この記事では、Microsoft Entra 製品ファミリのライセンス オプションについて説明します。 組織に対して Microsoft Entra ソリューションを検討しているセキュリティ意思決定者、ID およびネットワーク アクセス管理者、IT プロフェッショナルを対象としています。
Microsoft Entra のライセンス オプション
Microsoft Entra は、ニーズに最も適したパッケージを選択できるいくつかのライセンス オプションで利用できます。
注
このページのライセンス オプションは包括的ではありません。 さまざまなオプションの詳細については、 Microsoft Entra の価格ページ と Microsoft 365 Enterprise のプランと価格の比較ページを参照してください。
Microsoft Entra ID Free - Microsoft Azure、Microsoft 365 などの Microsoft クラウド サブスクリプションに含まれています。
Microsoft Entra ID P1 - Microsoft Entra ID P1 はスタンドアロン製品として利用できます。または、エンタープライズのお客様向けの Microsoft 365 E3 と中小企業向けの Microsoft 365 Business Premium に含まれています。
Microsoft Entra ID P2 - Microsoft Entra ID P2 は、スタンドアロン製品として使用することも、企業のお客様向けに Microsoft 365 E5 に含まれています。
Microsoft Entra Suite - このスイートは、Microsoft Entra 製品を組み合わせて、従業員のアクセスをセキュリティで保護します。 これを使用すると、管理者は、クラウドにあるかオンプレミスにあるかに関係なく任意のアプリやリソースへの任意の場所からの安全なアクセス権を提供しながら、最小限の特権アクセス権を確保できます。 Microsoft Entra ID P1 サブスクリプションが必要です。 Microsoft Entra スイートには、次の 5 つの製品が含まれています。
- Microsoft Entra プライベート アクセス
- Microsoft Entra インターネット アクセス
- Microsoft Entra ID ガバナンス
- Microsoft Entra ID Protection(マイクロソフト エントラ ID 保護)
- Microsoft Entra Verified ID (Premium 機能)
重要
ユーザーとグループのライセンスの割り当ては、Microsoft 365 管理センターを通じて管理されます。 ユーザーとグループにライセンスを割り当てる方法または割り当て解除する方法の詳細については、次の記事を参照してください。 - Microsoft 365 管理センターでユーザーのライセンスを割り当てるまたは割り当て解除する
アプリ プロビジョニング
Microsoft Entra アプリケーション プロキシには、Microsoft Entra ID P1 または P2 ライセンスが必要です。 ライセンスの詳細については、「Microsoft Entra の価格」を参照してください。
認証
次の表に、さまざまなバージョンの Microsoft Entra ID の認証に使用できる機能を示します。 ユーザーのサイン情報のセキュリティ保護に必要なものを詳しく検討し、その要件を満たす方法を決定します。 たとえば、Microsoft Entra ID Free では多要素認証によるセキュリティの既定値群が提供されますが、認証プロンプトに使用できるのはテキストや音声通話を含む Microsoft Authenticator のみです。 ユーザーの個人用デバイスに Authenticator がインストールされていることを確認できない場合、この方法は成約を受けるかもしれません。
| 機能 | Microsoft Entra ID Free - セキュリティの既定値群 (すべてのユーザーに対して有効) | Microsoft Entra ID Free - グローバル管理者のみ | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| MFA で Microsoft Entra テナント管理者アカウントを保護する | ✅ | ✅ (Microsoft Entra グローバル管理者 アカウントのみ) | ✅ | ✅ | ✅ |
| モバイル アプリを 2 番目の要素にする | ✅ | ✅ | ✅ | ✅ | ✅ |
| 音声通話を 2 番目の要素にする | ✅ | ✅ | ✅ | ||
| SMS を 2 番目の要素にする | ✅ | ✅ | ✅ | ✅ | |
| 検証方法の管理制御 | ✅ | ✅ | ✅ | ✅ | |
| 不正アクセスのアラート | ✅ | ✅ | |||
| MFA レポート | ✅ | ✅ | |||
| 音声通話のカスタムあいさつ文 | ✅ | ✅ | |||
| 音声通話のカスタム発信元 ID | ✅ | ✅ | |||
| 信頼できる IP | ✅ | ✅ | |||
| 信頼済みデバイスの MFA の記憶 | ✅ | ✅ | ✅ | ✅ | |
| オンプレミス アプリケーション用の MFA | ✅ | ✅ | |||
| 条件付きアクセス | ✅ | ✅ | |||
| リスクベースの条件付きアクセス | ✅ | ||||
