Microsoft Entra ID は、旧 Azure Active Directory (Azure AD) から名称が変わったクラウド ID 管理サービスで、Microsoft 365・Azure・数千の SaaS アプリケーションの認証基盤として世界中で利用されています。 2023 年 7 月 11 日のリブランド以来、教材・ブログ・社内ドキュメントには新旧名称が混在しており、初めて学ぶ人が最初につまずくポイントの 1 つになっています。 本記事では、リブランドの経緯から、テナント構造、認証方式、Conditional Access、Azure RBAC との違い、ライセンス選定まで、AZ-900・SC-900・AZ-104 共通の必須知識を一本で整理します。
Entra ID は単独で学べる技術ではありません。Azure リソースの権限管理、Microsoft 365 のユーザー認証、SaaS アプリの SSO 統合、社外パートナーの招待など、組織の IT 基盤全体を貫く「横串の概念」です。 この横串性こそが学習を難しくしている主因で、断片的に触れるだけでは全体像が見えてきません。 本記事は「Entra を一度きちんと理解しておきたい」と思っている方に向けて、概念地図を提供することを目的に書いています。
Microsoft が 2023 年 7 月 11 日に発表した「Azure AD を Entra ID にリブランドする」というアナウンスは、技術仕様の変更ではなく純粋なブランド戦略の話でした。 背景には、Microsoft が ID と Access 管理の領域を「Microsoft Entra ファミリー」という統一ブランドに集約する戦略があります。 Entra ファミリーには ID 本体 (旧 Azure AD = Entra ID) のほか、Entra Permissions Management (旧 CloudKnox)・Entra Verified ID (分散型 ID)・Entra External ID (旧 B2B/B2C 統合)・Entra Private Access・Entra Internet Access など複数のサブブランドが含まれます。
現場での切り替えタイムラインは 2023 年 10 月 1 日に SKU 名とライセンス画面の表記が完全に Entra ID へ移行し、これをもって Microsoft 公式ドキュメントも一斉に新名称へ書き換えられました。 ただし API エンドポイント (login.microsoftonline.com、graph.microsoft.com) や PowerShell モジュール名 (AzureAD は引退、Microsoft Graph PowerShell に置き換え) は別タイムラインで段階移行が続いています。 AZ-900 や SC-900 の最新改訂版では、選択肢として「Microsoft Entra ID」が正式表記となり、古い問題集と本試験の表記ギャップが受験者の混乱の原因になっています。
Entra ID を理解する出発点は テナント (tenant) という概念です。 テナントは「組織が所有する Entra ID の論理境界」で、組織が Microsoft 365 や Azure を契約すると自動的に 1 つ作られます。 テナントは GUID 形式のテナント IDと、初期ドメイン名 (例 contoso.onmicrosoft.com)、後から追加可能なカスタムドメイン (例 contoso.com)で識別されます。 テナント ID は一度作成すると変更不可で、テナント自体の移行や統合は技術的に不可能なため、初期設計では命名と所有権を慎重に決める必要があります。
ここで初学者が必ず混乱するのが、Entra ID テナントと Azure サブスクリプションの関係です。 Azure サブスクリプションは「Azure リソースの課金単位」、Entra ID テナントは「ID と認証の管理単位」と、役割がまったく違います。 1 つのテナントに複数のサブスクリプションを紐付けることが可能で、企業では「全社で 1 つのテナント、部門ごとに複数のサブスクリプション」という構成が最も多いです。 逆に 1 つのサブスクリプションが複数のテナントに属することはできません。 この一対多の構造は AZ-900・AZ-104 の頻出ポイントです。
Entra ID が管理する オブジェクトは大きく 4 種類です。ユーザー・グループ・デバイス・アプリケーション (Service Principal)。 それぞれのオブジェクトに認証情報、属性、ロール、ポリシーが紐付き、Entra ID はこれらを統合管理します。
ユーザーには 3 つの主要タイプがあります。クラウド専用ユーザー (Entra ID にのみ存在)、同期ユーザー (オンプレ Active Directory から Entra Connect で同期)、ゲストユーザー (B2B 招待で外部組織から招待された外部ユーザー)。 実際の企業では、社員アカウントが同期ユーザー、サービスアカウントがクラウド専用、社外パートナーがゲスト、という混在構成が一般的です。
