Microsoft Entra 展開プラン

2025-07-07

Azure Active Directory は Microsoft Entra ID になりました。このサービスを利用すると、クラウドの ID およびアクセス管理によって組織を保護できます。このソリューションは、従業員、顧客、パートナーをアプリ、デバイス、データに結び付けます。

この記事のガイダンスを使うと、Microsoft Entra ID をデプロイする計画を立てるのに役立ちます。計画作成の基本を理解した後、認証のデプロイ、アプリとデバイス、ハイブリッドシナリオ、ユーザー ID などに関する以下のセクションをご覧ください。

利害関係者とロール

デプロイ計画を開始するときは、主要な利害関係者を含めてください。利害関係者、影響を受けるロール、および効果的なデプロイを可能にする所有権と責任の領域を識別して文書化します。役職やロールは組織によって異なりますが、所有権の領域は似ています。いかなる展開プランにも影響を与える共通のロールについては、次の表を参照してください。

ロール	担当
スポンサー	予算とリソースを承認したり割り当てたりする権限を持つ、エンタープライズシニアリーダー。スポンサーは、マネージャーとエグゼクティブチームをつなぐ役割を果たします。
エンドユーザー	実装されているサービスの対象となる人びと。ユーザーは、パイロットプログラムに参加できます。
IT サポートマネージャー	提案された変更のサポート可能性に関する入力を提供します。
ID アーキテクト	変更を ID 管理インフラストラクチャに整合させる方法を定義します。
アプリケーションビジネス所有者	影響を受けるアプリケーションを所有します。これには、アクセス管理が含まれることがあります。ユーザーエクスペリエンスに関する入力を提供します。
セキュリティ所有者	変更計画がセキュリティ要件を満たしていることを確認します。
コンプライアンスマネージャー	企業、業界、または政府の要件への準拠を確保します。

RACI

実行責任者、説明責任者、相談先、報告先 (Responsible/Accountable/Consulted/Informed: RACI) とは、プロジェクトまたはビジネスプロセスに関するタスクや成果物を完了するためにさまざまなロールが参加するモデルです。このモデルを使うと、組織内のロールがデプロイに関係する責任を確実に理解するのに役立ちます。

実行責任者 - タスクの正しい完了について責任を負う人。
- 少なくとも 1 人の実行責任者ロールが存在します。実行責任者は作業を他の人に委任できます。
説明責任者 - 成果物またはタスクの正確さと完了について最終的に説明責任を負う人。説明責任者ロールは、タスクの前提条件が満たされていることを確認し、実行責任者ロールに作業を委任します。説明責任者ロールは、実行責任者が提供した作業を承認します。タスクまたは成果物ごとに、1 人の説明責任者を割り当てます。
相談先 - 相談先ロールはガイダンスを提供します。通常は内容領域専門家 (SME) です。
報告先 - 一般にタスクまたは成果物の完了時に、進行状況に関する最新情報を知らされる人。

認証のデプロイ

次の一覧を使用して、認証のデプロイを計画してください。

Microsoft Entra の多要素認証 (MFA) - 多要素認証を利用すると、管理者が承認した認証方法によってデータやアプリケーションへのアクセスを保護しながら、簡単なサインインに関する要求を満たすことができます。
- 「多要素認証を構成してテナントに適用する方法」のビデオを視聴してください。
- 「多要素認証のデプロイの計画」を参照してください。
条件付きアクセス - ユーザーによるクラウドアプリへのアクセスを条件に基づいて許可する、アクセス制御の自動決定を実装します。
- 「条件付きアクセスとは」を参照してください。
- 「条件付きアクセスのデプロイを計画する」を参照してください。
Microsoft Entra のセルフサービスパスワードリセット (SSPR) - ユーザーが管理者の介入なしでパスワードをリセットできるようにします。
- 「Microsoft Entra ID のパスワードレス認証オプション」を参照してください。
- 「Microsoft Entra のセルフサービスパスワードリセットのデプロイを計画する」をご覧ください。
パスワードレス認証 - Microsoft Authenticator アプリまたは FIDO2 セキュリティキーを使用してパスワードレス認証を実装します。
- 「Microsoft Authenticator を使ったパスワードレスのサインインを有効にする」を参照してください。
- 「Microsoft Entra ID でのパスワードレス認証のデプロイを計画する」を参照してください。

アプリケーションとデバイス

次の一覧を使用して、アプリケーションとデバイスのデプロイに役立ててください。

シングルサインオン (SSO) - ユーザーが 1 回のサインインで複数のアプリやリソースにアクセスできるようにし、資格情報を入力し直す必要をなくします。
- 「Microsoft Entra ID でのシングルサインオンとは」を参照してください。
- SSO のデプロイの計画に関するページを参照してください。
マイアプリポータル - アプリケーションを見つけてアクセスできます。セルフサービスによってユーザーの生産性を高めます。たとえば、ユーザーはグループへのアクセスを要求したり、他のユーザーに代わってリソースへのアクセスを管理したりできます。
- 「マイアプリポータルの概要」を参照してください。
デバイス - デバイスと Microsoft Entra ID の統合方法の評価、実装計画の選択などを行います。
- 「Microsoft Entra デバイスの展開を計画する」を参照してください。

