Microsoft AzureID・アクセス管理

Microsoft Entra IDとは

Microsoft Entra ID(旧称 Azure Active Directory)は、Azureのクラウドベースのアイデンティティおよびアクセス管理サービスだ。ユーザーやグループの管理、アプリケーションへのシングルサインオン(SSO)、多要素認証(MFA)、条件付きアクセスポリシーの適用など、IDに関わる機能を一元的に提供する。改称はすでに浸透しており、試験問題でも現在は旧称(Azure AD)ではなくEntra IDの名称で出題される点に留意したい。

Entra IDはマルチテナント構造を持ち、Microsoft 365やAzureをはじめとするクラウドサービスのほか、SaaSアプリとも統合できる。ディレクトリとして機能するだけでなく、Managed Identityによってアプリやサービスが認証情報をコードに埋め込まずにAzureリソースへアクセスできる仕組みも提供する。

Privileged Identity Management(PIM)はEntra IDの機能の一つで、特権ロール(グローバル管理者など)へのアクセスをジャストインタイムで付与・管理するための機能だ。常時特権を付与せず必要なときだけ昇格させることで、過剰な権限付与によるリスクを低減する。

試験での問われ方

試験では「認証(誰であるか)」と「認可(何ができるか)」の違いを問う問題が頻出だ。Entra IDは認証基盤であり、実際のリソースアクセス制御はAzure RBACが担う。両者を混同しないこと。条件付きアクセスは「場所・デバイス・ユーザーリスク」などの条件をもとにアクセスを許可・拒否・MFA要求できる機能であり、PIMとは別物として区別する。

PIM絡みの設問では「常時割り当て(Permanent Assignment)」と「資格のある割り当て(Eligible Assignment)」の違いを押さえておく。資格のある割り当ては承認や理由入力を経て一定期間だけ有効化される。AZ-104やSC-900では『最小特権の原則を実現するためにどの機能を使うか』という形で出題されることが多い。

公式ドキュメントを読む →

このサービスが登場する演習問題(19問)

関連サービス