グループには Security Group (権限付与用) と Microsoft 365 Group (Teams・SharePoint・Outlook と統合された協業用) の 2 種類があり、メンバーシップの管理方法も Assigned (手動追加) と Dynamic (属性ベース自動追加) の 2 通りです。 Dynamic Group には Entra ID P1 ライセンスが必要で、「Department = Engineering の全員」「City = Tokyo の全員」といったルールでメンバーシップが自動更新される強力な機能です。
デバイスは Windows・macOS・iOS・Android などのエンドポイントを Entra に登録する仕組みで、Entra registered (BYOD)・Entra joined (会社所有)・Hybrid joined (オンプレ AD と Entra 両方に参加) の 3 種類があります。 Conditional Access ポリシーで「Entra joined デバイスからのみアクセス許可」といった制御の前提となる重要な概念です。
アプリケーションは SaaS や自社開発アプリを Entra に登録する仕組みで、App Registration (アプリの定義) と Service Principal (テナント内でのアプリのインスタンス) の 2 つに分かれます。 Service Principal は Azure RBAC のロールを割り当てる対象でもあるため、自動化スクリプトや CI/CD パイプラインの認証主体として頻繁に使われます。
Entra ID がサポートする認証方式は、セキュリティ強度の低いものから高いものまで多岐に渡ります。 順に整理すると、パスワードのみ (非推奨) → パスワード + SMS / 音声通話 (フィッシングに弱い、非推奨化) → パスワード + Microsoft Authenticator アプリ (現在の標準) → Passwordless (パスワードレス) - Authenticator フォンサインイン → Passwordless - Windows Hello for Business → Passwordless - FIDO2 セキュリティキー、という強度のスペクトルがあります。
MFA (多要素認証) は「2 つ以上の異なる要素 (知識・所持・生体) の組み合わせ」を要求する仕組みで、Microsoft の調査ではパスワードのみと比べてアカウント侵害リスクを 99.9% 削減するとされています。 2024 年以降、Microsoft はすべての Azure / Microsoft 365 管理者に MFA を必須化する措置を段階的に進めており、2025 年末までにテナント管理者ロールへの MFA 適用は全環境で完了する見込みです。
Passwordless はその次の段階で、「そもそもパスワード自体を使わない」認証方式です。 Entra ID で公式サポートされる Passwordless 方式は 3 つ。Microsoft Authenticator のフォンサインイン (スマートフォンの生体認証で認証完了)、Windows Hello for Business (Windows デバイス内の TPM とローカル PIN / 生体で認証)、FIDO2 セキュリティキー (YubiKey などの USB / NFC ハードウェアキー) です。 この中で FIDO2 は WebAuthn 標準に準拠したフィッシング耐性最高クラスの方式で、Yubico や Feitian などのベンダー製キーが利用できます。 高セキュリティ環境では「FIDO2 セキュリティキー + Entra joined デバイス」の組み合わせが現代的なベストプラクティスです。
Conditional Access は Entra ID P1 以上で利用可能なポリシーエンジンで、Zero Trust アーキテクチャの実装中核となる機能です。 基本的な発想は「サインインのコンテキストに応じて、許可・ブロック・追加認証要求・制限付きアクセスを動的に決定する」というシンプルなもので、「もし (条件) ならば (アクション)」というルールセットで構成されます。
条件として指定できるのは、ユーザー / グループ、クラウドアプリ (Office 365、Azure Management、特定 SaaS)、場所 (国・IP 範囲)、デバイス状態 (Entra joined / Compliant)、デバイスプラットフォーム (Windows / macOS / iOS / Android)、クライアントアプリ (Browser / Mobile / Modern auth client)、サインインリスク (Identity Protection と連動した動的リスクスコア) です。