| セルフサービス パスワード リセット (SSPR) | ✅ | ✅ | ✅ | ✅ | ✅ |
| 書き戻しを使用した SSPR | ✅ | ✅ |
マネージド ID
Azure リソース用マネージド ID を使用するためのライセンス要件はありません。 Azure リソースのマネージド ID は、Microsoft Entra 認証をサポートするリソースに接続するときにアプリケーションが使用する自動的にマネージド ID を提供します。 マネージド ID を使用するベネフィットの 1 つは、資格情報を管理する必要がなく、追加料金なしで使用できることです。 詳細については、「 Azure リソースのマネージド ID とは」を参照してください。
Microsoft Entra ID ガバナンス
次の表は、Microsoft Entra ID ガバナンス機能のライセンス要件を示しています。 Microsoft Entra スイートには、Azure AD Identity Governance のすべての機能が含まれています。 ライセンス情報と、エンタイトルメント管理、アクセス レビュー、ライフサイクル ワークフローのライセンス シナリオの例を表の後に示します。
ライセンス別の機能
次の表に、各ライセンスで使用できる ID ガバナンスに関連付けられている機能を示します。 その他の機能の詳細については、 Microsoft Entra のプランと価格に関する説明を参照してください。 すべての機能がすべてのクラウドで利用できるわけではありません。Azure Government の Microsoft Entra 機能の可用性 に関するページを参照してください。
エンタイトルメント管理
組織のユーザーがこの機能を使うには、Microsoft Entra ID Governance のサブスクリプションが必要です。 この機能に含まれる一部の機能は、Microsoft Entra ID P2 サブスクリプションで動作する場合があります。
ライセンスのシナリオ例
必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。
| シナリオ | 計算 | ライセンス数 |
|---|---|---|
| Woodgrove Bank の ID ガバナンス管理者が初期カタログを作成します。 ポリシーの 1 つは、 すべての従業員 (2,000 人の従業員) が特定のアクセス パッケージのセットを要求できることを指定します。 150 人の従業員がアクセス パッケージを要求します。 | アクセス パッケージを要求可能な従業員は 2,000 人いる | 二千 |
| Woodgrove Bank の ID ガバナンス管理者が初期カタログを作成します。 営業部門のすべてのメンバー (350 人の従業員) に特定のアクセス パッケージへのアクセス権を付与する自動割り当てポリシーを作成します。 350 人の従業員がアクセス パッケージに自動的に割り当てられます。 | 350 人の従業員にライセンスが必要です。 | 3:51 |
アクセス レビュー
この機能を使用するには、アクセスをレビューしているやアクセスがレビューしされているすべての従業員を含む、組織のユーザー向けの Microsoft Entra ID ガバナンス サブスクリプションが必要です。 この機能に含まれる一部の機能は、Microsoft Entra ID P2 サブスクリプションで動作する場合があります。
ライセンスのシナリオ例
必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。
| シナリオ | 計算 | ライセンス数 |
|---|---|---|
| 管理者は、ユーザーが 75 人でグループ所有者が 1 人のグループ A のアクセス レビューを作成し、そのグループ所有者をレビュー担当者として割り当てます。 | レビュー担当者としてのグループ所有者のライセンスが 1 つ、75 人のユーザーに対して 75 ライセンス。 | 76 |
| 管理者は、ユーザーが 500 人でグループ所有者が 3 人のグループ B のアクセス レビューを作成し、その 3 人のグループ所有者をレビュー担当者として割り当てます。 | ユーザーには 500 ライセンス、レビュー担当者としてグループ所有者ごとに 3 つのライセンス。 | 503 |
| 管理者は、ユーザーが 500 人のグループ B のアクセス レビューを作成します。 自己レビューにします。 | 自己レビュー担当者としての各ユーザー用に 500 ライセンス | 5:00 |
| 管理者は、メンバー ユーザーが 50 人のグループ C のアクセス レビューを作成します。 自己レビューにします。 | 自己レビュー担当者としての各ユーザー用に 50 ライセンス。 | 50 |
| 管理者は、メンバー ユーザーが 6 人のグループ D のアクセス レビューを作成します。 自己レビューにします。 | 自己レビュー担当者としての各ユーザー用に 6 ライセンス。 その他のライセンスは不要です。 | 6 |
ライフサイクル ワークフロー
ライフサイクル ワークフローの Entra Governance ID ライセンスを使用すると、次のことができます:
- 合計 50 ワークフローまで作成、管理、削除できます。
- オンデマンドおよびスケジュールされたワークフロー実行をトリガーします。
- 既存のタスクを管理および構成して、ニーズに固有のワークフローを作成します。
- ワークフローで使用するカスタム タスク拡張機能を最大 100 個作成します。
