【入門編】Microsoft Entra ID、Active Directory、Intuneの違いについて解説します

SHARE

はじめに

皆さん、こんにちは。IT管理やクラウドサービスの話題が増える中で「Microsoft Entra ID」「Active Directory」「Intune」という言葉を耳にすることが多くなったのではないでしょうか。企業や組織で Windows を使っていると、ユーザーの管理やデバイス管理のために必ずといっていいほど登場するサービスです。しかし、これら3つのサービスは名前が似ていたり、「ID」「Directory」といった共通の単語があったりして混乱しやすいですよね。

本記事では、初心者の方でも分かるように「Microsoft Entra ID(旧称:Azure Active Directory / Azure AD)」「オンプレミスの Active Directory」「Intune」の違いについて詳しく解説していきます。

利用シーンや管理面での特徴を理解すれば、今後のITインフラ運用やクラウド活用のプランを立てる際に役立つはずです。それでは、さっそく見ていきましょう。

1. Microsoft Entra IDとは?

1-1. 新名称「Microsoft Entra ID」について

もともと「Azure Active Directory(Azure AD)」として知られていたクラウドベースのIDおよびアクセス管理サービスが、2023年に「Microsoft Entra ID」という名称に変更されました。多くの方には「Azure AD」と呼んだ方がピンとくるかもしれませんが、Microsoft は「Entra」というブランド名のもと、複数のクラウドID管理ソリューションを提供しています。その一環として、Azure AD も「Microsoft Entra」のラインアップに統合されました。

ここでは便宜上、旧称である Azure AD の言及も交えて「Microsoft Entra ID(旧称:Azure AD)」という呼称で説明します。

1-2. クラウドベースのID管理

Microsoft Entra ID はマイクロソフトが提供するクラウドベースの ID とアクセス管理サービスです。企業内のユーザー、グループ、デバイスなどの認証や認可をクラウド上で一元的に行う仕組みであり、Office 365(Microsoft 365)やその他の SaaS アプリケーションと連携して動作します。

従来の Active Directory(オンプレミス版)と大きく異なるのは、サーバーを自社内に持たなくても良い点です。Microsoft のデータセンターにあるクラウドサービスを利用し、ユーザーアカウントやグループの管理をインターネット経由で行えます。これにより、VPN 接続なしでもクラウド上から簡単にユーザー管理やシングルサインオン(SSO)が実現できるようになりました。

1-3. 主な機能

Microsoft Entra ID(Azure AD)は、以下のような機能を主に提供しています。

  • ユーザー管理: Azure Portal などの管理画面から、ユーザーの新規作成や削除、属性の更新などが行えます。オンプレミスの Active Directory とディレクトリ同期を行えば、オンプレとクラウドのアカウントを統合して管理することも可能です。
  • グループ管理: 組織内で共通の権限やポリシーを適用したい場合、グループを作成しメンバーを追加することで運用が容易になります。
  • シングルサインオン(SSO): Microsoft 365(旧 Office 365)はもちろん、その他の SaaS アプリケーション(Salesforce、Box、ServiceNow など)と連携することで、一度認証すれば複数のサービスをシームレスに利用できるシングルサインオン環境を構築できます。
  • 多要素認証(MFA): パスワードだけではなく、スマートフォンのアプリや生体認証など複数の要素を組み合わせて本人確認を強化します。
  • 条件付きアクセス: ユーザーやデバイスの属性、アクセス元のネットワーク条件などに基づいて、アクセスを制御します。たとえば、特定の国・地域からのアクセスをブロックするといったセキュリティポリシーを実装できます。

1-4. 利用シーン

リモートワークやテレワークが増えてきた昨今では、オンプレミス環境に接続せずにクラウド経由で働くケースが増えています。Microsoft Entra ID はクラウド利用を前提に設計されているため、ネットワークを問わずにユーザーの認証を行いたい企業にとっては非常に便利です。
さらに、Office 365(Microsoft 365)を導入している組織であれば、ほぼ確実に Microsoft Entra ID(Azure AD)が裏で動いているため、アカウントの管理やアクセス制御を簡単に行えるメリットがあります。

2. Active Directory(オンプレミス版)とは?

2-1. Windows Server 上で動作するディレクトリサービス

次に、クラシックとも言える「Active Directory」について見ていきましょう。これは Windows Server 上で動作するオンプレミスのディレクトリサービスであり、ドメインコントローラーというサーバーでユーザーやコンピュータのアカウント情報、セキュリティポリシーを一元管理します。

