Microsoft Entra ID Governance は、Microsoft Entra ID Premium P2 の ID ガバナンス機能群の総称です。 組織の ID 管理を『申請 → 承認 → アクセス付与 → 定期レビュー → 廃止』のライフサイクル全体で自動化・統制し、SOC2・ISO 27001・GDPR・HIPAA などのコンプライアンス対応に必須の機能群。 本記事では、6 つの主要機能と運用ベストプラクティスを網羅的に整理します。
| 機能 | 役割 |
|---|---|
| Entitlement Management (Access Package) | セルフサービス申請・承認・期限付きアクセス |
| Access Review | 定期的なメンバーシップ / ロール / アプリ アサインのレビュー |
| Privileged Identity Management (PIM) | 特権ロールの JIT アクティブ化 |
| Lifecycle Workflows (2023 GA) | JML (Joiner-Mover-Leaver) プロセス自動化 |
| Terms of Use | アクセス前の利用規約強制 |
| Audit | すべての ID 操作の監査ログ |
複数リソース (Microsoft 365 Group・SharePoint Site・Teams・エンタープライズアプリ・Azure リソース) を『Access Package』として束ね、ユーザーがセルフサービスで申請・承認・期限付き利用するワークフロー機能です。
IT 部門の手動アクセス付与作業が劇的に削減、申請者・承認者の負担も軽減されます。
Group メンバーシップ・アプリ アサイン・特権ロール・Access Package を定期的に見直す自動化機能。
Auto Apply Results で自動適用、Auto Reset to default も設定可能。組織の権限が継続的に最小化されます。
2023 年に GA した Entra ID Governance の機能で、ユーザーライフサイクル (Joiner-Mover-Leaver の JML プロセス) を自動化する仕組み。
Logic App ベースで複雑なカスタムロジックも実装可能。HR システム連携でデータ駆動 ID 管理が実現します。
ユーザーが特定アプリ・リソースにアクセスする前に同意必須の利用規約を強制する機能。Conditional Access と連携。
同意日時・バージョン・IP アドレスが Audit Log に記録され、コンプライアンス監査の証跡として活用。Multi-language 対応で多国籍企業でも展開可能です。
| 項目 | B2B Collaboration | B2C (External ID for customers) |
|---|---|---|
| 対象 | 外部組織のユーザー (パートナー) | エンドユーザー (顧客) |
| テナント | 自社 Entra ID テナント内ゲスト | 独立した B2C テナント |
| 認証 | 外部組織の Entra ID (Federated) | カスタム認証 (Email/Password・Social) |
| UI カスタマイズ | 限定 | Custom Policy で完全カスタマイズ |
| 用途 | Microsoft 365 共同作業 | SaaS カスタムアプリの顧客認証 |
| 料金 | 無料 (50,000 ゲストまで) | MAU ベース課金 |
Microsoft 365 統合は B2B、カスタムアプリのユーザー認証は B2C / External ID という棲み分けで、両者は別サービスとして運用。 Microsoft は B2C を Microsoft Entra External ID for customers (新ブランド、2024 年から段階的移行) として再構築中です。
| 項目 | Entra ID P2 | Entra ID Governance 単体 (2023 登場) |
|---|---|---|
| 料金 (ユーザー/月) | 9 USD | 7 USD |
| PIM | ○ | ○ |
| Identity Protection | ○ | × |
| Entitlement Management | ○ | ○ |
| Access Review | ○ | ○ |
| Lifecycle Workflows | ○ | ○ |
| Terms of Use | ○ | ○ |
Microsoft 365 E5 はすでに P2 を含むため、E5 利用組織は追加コスト不要。新規プロジェクトでは Microsoft 365 E5 をベースに Governance を組み込むのが標準パターンです。
Microsoft Entra ID Governance とは?
Microsoft Entra ID Governance は、Microsoft Entra ID Premium P2 の ID ガバナンス機能群の総称。Entitlement Management (Access Package)・Access Review・Privileged Identity Management (PIM)・Lifecycle Workflows・Terms of Use・Audit の 6 機能で構成。組織の ID 管理を『申請→承認→アクセス付与→定期レビュー→廃止』のライフサイクル全体で自動化・統制。SOC2・ISO 27001・GDPR・HIPAA などのコンプライアンス対応に必須。2023 年に Microsoft Entra ID Governance 単体 SKU (月 7 USD/ユーザー) が登場し、P2 を取らずに Governance 機能のみ取得可能になった。エンタープライズ ID 管理者にとって SC-300 学習の中核領域です。
Entitlement Management (Access Package) とは?