実務でよく使うパターンを 3 つ挙げます。 1 つ目は 「管理者ロールには必ず MFA」。Global Administrator・Privileged Role Administrator などへの昇格を MFA 必須に。 2 つ目は 「国外からのアクセスは MFA」。日本以外の国 IP からのアクセスに追加認証を要求し、海外からの不審ログインを抑制。 3 つ目は 「会社管理外デバイスは Outlook Web のみ読み取り専用」。MAM (Mobile Application Management) と組み合わせて、BYOD でもデータ持ち出しを制限する。 これらは SC-300 と AZ-104 の演習問題で頻出する代表シナリオです。
Entra ID を学ぶ際の最大の落とし穴が、Entra ID のロールと Azure RBAC のロールの混同です。 この 2 つは別のロールシステムで、適用範囲も役割もまったく異なります。
Entra ID のロールは「Entra テナント内の管理操作」を制御します。 代表例は Global Administrator (テナント全権)、User Administrator (ユーザー / グループ管理)、Application Administrator (アプリ登録管理)、Privileged Role Administrator (他のロール割り当て管理) など。 これらは Entra ID テナントスコープでの管理権限であり、Azure サブスクリプション配下のリソース (VM・Storage・Database など) の操作権限はデフォルトでは含まれません。
一方 Azure RBAC のロールは「Azure サブスクリプション配下のリソース操作」を制御します。 代表例は Owner (全権)、Contributor (操作可能、権限委譲不可)、Reader (読み取り専用)、User Access Administrator (ロール割り当て管理)、および Storage Blob Data Contributor などのリソース別ロール (数百種類)。 これらは Azure リソーススコープ (サブスクリプション・リソースグループ・リソース) で割り当てられます。
混同しやすい例として、Global Administrator は Entra ID テナントのすべてを管理できますが、Azure サブスクリプション配下のリソース操作権限はデフォルトでは持ちません。 必要なら Global Administrator が 「Azure Subscriptions の管理アクセス権を昇格」 ボタンで自分自身を全サブスクリプションの User Access Administrator に昇格させ、その後 Owner などの RBAC ロールを自分に付与する、という 2 段階の手順を踏みます。 この境界線は AZ-104 と SC-300 で必ず問われるポイントです。
Entra ID の最も実用価値の高い機能の 1 つが シングルサインオン (SSO) による SaaS アプリ統合です。 Entra ID は Entra ID Gallery に 世界 1 万以上の SaaS アプリがプリインテグレーション済みで、Salesforce・ServiceNow・Workday・Zoom・Slack・GitHub・Asana・Box・Dropbox など主要 SaaS のほぼすべてがワンクリックで SSO 連携できます。
統合プロトコルは SAML 2.0・OpenID Connect (OIDC)・OAuth 2.0・WS-Federation の 4 つに対応し、レガシー SAML 系から最新の OIDC まで幅広くカバーします。 加えて SCIM 2.0 対応の SaaS アプリには、Entra ID でユーザーを作成・削除すると自動的に SaaS 側にもプロビジョニング / デプロビジョニングされる 自動ユーザーライフサイクル管理が可能。 退職者の SaaS アクセス停止漏れを防ぐ実務上の強力な機能です。
Gallery にないアプリでも、カスタム SAML アプリとして手動登録できます。自社開発の Web アプリに Entra ID で SSO を組み込むパターンも多く、MSAL (Microsoft Authentication Library) を使えば数行のコードで認証連携を実装できます。
Entra ID は「自社のユーザー」だけでなく「外部のユーザー」も管理する仕組みを提供します。これが Microsoft Entra External ID です。
旧 Azure AD B2B Collaboration は現在も Entra External ID の B2B 機能として現役で、ビジネスパートナーや取引先の Microsoft / Google アカウントを ゲストユーザーとして自社テナントに招待し、特定のリソースやアプリにアクセスさせる仕組みです。 共同プロジェクトで一時的に外部設計事務所や監査法人にアクセスを許可する、といった用途に頻繁に使われます。