企業のネットワーク内に存在するドメインコントローラーが認証を行うため、ユーザーは社内の LAN や VPN を使ってネットワークに接続している状態でログイン認証を受けるのが一般的です。Active Directory(以下 AD)は Windows 環境におけるアイデンティティ管理の基本となっており、長年にわたって企業の IT インフラの中心となってきました。

2-2. Active Directory の構成要素

AD は大きく「ドメイン」「ツリー」「フォレスト」という階層構造を持ち、規模やセキュリティ要件に応じて設計されます。

  • ドメイン: Active Directory の基本単位。ユーザーアカウントやコンピュータアカウントをまとめて管理する。
  • ツリー: ドメインを階層化し、親子関係でまとめたもの。ドメイン同士で名前空間を共有する場合などに利用。
  • フォレスト: 複数のツリーをまとめた最上位の論理構造。組織が大規模化するとフォレスト間の信頼関係などを設定して運用する。

また、AD には「ユーザーとコンピュータ」や「グループポリシー(GPO)」などの概念があり、集中管理が可能です。

2-3. Active Directory の強み

Active Directory が長年企業に支持されてきたのは、Windows 環境との相性が非常に良いためです。Windows デバイスをドメインに参加させることで、集中管理によるセキュリティポリシーの適用やソフトウェア配布、ユーザーアカウント管理が容易になります。

オンプレミスにドメインコントローラーを構築しさえすれば、インターネットに依存せずにセキュアなユーザー管理が可能という点も、多くの企業から信頼を得ています。

2-4. 現在の課題

ただし、現代ではリモートワークやクラウドサービスの普及が急速に進んでおり、Active Directory 単体ではクラウドサービスの認証や多要素認証、外部デバイス管理といった要件を満たすのが難しくなってきました。そのため、AD と Microsoft Entra ID(Azure AD)を連携させる「ハイブリッド構成」を取る企業も増えています

3. Intune とは?

3-1. Microsoft Intune の概要

Intune は、Microsoft が提供しているクラウドベースのエンドポイント管理サービスです。以前は「Windows Intune」と呼ばれていた時期もありますが、現在は「Microsoft Intune」という名称で展開されています。主な機能は以下の通りです。

  • モバイルデバイス管理(MDM)
  • PC(Windows)管理
  • モバイルアプリケーション管理(MAM)
  • セキュリティポリシーの適用
  • ソフトウェアやアップデートの配布

簡単に言うと、組織が所有または従業員が利用するデバイス(Windows, iOS, Android, macOS 等)をクラウドから一元的に管理するサービスです。

3-2. Intune の特長

  • クラウドからの一元管理: Active Directory グループポリシーと似たような感覚で、デバイスに対するポリシー設定やアプリ配布が可能。ただしオンプレミスのサーバーは不要で、Microsoft が提供するクラウドサービスを利用します。
  • モバイル管理が充実: スマホやタブレット(iOS / Android)のプロビジョニングやポリシー適用、アプリ配信が強力です。BYOD(従業員個人所有デバイス)を管理する場合にも利用されます。
  • アプリケーション保護ポリシー: 組織のデータがアプリ上でどのように扱われるか、コピー&ペーストの可否など細かく制御できます。業務データのセキュリティを高める上で重要です。
  • クロスプラットフォームのサポート: Windows だけでなく、macOS や iOS、Android など多様なプラットフォームを対象とした管理が可能です。

3-3. Microsoft Entra ID(Azure AD)との連携

Intune を利用する場合、ユーザーの認証基盤として Microsoft Entra ID を用いることがほとんどです。Intune で管理したいデバイスやユーザーは基本的に Entra ID(Azure AD)のユーザーアカウントと紐づけられます。
これにより、ユーザーが Azure AD で認証を受けた状態でデバイスやアプリにアクセスする際、Intune から適切なポリシーが適用される仕組みです。クラウドサービス同士の連携によって、リモートワーク時でも企業のセキュリティポリシーを保ったまま端末やアプリを使用できるのが魅力です。

4. 3つのサービスの違い

ここまで「Microsoft Entra ID」「Active Directory」「Intune」それぞれの概要を説明しました。次に、この3つのサービスの特徴を比較しながら整理してみましょう。

4-1. インフラ形態の違い

  • オンプレミス vs. クラウド
    • Active Directory はオンプレミス(社内サーバー)のディレクトリサービス。ドメインコントローラーが企業内ネットワークに設置されます。
    • Microsoft Entra ID はクラウド上のディレクトリサービス。Microsoft が運用するデータセンターでホストされ、インターネットを通じて利用します。
    • Intune もクラウドサービス。こちらもオンプレミスのサーバー不要で、Microsoft 365 管理センターや Intune 管理センターなどのポータルサイトから操作します。