組織のユーザーがこの機能を使うには、Microsoft Entra ID Governance のサブスクリプションが必要です。
ライセンスのシナリオ例
| シナリオ | 計算 | ライセンス数 |
|---|---|---|
| ライフサイクル ワークフロー管理者はワークフローを作成し、マーケティング部門の新入社員をマーケティング チーム グループに追加します。 250 人の新入社員は、一度このワークフローを介して、マーケティング チーム グループに割り当てられます。 他の 150 人の新入社員は、同年の後半にこのワークフローを介して、マーケティング チーム グループに割り当てられます。 | ライフサイクル ワークフロー管理者に 1 ライセンス、ユーザーに 400 ライセンス。 | 401 |
| ライフサイクル ワークフロー管理者は、雇用最終日の前に従業員のグループに事前オフボードするためのワークフローを作成します。 事前オフボードされるユーザーの範囲は、一度に 40 人です。 40 人のライセンスユーザーをオフボードします。 これらの 40 ライセンスを再割り当てし、今年の後半にさらに 10 ライセンスを割り当てることにより、さらに 50 人のユーザーを事前オフボードできます。 | ユーザーに 50 ライセンス、ライフサイクル ワークフロー管理者に 1 ライセンス。 | 51 |
Microsoft Entra Connect
この機能の使用は無料で、Azure サブスクリプションに含まれています。
Microsoft Entra Connect ヘルス
この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 要件に適したライセンスを見つけるには、「 Microsoft Entra ID の一般公開機能を比較する」を参照してください。
Microsoft Entra 条件付きアクセス
この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 要件に適したライセンスを見つけるには、「 Microsoft Entra ID の一般公開機能を比較する」を参照してください。
Microsoft 365 Business Premium ライセンスをお持ちのお客様は、条件付きアクセス機能にもアクセスできます。
リスクベースのポリシーでは、 Microsoft Entra ID P2 機能である Microsoft Entra ID Protection にアクセスする必要があります。
Microsoft Entra Suite には、すべての Microsoft Entra 条件付きアクセス機能が含まれています。
条件付きアクセス ポリシーと対話する可能性のあるその他の製品と機能には、それらの製品と機能に対する適切なライセンスが必要です。
条件付きアクセスに必要なライセンスの有効期限が切れても、ポリシーが自動的に無効にされたり削除されたりすることはありません。 そのため、お客様は、セキュリティ体制を急激に変更することなく、条件付きアクセス ポリシーから移行できます。 残りのポリシーは表示および削除できますが、更新できなくなります。
セキュリティの既定値は 、ID 関連の攻撃から保護するのに役立ち、すべての顧客が利用できます。
Microsoft Entra Domain Services
Microsoft Entra Domain Services の使用量は、テナント所有者によって選択された SKU に基づいて 1 時間あたりに課金されます。
Microsoft 外部 ID
Microsoft Entra 外部 ID コア機能は、最初の 50,000 人の月間アクティブ ユーザーに無料で提供されます。 その他のライセンス情報については、外部 ID に関する FAQ を参照してください。
Microsoft Entra ID Protection(マイクロソフト エントラ ID 保護)
この機能を使用するには、Microsoft Entra ID P2 ライセンスが必要です。 要件に適したライセンスを見つけるには、Microsoft Entra のプランと価格
| 機能 | 詳細 | Microsoft Entra ID Free/Microsoft 365 Apps | Microsoft Entra ID P1 | Microsoft Entra ID P2 / Microsoft Entra Suite |
|---|---|---|---|---|
| リスク ポリシー | ログインとユーザー リスク ポリシー (条件付きアクセスを介して) | いいえ | いいえ | イエス |
| セキュリティ レポート | 概要 | いいえ | いいえ | イエス |
| セキュリティ レポート | 危険なユーザー | 限定的な情報。 リスクの程度が中から高のユーザーのみが表示されます。 詳細ドロアーやリスクの履歴は提供されません。 | 限定的な情報。 リスクの程度が中から高のユーザーのみが表示されます。 詳細ドロアーやリスクの履歴は提供されません。 | フル アクセス |
| セキュリティ レポート | リスクの高いサインイン | 限定的な情報。 リスクの詳細やリスク レベルは表示されません。 | 限定的な情報。 リスクの詳細やリスク レベルは表示されません。 | フル アクセス |
| セキュリティ レポート | リスク検出 | いいえ | 限定的な情報。 詳細ドロアーは提供されません。 | フル アクセス |