一方、旧 Azure AD B2C は別アーキテクチャの「コンシューマー向けアプリ用 ID プラットフォーム」でしたが、Microsoft は 2025 年 5 月 1 日に新規サインアップを締切り、新規プロジェクトには External ID for customers (新コンシューマー ID プラットフォーム) を推奨しています。 既存の Azure AD B2C テナントは 2030 年まで継続利用可能ですが、ロードマップ上は新プラットフォームへの移行が想定されています。 BtoC アプリの認証基盤を新規構築する場合、Azure AD B2C は選ばずに External ID for customers から始めるのが Microsoft の公式ガイダンスです。
Entra ID のライセンスは大きく Free・P1・P2・Microsoft Entra Suite の 4 段階です (Microsoft 365 のバンドルライセンスとして F2 が存在しますが、これは特殊 SKU)。 どこから有料に踏み切るかは多くの組織が悩むポイントなので、機能境界を明確にしておきます。
Free はテナント作成と基本のユーザー / グループ管理、Microsoft 365 アカウントの認証など最低限の機能。P1 (月額 6 USD / ユーザー) から Conditional Access・Self-Service Password Reset (オンプレ AD への書き戻し対応)・Dynamic Groups・Application Proxy・SCIM プロビジョニング・グループベースアプリ割り当てが解放されます。 実務的には Conditional Access の有無が境界線で、ほとんどの企業環境では P1 を最低ラインとして導入することになります。
P2 (月額 9 USD / ユーザー) は P1 全機能に加え、Privileged Identity Management (PIM)・Identity Protection・Access Reviews・Entitlement Management といったガバナンス系の上位機能が含まれます。 PIM は「管理者ロールを常時付与せず、必要なときだけ申請ベースで時限的に昇格させる」仕組みで、最小権限原則を実装する核心機能。 セキュリティ成熟度の高い組織や、SOX・ISO27001 のような規制対応が必要な企業では P2 が事実上の必須になります。
2024 年に登場した Microsoft Entra Suite (月額 12 USD / ユーザー、P2 込み) は、P2 機能に加えて Entra Verified ID・Entra Private Access・Entra Internet Access・Entra Permissions Management を統合した最上位 SKU。 Zero Trust ネットワークアクセス (ZTNA) や分散型 ID をフル装備で導入したい組織向けのパッケージで、サブスクリプション全体の刷新を検討するレベルの投資になります。
Entra ID の学習ルートを試験別に整理します。 入門なら SC-900 (Security, Compliance & Identity Fundamentals) が最適。Entra の概念、ゼロトラスト、Defender 系の入門が 45 分・99 USD で受講可能。 本格管理者を志すなら SC-300 (Identity and Access Administrator Associate) が本命で、Conditional Access・PIM・External Identities の実装が中心。 Azure 全体運用者として Entra も含めて学ぶなら AZ-104 (Azure Administrator) に基本管理が含まれます。最上位は SC-100 (Cybersecurity Architect Expert) で、Zero Trust 設計の中で Entra 戦略を設計するロール向け。
無料学習リソースとしては、Microsoft Learn の 「Microsoft Entra fundamentals」 パスがおすすめ。日本語対応で約 4 時間。 実機演習には Microsoft 365 Developer Program の無料サンドボックステナントが便利で、本番に影響を与えずに Conditional Access や PIM の挙動を試せます。 商用環境を触る前に、まずサンドボックスで Conditional Access のテストポリシーを作って自分自身に適用してみる、というのが王道の学習パターンです。
Microsoft Entra ID と Azure AD は同じものですか?
はい、まったく同じサービスです。2023 年 7 月 11 日に Microsoft が「Azure Active Directory (Azure AD) を Microsoft Entra ID にリブランドする」と発表し、2023 年 10 月 1 日までに SKU 名やライセンス画面の表記も完全に切り替えられました。技術仕様、API エンドポイント (login.microsoftonline.com)、テナント構造は一切変わっていません。古い教材や Stack Overflow の回答で「Azure AD」と書かれていても、すべて「Entra ID」と読み替えれば現行サービスに対応します。
Entra ID のライセンスは何種類ありますか?