4-2. 役割の違い

  • ユーザー認証・ディレクトリ管理
    • Active Directory は主に社内ネットワーク内のユーザー認証やポリシー適用を担当。
    • Microsoft Entra ID はクラウドサービスへのシングルサインオン、多要素認証、条件付きアクセスなど、インターネット越しの認証を担当。
  • デバイス管理
    • オンプレミスの Active Directory でも、Windows クライアントを「ドメイン参加」させることで一定の管理は可能。
    • Intune はクラウドベースで Windows、iOS、Android、macOS など幅広いデバイスを管理。リモートワークやモバイルデバイスの管理が得意。

4-3. 機能的な重複と統合

  • Active Directory が提供しているグループポリシー(GPO)と、Intune のデバイス構成ポリシーには一部重なる機能がありますが、運用のアプローチが異なります。オンプレ GPO は主にドメイン内の Windows マシンに対してポリシーを押し込む形で管理しますが、Intune はクラウドを介してポリシーを配布します。
  • Microsoft Entra ID と Active Directory は「ハイブリッド構成」を組むことで、オンプレミスで管理しているユーザーアカウントをクラウドにも同期させ、シームレスな認証基盤を作ることができます(「Azure AD Connect」というツールを使用します)。

4-4. ライセンスと費用面

  • Active Directory
    • Windows Server のライセンスが必要。クライアント・アクセス・ライセンス(CAL)も考慮しなければなりません。サーバーのハードウェアコストやメンテナンス費用がかかります。
  • Microsoft Entra ID(Azure AD)
    • Microsoft 365 の契約プランに含まれている場合が多いです。無料(Azure AD Free)から有料(Premium P1/P2)まで複数エディションがあり、高度なセキュリティ機能や条件付きアクセスなどを使う場合は有料プランが必要です。
  • Intune
    • Microsoft 365 Business Premium や Enterprise Mobility + Security (EMS) などのライセンスに含まれる場合があります。単体ライセンスとしても購入可能です。機能要件に応じてプランを選択する必要があります。

5. 運用ケース別に考える

5-1. オンプレミス環境が主体の企業

  • 既に Windows Server ベースの Active Directory を運用中で、社内ネットワークに接続して仕事をするのが中心という企業では、引き続き AD が主軸となります。
  • ただしリモートワーク需要が増えてきた際には、Microsoft Entra ID と連携してハイブリッド構成にすることで、外部からの認証や SaaS 連携をスムーズに行えます。
  • モバイルデバイス管理が必要になった場合は、Intune を導入してスマホやタブレット、リモート接続する Windows PC をクラウド管理する選択が効果的です。

5-2. クラウド活用を優先する企業(新興企業やベンチャー等)

  • 新しく立ち上げた企業やスタートアップなど、オンプレミスのサーバーを持つ必要がない場合は、最初から Microsoft Entra ID を活用して全てをクラウドベースで運用します。
  • デバイスの管理やセキュリティポリシーの適用は Intune を利用し、Windows やモバイルを一元管理。VPN やオンプレサーバーが不要になることで、初期コストを抑えた柔軟な運用が可能です。
  • Microsoft 365(Office 365)や Teams、その他の SaaS と組み合わせることで、リモートワークでも円滑に業務を進めやすくなります。

5-3. ハイブリッド構成が必要な大規模企業

  • 大企業になると、既にオンプレミスに多くのシステムやアカウントを抱えており、完全にクラウド移行するには時間がかかることが多いです。
  • そこで Active Directory のユーザーアカウントと Microsoft Entra ID を同期し、必要な部分だけクラウドサービスを利用するハイブリッドアプローチが一般的となります。
  • Intune を活用する場合も、オンプレ AD ドメイン参加している Windows デバイスを共同管理(Co-management)する仕組みが用意されており、移行を段階的に進めることができます。

6. これからの運用のポイント

6-1. 「ゼロトラスト」時代への対応

近年のセキュリティコンセプトとして「ゼロトラスト」が注目を浴びています。ネットワーク内外を問わず、常にユーザーとデバイスの状態をチェックしてアクセスを制御する考え方です。
Microsoft Entra ID(Azure AD)の条件付きアクセスや Intune でのデバイスコンプライアンスチェックは、ゼロトラスト実現のための重要な機能となっています。オンプレミスの AD だけでは、この仕組みを実装するのは難しいため、クラウドベースのサービスとの連携が不可欠です。