| 通知 | 危険な状態のユーザーが検出されたアラート | いいえ | いいえ | イエス |
| 通知 | 週間ダイジェスト | いいえ | いいえ | イエス |
| MFA 登録ポリシー | MFA を要求する (条件付きアクセスを使用) | いいえ | いいえ | イエス |
Microsoft Entra インターネット アクセス
Microsoft Entra Internet Access は、単独で、または Microsoft Entra Suite の一部として利用できます。
Microsoft Entra の監視と正常性
必要なライセンスは、監視および正常性機能によって異なります。
| 機能 | Microsoft Entra ID Free(無料) | Microsoft Entra ID P1 または P2 / Microsoft Entra Suite |
|---|---|---|
| 監査ログ | イエス | イエス |
| サインイン ログ | イエス | イエス |
| プロビジョニング ログ | いいえ | イエス |
| カスタム セキュリティ属性 | イエス | イエス |
| 正常性 | いいえ | イエス |
| Microsoft Graph アクティビティ ログ | いいえ | イエス |
| 使用状況と分析情報 | いいえ | イエス |
Microsoft Entra Permissions Management
Permissions Management では、アマゾン ウェブ サービス (AWS)、Microsoft Azure、および Google Cloud Platform 全体のすべてのリソースがサポートされますが、 必要なのは課金対象リソースのライセンスのみです。
Microsoft Entra プライベート アクセス
Microsoft Entra プライベート アクセス は、単独で、または Microsoft Entra Suite の一部として利用できます。
Microsoft Entra Privileged Identity Management
Microsoft Entra Privileged Identity Management を使用するには、テナントに有効なライセンスが必要です。 また、管理者と関連ユーザーにライセンスを割り当てることも必要です。 この記事では、Privileged Identity Management を使用するためのライセンス要件について説明します。 Privileged Identity Management を使用するには、次のライセンスのいずれかが必要です。
PIM の有効なライセンス
PIM とそのすべての設定を使用するには、Microsoft Entra ID ガバナンス ライセンスまたは Microsoft Entra ID P2 ライセンスが必要です。 現時点では、アクセス レビューのスコープを、Microsoft Entra ID へのアクセス権を持つサービス プリンシパルと、テナントで Microsoft Entra ID P2 または Microsoft Entra ID ガバナンス エディションがアクティブになっているユーザーの Azure リソース ロールに設定できます。
PIM に必要なライセンス
次のユーザー カテゴリについて、お使いのディレクトリに Microsoft Entra ID P2 または Microsoft Entra ID ガバナンスのライセンスがあることを確認します:
- PIM を使用して管理される Microsoft Entra ID または Azure ロールへの適格な割り当てや期限付き割り当てを持つユーザー
- グループの PIM のメンバーまたは所有者として、資格のある割り当てまたは期限付きの割り当てを持つユーザー
- PIM でアクティブ化要求を承認または却下できるユーザー
- アクセス レビューに割り当てられたユーザー
- アクセス レビューを実行するユーザー
PIM のライセンスのシナリオ例
必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。
| シナリオ | 計算 | ライセンス数 |
|---|---|---|
| Woodgrove Bank には、部門ごとに 10 人の管理者と、PIM を構成および管理する 2 人の 特権ロール管理者 がいます。 5 人の管理者を対象とします。 | 資格のある管理者用の 5 ライセンス | 5 |
| Graphic Design Institute には 25 人の管理者がいて、そのうちの 14 人は PIM で管理されています。 ロールのアクティブ化には承認が必要であり、組織にはアクティブ化を承認できるユーザーが 3 人います。 | 資格のあるロール用の 14 ライセンス + 3 承認者 | 十七 |
| Contoso には 50 人の管理者がいて、そのうちの 42 人は PIM で管理されています。 ロールのアクティブ化には承認が必要であり、組織にはアクティブ化を承認できるユーザーが 5 人います。 また、Contoso では、管理者ロールに割り当てられているユーザーのレビューが毎月行われており、レビュー担当者はユーザーのマネージャーで、そのうちの 6 人は PIM によって管理される管理者ロールにはなっていません。 | 資格のあるロール用の 42 ライセンス + 5 承認者 + 6 レビュー担当者 | 53 |
PIM のライセンスの有効期限が切れた場合