公式に存在するのは Free / P1 / P2 / Microsoft Entra Suite の 4 つです (F2 は Microsoft 365 F2 とのバンドル特殊 SKU)。Free はテナント作成と基本的なユーザー / グループ管理のみ。P1 は Conditional Access・Self-Service Password Reset・Dynamic Groups・Application Proxy など実務に必須の機能を含み、月額 6 USD / ユーザー。P2 は P1 機能に加え Privileged Identity Management (PIM)・Identity Protection・Access Reviews を含み、月額 9 USD / ユーザー。一部ブログで言及されている「P5」という SKU は公式には存在しません。
Entra ID テナントとサブスクリプションの関係は?
Entra ID テナントは ID と認証を管理する論理境界で、Azure サブスクリプション (課金単位) とは別概念です。1 つの Entra ID テナントに複数の Azure サブスクリプションを紐付けられ、逆に 1 つのサブスクリプションは必ず 1 つのテナントに属します。組織全体で 1 つのテナント、部門ごとに複数のサブスクリプション、という構成が最も一般的です。テナント ID は GUID 形式で、変更不可能 (移行不可) なので命名と初期設計は慎重に行う必要があります。
Conditional Access とは何ですか?
Conditional Access は「誰が・どこから・どのデバイスから・どのアプリにアクセスするか」という条件を組み合わせて、ブロック / 許可 / MFA 要求 / 制限付きアクセスを動的に決定するポリシーエンジンです。Entra ID P1 以上で利用可能。代表的なシナリオは「日本以外の国からのアクセスは MFA を要求」「会社管理外の PC からは Outlook Web のみ読み取り専用」「サインインリスクが High なユーザーはパスワードリセットを強制」など。Zero Trust 設計の中核となる機能で、SC-300 や AZ-104 で頻出します。
Entra ID と Azure RBAC の違いは?
Entra ID のロール (Global Administrator・User Administrator など) は「Entra ID テナント内の管理操作」を制御します。一方 Azure RBAC のロール (Owner・Contributor・Reader など) は「Azure サブスクリプション配下のリソース操作」を制御します。混同しやすい例として、Global Administrator は Entra ID のすべてを管理できますが、Azure サブスクリプションのリソース操作権限はデフォルトでは持ちません (必要なら User Access Administrator 経由で昇格可能)。この境界線は AZ-104 と SC-300 の頻出ポイントです。
MFA・Passwordless・FIDO2 の関係は?
MFA (多要素認証) は「2 つ以上の認証要素」を要求する概念で、パスワード + SMS・パスワード + Microsoft Authenticator・パスワード + FIDO2 セキュリティキーなど複数の組み合わせがあります。Passwordless はその発展形で「パスワード自体を使わない」認証方式。FIDO2 セキュリティキー、Windows Hello for Business、Microsoft Authenticator のフォンサインインの 3 種類が Entra ID で公式サポートされています。FIDO2 は WebAuthn 標準準拠のハードウェアキー (YubiKey など) で、Passwordless 方式の中でもフィッシング耐性が最も高い選択肢です。
External Identities (旧 B2B / B2C) の違いは?
Entra External ID は 2023 年の再編で B2B Collaboration と B2C を統合した名称です。B2B は「ビジネスパートナーや取引先など外部組織のユーザーを自社テナントに招待」する仕組みで、ゲストユーザー機能として現役です。B2C は「コンシューマー向けアプリのサインインを Entra で管理」する仕組みで、新規顧客アプリには新しい Customer Identity プラットフォーム (External ID for customers) の使用が推奨されています。Azure AD B2C は新規サインアップが 2025 年で締め切られ、2030 年まで継続利用は可能ですが新規プロジェクトは新プラットフォームを選択するのが Microsoft の公式ガイダンスです。
Entra ID の学習にはどの試験を受けるべき?