6-2. デバイスの多様化と BYOD

今や業務に使われるデバイスは Windows PC だけでなく、Mac や iOS/Android デバイスが当たり前になりました。また BYOD(従業員個人所有デバイス)を認める動きも増えています。
こうした状況で、全てのデバイスをドメイン参加させるのは難しいため、Intune のようなモバイルデバイス管理サービスを活用し、OS を問わず管理する仕組みが重要になってきます。

6-3. ライセンスの最適化

Microsoft Entra ID(Azure AD)の Premium プランや Intune のライセンスは、オプションごとに機能が異なるため、導入する際は自社の要件に合ったプランを選定する必要があります。

  • MFA や条件付きアクセスが必要なら Azure AD Premium P1 が検討対象に。
  • エンドポイント管理をフル活用したいなら Intune(Microsoft 365 E3 / E5 など)をパッケージで購入するか、EMS(Enterprise Mobility + Security)を導入するなどの選択肢があります。
    コストと機能を比較しながら、最適なライセンス形態を検討することが大切です。

7. まとめ

ここまで「Microsoft Entra ID(旧 Azure AD)」「オンプレミスの Active Directory」「Intune」の違いについて、特徴と運用シナリオを中心に解説してきました。ポイントを振り返ると以下の通りです。

  1. Microsoft Entra ID(旧 Azure AD)
    • クラウドベースの ID とアクセス管理サービス。
    • シングルサインオン、多要素認証、条件付きアクセスなどクラウド時代に必要な機能が豊富。
    • Microsoft 365(Office 365)や他の SaaS とシームレスに統合。
    • 従来の Active Directory と連携してハイブリッド構成を構築可能。
  2. Active Directory(オンプレミス)
    • Windows Server 上で動作するディレクトリサービス。
    • 社内ネットワークでのユーザー、コンピュータ管理の基盤。
    • ドメインコントローラーを設置し、クライアント PC をドメイン参加させて管理。
    • オンプレミス中心の企業には欠かせないが、クラウドやモバイルには不向きな面も。
  3. Intune
    • クラウドベースのエンドポイント管理サービス。
    • Windows、iOS、Android、macOS など幅広いデバイスを一元管理。
    • モバイルデバイス管理(MDM)やアプリケーション管理(MAM)、ソフトウェア配信などをカバー。
    • Microsoft Entra ID と連携することで、クラウド時代のゼロトラストや BYOD に対応。

今後、リモートワークや SaaS の活用が一層進むにつれ、従来のオンプレミス中心の IT 環境だけでは対応しきれない場面が増えてきます。企業や組織の状況に応じて、Active Directory を段階的にクラウド化しながら Microsoft Entra ID や Intune と組み合わせることで、柔軟かつセキュアな運用を実現できます。

特にこれからシステムを新規に導入する企業やスタートアップなどは、オンプレミスにこだわらず最初からクラウドファーストで設計するのがおすすめです。サーバーの設置やメンテナンスコストを大幅に削減しながら、最新のセキュリティ機能を利用できるため、スピード感をもってビジネスを成長させることが可能になります。

最後に、ライセンスや機能は頻繁にアップデートされるため、Microsoft の公式ドキュメントや最新情報をこまめにチェックすることをおすすめします。また、IT インフラ全体の設計やセキュリティポリシーを考える際には、社内のセキュリティ担当やシステム管理者、場合によっては外部コンサルタントの意見を取り入れながら、最適な構成を見極めてください。

以上、初心者向けに「Microsoft Entra ID(旧 Azure AD)」「Active Directory(オンプレミス版)」「Intune」の違いをざっくりとまとめました。それぞれのサービスは役割が異なりますが、クラウドとオンプレミスをバランスよく活用することで、これからの多様な働き方に対応する強力な基盤となります。ぜひ、自社の状況や将来の計画に応じて最適なサービス構成を検討してみてください。

これからもクラウドサービスは発展を続け、Microsoft Entra ID のようなクラウドディレクトリサービスと Intune のようなエンドポイント管理サービスはますます重要性を増していくでしょう。

オンプレミスの Active Directory もまだまだ廃れるわけではなく、ハイブリッド構成で最適化を図りながら活躍を続けるはずです。本記事が、皆さんの運用や導入検討の一助になれば幸いです。

前の記事

【入門編】Microsoft Intuneについて初心者向けに…