Entitlement Management は、複数リソース (Microsoft 365 Group・SharePoint Site・Teams・エンタープライズアプリ・Azure リソース) を『Access Package』として束ね、ユーザーがセルフサービスで申請・承認・期限付き利用するワークフロー機能。代表的なシナリオ: 1) 新入社員が『プロジェクト A への参加』Access Package を申請 → マネージャー承認 → 自動的に Teams + SharePoint + Power BI ワークスペースへ追加 → 6 ヶ月後に Access Review、2) 外部パートナーが Access Package で B2B 招待を申請 → Azure ゲスト + 必要 Group へ追加 → プロジェクト終了で自動廃止。これにより IT 部門の手動アクセス付与作業が劇的に削減、申請者・承認者の負担も軽減されます。
Access Review はどう使いますか?
Access Review は、Group メンバーシップ・アプリ アサイン・特権ロール・Access Package を定期的に見直す自動化機能。代表的な実装パターン: 1) 四半期に 1 回、Global Administrator ロール保有者を CISO がレビュー、2) 月次で Microsoft 365 Group メンバーを Group Owner がレビュー、3) 過去 90 日で Sign-in がないユーザーから自動的にアクセス剥奪、4) 外部ゲストユーザーを 6 ヶ月ごとに招待元がレビュー、5) Access Package 経由の権限を期限切れ前にレビュー。Reviewers の選択肢: User themselves (自己レビュー、軽量)・Group Owners・Selected users・Manager (Direct Reports のみ)。Auto Apply Results で自動適用、Auto Reset to default も設定可能で、組織の権限が継続的に最小化されます。
Lifecycle Workflows とは?
Lifecycle Workflows は 2023 年に GA した Entra ID Governance の機能で、ユーザーライフサイクル (Joiner-Mover-Leaver の JML プロセス) を自動化する仕組み。Trigger (新入社員入社・部署異動・退職) → Tasks (Group メンバー追加・Manager 通知・Access Package 自動付与・退職時アカウント無効化・Manager への引継ぎ通知) のワークフロー定義。Logic App ベースで複雑なカスタムロジックも実装可能。代表的な活用パターン: 1) 入社日に Microsoft 365 アカウント有効化 + 全社 Group 追加 + 新人研修 Teams 追加、2) 退職日にすべての Group / アプリから自動削除 + データ Manager 移管 + アカウント無効化 (30 日後削除)。HR システム連携でデータ駆動 ID 管理が実現します。
Terms of Use はどう活用しますか?
Terms of Use (利用規約) は、ユーザーが特定アプリ・リソースにアクセスする前に同意必須の利用規約を強制する機能。Conditional Access と連携して『この Group のメンバーは Microsoft 365 アクセス前に GDPR 同意が必要』のような構成。代表的なユースケース: 1) 全社員がパスワードリセット前にセキュリティポリシーに同意、2) 機密データへのアクセス前にデータ取り扱い規約に同意、3) 外部ゲストユーザーが招待時に NDA (Non-Disclosure Agreement) に同意、4) 新入社員のオンボーディング時に IT セキュリティポリシーに同意。同意日時・バージョン・IP アドレスが Audit Log に記録され、コンプライアンス監査の証跡として活用。Multi-language 対応で多国籍企業でも展開可能です。
B2B Collaboration と B2C の違いは?
B2B Collaboration: 外部組織のユーザー (取引先・パートナー企業) を自社 Entra ID テナントに『ゲスト』として招待、Microsoft 365 / Azure リソースへの共同作業を可能にする機能。コスト無料 (50,000 ゲストまで)、ゲストは自社 Entra ID で認証 (Federated)。Cross-tenant access settings で許可組織を限定可能。B2C (Business-to-Consumer): エンドユーザー向けカスタムアプリの認証基盤、独立した B2C テナントを作成、Custom Policy で UI / フロー完全カスタマイズ可能。Microsoft Entra External ID for customers (新ブランド、2024) として再構築中。Microsoft 365 統合は B2B、カスタムアプリのユーザー認証は B2C / External ID という棲み分けで、両者は別サービスとして運用されます。
Entra ID Governance 単体 SKU と P2 の違いは?