ハイブリッドシナリオ

次の一覧では、ハイブリッドシナリオ向けの機能とサービスについて説明しています。

Active Directory フェデレーションサービス (AD FS) - パススルー認証またはパスワードハッシュ同期を使用して、ユーザー認証をフェデレーションからクラウドに移行します。
- 「Microsoft Entra ID とのフェデレーションとは」を参照してください。
- 「フェデレーションからクラウド認証に移行する」を参照してください。
Microsoft Entra アプリケーションプロキシ - デバイスから従業員の生産性を実現できます。クラウド内の SaaS (サービスとしてのソフトウェア) アプリやオンプレミスの企業アプリについて学習してください。 Microsoft Entra アプリケーションプロキシを使用すると、仮想プライベートネットワーク (VPN) や非武装地帯 (DMZ) なしでのアクセスが可能になります。
- 「Microsoft Entra アプリケーションプロキシからのオンプレミスアプリケーションへのリモートアクセス」を参照してください。
- 「Microsoft Entra アプリケーションプロキシの展開を計画する」を参照してください。
シームレスシングルサインオン (シームレス SSO) - 企業ネットワークに接続された会社のデバイスによるユーザーのサインインに、シームレス SSO を使用します。ユーザーはパスワード不要で Microsoft Entra ID にサインインでき、通常はユーザー名も入力する必要がありせん。認可されたユーザーは、追加のオンプレミスコンポーネントなしでクラウドベースのアプリにアクセスします。
- 「クイックスタート: Microsoft Entra シームレスシングルサインオン」を参照してください。
- 「Microsoft Entra シームレスシングルサインオン: 技術的な詳細」を参照してください。

ユーザー

ユーザー ID - Dropbox、Salesforce、ServiceNow などのクラウドアプリでユーザー ID を作成、保持、削除するための自動化について学習してください。
- 「Microsoft Entra ID での自動ユーザープロビジョニングのデプロイを計画する」を参照してください。
Microsoft Entra ID Governance - ID ガバナンスを作成し、ID データに依存するビジネスプロセスを強化します。 Workday や Successfactors などの HR 製品で、規則を使用して従業員や臨時社員の ID ライフサイクルを管理します。これらの規則により、新規採用、退職、異動などの就職者 - 異動者 - 退職者 (JML) プロセスが、作成、有効化、無効化などの IT アクションにマップされます。詳細については、次のセクションを参照してください。
- 「Microsoft Entra のユーザープロビジョニングに対するクラウド人事アプリケーションを計画する」を参照してください。
Microsoft Entra B2B コラボレーション - アプリケーションへのセキュリティで保護されたアクセスを使用して、外部ユーザーとのコラボレーションを改善します。
- 「B2B コラボレーションの概要」を参照してください。
- 「Microsoft Entra B2B コラボレーションのデプロイを計画する」を参照してください。

ID ガバナンスとレポート

Microsoft Entra ID Governance を利用すると、組織は生産性を向上させ、セキュリティを強化し、コンプライアンスと規制の要件をより簡単に満たすことができます。 Microsoft Entra ID Governance により、適切なリソースに対する適切なアクセス権を適切なユーザーに付与できます。 ID およびアクセス管理プロセスの自動化、ビジネスグループへの委任、可視性を向上させることができます。次の一覧を使用して、ID ガバナンスとレポートについて学習してください。

詳細情報:

接続された世界のためのセキュリティで保護されたアクセス - Microsoft Entra の紹介
環境内のアプリケーションのアクセスを制御する
Privileged Identity Management (PIM) - Microsoft Entra ID、Azure リソース、その他の Microsoft オンラインサービスにまたがる特権管理者ロールを管理します。これをジャストインタイム (JIT) アクセス、要求承認ワークフロー、統合されたアクセスレビューに使用することで、悪意のあるアクティビティを防止できます。
- 「Privileged Identity Management の使用開始」を参照してください。
- 「Privileged Identity Management のデプロイを計画する」を参照してください。
レポートと監視 - Microsoft Entra のレポートおよび監視ソリューションの設計には、法令、セキュリティ、運用、環境、プロセスに関する依存関係や制約があります。
- 「Microsoft Entra のレポートと監視のデプロイの依存関係」を参照してください。
アクセスレビュー - リソースへのアクセスを把握して管理します。
- アクセスレビューの概要に関するページを参照してください。
- 「Microsoft Entra アクセスレビューの展開を計画する」を参照してください。

パイロットのベストプラクティス

大きなグループやすべてのユーザーに影響する変更を行う前に、パイロットを使用して小さなグループでテストします。組織内の各ユースケースが確実にテストされるようにしてください。

パイロット: フェーズ 1

最初のフェーズでは、テストしてフィードバックを提供できる IT、ユーザビリティ、その他のユーザーを対象とします。このフィードバックを使用して、サポートスタッフの潜在的な問題に関する分析情報を取得し、すべてのユーザーに送信する通信と手順を開発します。

パイロット: フェーズ 2

動的メンバーシップを使用するか、対象グループにユーザーを手動で追加することによって、パイロットをより大きなユーザーグループに広げます。

詳細情報: Microsoft Entra ID の動的グループメンバーシップルール