入門なら SC-900 (Security, Compliance & Identity Fundamentals) で Entra の概念を一通りカバーできます。本格的な管理者を志すなら SC-300 (Identity and Access Administrator Associate) が本命で、Conditional Access・PIM・External Identities の実装が中心。Azure 全体の運用者として Entra も含めて学ぶなら AZ-104 (Azure Administrator) に基本的な Entra 管理が含まれます。最上位は SC-100 (Cybersecurity Architect Expert) で、Zero Trust 設計の中で Entra ID 戦略を設計するロール向けです。
関連記事・試験情報
Microsoft Entra MFA 詳細ガイド|認証方式選定・Conditional Access・Number Matching・Phishing-resistant MFA【2026 年版】
Microsoft Entra Multi-Factor Authentication (MFA) の詳細ガイド。10 種類の認証方式選定・Conditional Access での MFA 強制・Per-user MFA vs Conditional Access MFA・Security Defaults・MFA Fatigue 攻撃対策・Phishing-resistant MFA・関連認定試験 (SC-300 / SC-100 / MS-102) を日本語で網羅。
SC-300 完全ガイド|Microsoft Identity and Access Administrator Associate 出題範囲・学習リソース・合格戦略【2026 年版】
Microsoft Certified: Identity and Access Administrator Associate (SC-300) の完全ガイド。4 ドメインの出題範囲、Microsoft Entra ID の ユーザー / グループ / アプリ管理、Conditional Access / MFA / PIM / Entra ID Governance の実装、3-4 ヶ月の合格ロードマップ、SC-200 / SC-100 / SC-500 への展開ルートを日本語で網羅。
Azure Fundamentals 5 試験完全比較|AZ-900 / DP-900 / SC-900 / MS-900 / AI-901 の違いと選び方
Microsoft Azure Fundamentals 階層 5 試験 (AZ-900 / DP-900 / SC-900 / MS-900 / AI-901) を完全比較。各試験の出題範囲、難易度、適性、推奨取得順、合計学習時間、Virtual Training Day での無料バウチャー活用法、Associate ティアへの展開ルートを日本語で網羅。
Azure Architect キャリアロードマップ|AZ-900 → AZ-305 → SC-100 シニアアーキテクトへの道【2026 年版】
Azure Solutions Architect になるための認定取得ロードマップ完全版。AZ-900 → AZ-104 → AZ-305 の王道ルート、AZ-400 / SC-100 / AZ-700 との二刀流 / 三刀流戦略、マルチクラウド対応 (AWS / GCP)、未経験から 7-12 ヶ月の学習プラン、年収レンジまで日本語で網羅。
本記事の Entra ID 仕様は Microsoft Learn 公式 Entra ドキュメント およびMicrosoftDocs/entra-docs GitHub repository (CC BY 4.0) に基づいています。 本記事は Microsoft Corporation の公式商品ではなく、いかなる提携・後援関係もありません。 Microsoft、Microsoft Entra、Microsoft Entra ID、Azure、Windows Hello は Microsoft group of companies の商標です。FIDO2 は FIDO Alliance の商標、YubiKey は Yubico AB の商標です。 情報は 2026 年 5 月 24 日時点の公式公開資料に基づきます。最新情報は必ずMicrosoft Entra ID 公式ドキュメント をご確認ください。
NicheeLab編集部
データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。
AZ-900 完全ガイド|Microsoft Azure Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Fundamentals (AZ-900) の 2026 年 1 月 14 日改訂版に対...
Azure 認定資格ロードマップ 2026 完全版|全 26 試験の体系と大型再編 (AI-901/AI-103/SC-500)
Microsoft Azure 認定資格 全 26 試験 (現行 23 + 退役 3) の 2026 年版ロードマップ。...
AI-901 完全ガイド|Azure AI Fundamentals 新試験
Microsoft Certified: Azure AI Fundamentals (AI-901) の出題範囲・Mi...
DP-900 完全ガイド|Azure Data Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Data Fundamentals (DP-900) の完全ガイド。4 ドメインの出題範...
SC-900 完全ガイド|Microsoft Security, Compliance, and Identity Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Certified: Security, Compliance, and Identity Fund...