Microsoft Entra ID P2、Microsoft Entra ID Governance、または試用版ライセンスの有効期限が切れた場合、Privileged Identity Management 機能はディレクトリで使用できなくなります。
- Microsoft Entra ロールへの永続的なロールの割り当ては影響を受けません。
- 特権ロールのアクティブ化、特権アクセスの管理、または特権ロールのアクセス レビューの実行のために、Microsoft Entra 管理センターの Privileged Identity Management サービスと、Privileged Identity Management の Graph API コマンドレットおよび PowerShell インターフェイスを利用することはできなくなります。
- ユーザーが特権ロールをアクティブ化できなくなったので、Microsoft Entra ロールの有資格ロールの割り当ては削除されます。
- Microsoft Entra ロールのすべての実行中のアクセス レビューが終了し、Privileged Identity Management の構成設定が削除されます。
- ロールの割り当てを変更しても、Privileged Identity Management からメールが送信されなくなります。
Microsoft Entra 確認済み ID
Microsoft Entra Verified ID は、Microsoft Entra ID Free を含むすべての Microsoft Entra ID サブスクリプションに追加料金なしで含まれています。 Verified ID のコア機能は、組織の次の作業に役立ちます。
- 一意の ID 属性に対する組織の資格情報を検証および発行する。
- エンド ユーザーにデジタル資格情報の所有権を付与し、より高い可視性を提供する
- 組織のリスクを軽減し、監査プロセスを簡素化する
- Verified ID の資格情報を使用するユーザー中心のサーバーレス アプリを作成する。
Microsoft Entra Verified ID は、アドオンとして利用でき、Microsoft Entra スイートに含まれている Premium 機能として顔チェックも提供します (1 ユーザーごとに 1 か月に 8 回までの顔チェックに制限されています)。
Microsoft Entra ワークロード ID
Microsoft Entra Workload ID では、Azure のアプリケーション ID とサービスプリンシパルがサポートされており、1 か月あたりのワークロード ID ごとにライセンスが必要です。
マルチテナント組織
ソース テナント内: この機能を使用するには、Microsoft Entra ID P1 のライセンスが必要です。 テナント間同期で同期される各ユーザーは、ホーム/ソース テナントに P1 ライセンスを持っている必要があります。 要件に適したライセンスを見つけるには、 Microsoft Entra ID プランと価格を参照してください。
ターゲット テナント内: テナント間同期は、Microsoft Entra 外部 ID の課金モデルに依存します。 外部 ID ライセンス モデルを理解するには、 Microsoft Entra External ID の MAU 課金モデルを参照してください。 また、自動引き換えを有効にするには、ターゲット テナントに少なくとも 1 つの Microsoft Entra ID P1 ライセンスが必要です。
マルチテナント組織のすべての機能は、Microsoft Entra スイートの一部として含まれています。
ロールベースのアクセス制御
Microsoft Entra ID では組み込みロールを無料で使用できます。 カスタム ロールを使用するには、カスタム ロールの割り当てを持つすべてのユーザーに対して Microsoft Entra ID P1 ライセンスが必要です。 要件に適したライセンスを見つけるには、「 Free エディションと Premium エディションの一般公開機能の比較」を参照してください。
ロール
管理単位
管理単位を使用するには、管理単位のスコープを介してロールを直接割り当てられている管理単位の各管理者に Microsoft Entra ID P1 ライセンスが必要です。また、管理単位の各メンバーには Microsoft Entra ID Free ライセンスが必要です。 管理単位の作成は、Microsoft Entra ID Free ライセンスで行うことができます。 管理単位 の動的メンバーシップ グループの規則 を使用している場合、各管理単位メンバーには Microsoft Entra ID P1 ライセンスが必要です。 要件に適したライセンスを見つけるには、「 Free エディションと Premium エディションの一般公開機能の比較」を参照してください。
制限付き管理の管理単位
制限付き管理の管理単位には、それぞれの管理単位管理者用の Microsoft Entra ID P1 ライセンスと、管理単位メンバー用の Microsoft Entra ID Free ライセンスが必要です。 要件に適したライセンスを見つけるには、「 Free エディションと Premium エディションの一般公開機能の比較」を参照してください。
プレビュー段階の機能
現在プレビュー段階にある機能のライセンス情報は、該当する場合はここに含まれています。 プレビュー機能の詳細については、 Microsoft Entra ID プレビュー機能を参照してください。