Microsoft Entra ID P2: PIM・Identity Protection・Entra ID Governance のすべてを含む、月 9 USD/ユーザー。Microsoft Entra ID Governance 単体 SKU (2023 登場): Entitlement Management・Access Review・Lifecycle Workflows・Terms of Use を含むが PIM / Identity Protection を含まない、月 7 USD/ユーザー。判断: 全社で PIM や Identity Protection も使うなら P2 一択 (Bundle 価格優位)、ID ガバナンス機能のみ必要な部署 (HR・IT) には Governance 単体 SKU でコスト最適化。Microsoft 365 E5 はすでに P2 を含むため、E5 利用組織は追加コスト不要。新規プロジェクトでは Microsoft 365 E5 をベースに Governance を組み込むのが標準パターンです。
関連認定試験は?
SC-300 (Identity and Access Administrator Associate) のドメイン 4 (ID ガバナンス 20-25%) で Entitlement Management・Access Review・Lifecycle Workflows・Terms of Use が深く問われる本領域の本命認定。SC-100 (Cybersecurity Architect Expert) でゼロトラスト戦略のガバナンス、MS-102 (Microsoft 365 Administrator Expert) のドメイン 2 (Identity and Access)、SC-400 (Information Protection) で Records Management との連携。Microsoft セキュリティ・ID 管理系認定全般で必須の知識領域です。
関連記事・技術深掘り
SC-300 完全ガイド|Microsoft Identity and Access Administrator Associate 出題範囲・学習リソース・合格戦略【2026 年版】
Microsoft Certified: Identity and Access Administrator Associate (SC-300) の完全ガイド。4 ドメインの出題範囲、Microsoft Entra ID の ユーザー / グループ / アプリ管理、Conditional Access / MFA / PIM / Entra ID Governance の実装、3-4 ヶ月の合格ロードマップ、SC-200 / SC-100 / SC-500 への展開ルートを日本語で網羅。
Microsoft Entra B2B / External ID 完全ガイド|パートナー招待・顧客認証・Cross-tenant Settings【2026 年版】
Microsoft Entra B2B Collaboration (パートナー組織招待) と External ID for customers (顧客認証) の完全ガイド。ゲスト招待フロー・Cross-tenant Access Settings・External Tenant 構成・Entitlement Management 自動化・Conditional Access 統合・関連認定試験 (SC-300 / MS-102 / SC-100) を日本語で網羅。
Azure PIM (Privileged Identity Management) 完全ガイド|JIT 特権管理・Access Review・運用ベストプラクティス【2026 年版】
Microsoft Entra Privileged Identity Management (PIM) の完全ガイド。Eligible / Active / Activate の関係・Role Settings 構成・Azure Resource ロール対応・Access Review 連携・運用ベストプラクティス・関連認定試験 (SC-300 / SC-100 / MS-102) を日本語で網羅。ゼロトラスト特権アクセス管理の中核。
MS-102 完全ガイド|Microsoft 365 Administrator Expert 出題範囲・学習リソース・合格戦略【2026 年版】
Microsoft Certified: Microsoft 365 Administrator Expert (MS-102) の完全ガイド。4 ドメインの出題範囲、テナント / Entra ID / Defender XDR / Purview を横断的にカバー、SC-300 / SC-200 との重複と差異、Microsoft 365 Developer Program 活用法、3-4 ヶ月の合格ロードマップ、SC-100 / MD-102 への展開ルートを日本語で網羅。
本記事の技術情報は Microsoft Entra ID Governance Documentation に基づいています。 本記事は Microsoft Corporation の公式商品ではなく、いかなる提携・後援関係もありません。 Microsoft、Azure、Microsoft Entra は Microsoft group of companies の商標です。 情報は 2026 年 5 月 24 日時点の公式公開資料に基づきます。最新情報は必ず公式ページをご確認ください。
NicheeLab編集部
データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。
AZ-900 完全ガイド|Microsoft Azure Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Fundamentals (AZ-900) の 2026 年 1 月 14 日改訂版に対...
Azure 認定資格ロードマップ 2026 完全版|全 26 試験の体系と大型再編 (AI-901/AI-103/SC-500)
Microsoft Azure 認定資格 全 26 試験 (現行 23 + 退役 3) の 2026 年版ロードマップ。...
AI-901 完全ガイド|Azure AI Fundamentals 新試験
Microsoft Certified: Azure AI Fundamentals (AI-901) の出題範囲・Mi...
Microsoft Entra ID 入門|旧 Azure AD から学ぶ ID 管理 (AZ-900/SC-900/AZ-104 必須知識)
Microsoft Entra ID (旧 Azure Active Directory) の入門解説。2023 年 7...
DP-900 完全ガイド|Azure Data Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Data Fundamentals (DP-900) の完全ガイド。4 ドメインの出題範...