ただし、社内の古いWebシステムや物理デバイス(複合機等)がレガシー認証(LDAP/Kerberos)を必須とする場合は、移行前にそれらをクラウド対応(SAML/OIDC)に改修するか、「Microsoft Entra Domain Services」等を併用する必要があります。
Q:無料版のFreeプランでも多要素認証(MFA)は使えますか?
A:はい、Microsoft Authenticatorアプリを利用した基本的な多要素認証(MFA)はFreeプランでも設定可能です。ただし、ユーザーやネットワーク環境(場所、デバイスステータス)に応じて自動的かつ動的にMFAを強制させるには、Premium P1以上の「条件付きアクセス」機能の契約が必要となります。
Q:GPO(グループポリシー)の代わりにデバイスを制御する方法はありますか?
A:クラウド単体でのGPOの代替手段として、MDM(モバイルデバイス管理)製品である「Microsoft Intune」を導入します。Intuneの構成プロファイルをEntra IDに登録されたデバイスに配布することで、オンプレADのGPOと同等、あるいはそれ以上の細部までわたる端末セキュリティ・機能制御をクラウドから遠隔で実行できます。
▲ 自社がオンプレADを廃止してEntra IDに一本化できるかの診断フロー
まとめ
Microsoft Entra ID(旧Azure AD)は、境界防御の限界を超え、次世代のゼロトラストセキュリティを企業が実現するための中心的なアイデンティティ管理(IDaaS)基盤です。物理サーバーの保守コストを抑えながら、安全なシングルサインオンや多要素認証(MFA)、動的なアクセス制限ポリシーを一元構築できます。
まずは現在自社で利用中のSaaSや社内レガシーシステムの認証プロトコルを洗い出し、既存Active Directoryのアカウントデータを整理するために、無償ツール「idFix」を用いた事前スキャンを実行してみると良いでしょう。
✅ 現在利用中のSaaSの認証プロトコルを棚卸しする
✅ idFixでオンプレADのアカウントデータをスキャンする
✅ 自社のMicrosoft 365ライセンスにP1/P2が含まれているか確認する
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
