AZ-900対策!合格のために押さえるべきAzure ID・アクセス管理の基礎
作成日: 2025年12月14日 / 更新日: 2025年12月14日
AZ-900対策!合格のために押さえるべきAzure ID・アクセス管理の基礎
はじめに
AZ-900(Microsoft Azure Fundamentals)の試験合格を目指すうえで、ID とアクセス管理(IAM)の理解は避けて通れません。本資料では、Microsoft Entra ID(旧称:Azure Active Directory)を中心に、Azure RBAC、MFA、条件付きアクセス、Privileged Identity Management(PIM)、ID Protection など、試験で頻出の重要ポイントを整理します。
1 Microsoft Entra ID(旧 Azure Active Directory)の概要
Microsoft Entra ID は、組織内外のユーザーやアプリケーションに対する ID の作成と管理、サインイン時の認証を提供するクラウドベースの ID プラットフォームです。Microsoft 365、Azure、数千種類の SaaS アプリケーションと統合され、認証基盤としての SSO と高度なセキュリティ機能(MFA、条件付きアクセスなど)を備えています。
1.1 主な機能
- ユーザー / グループ管理、アプリ登録(エンタープライズ アプリ / アプリの登録)
- SSO(シングル サインオン)、フェデレーション
- MFA(多要素認証)、条件付きアクセス
- デバイス登録・管理(Intune などとの連携)
- 監査ログ、サインイン ログ、リスク検知(ID Protection)
2 Azure ロールベースのアクセス制御(Azure RBAC)
Azure リソースに対する操作権限を、ロールとスコープ(管理グループ > サブスクリプション > リソース グループ > リソース)で制御する仕組みです。誰(セキュリティ プリンシパル)に、何の権限(ロール)を、どの範囲(スコープ)で付与するかを組み合わせて、最小権限の原則を実現します。
2.1 RBAC の主要要素
- セキュリティ プリンシパル:ユーザー、グループ、サービス プリンシパル、マネージド ID
- ロール定義:Owner / Contributor / Reader などの組み込みロール(カスタム ロールも可)
- スコープ:管理グループ / サブスクリプション / リソース グループ / リソース(下位へ継承)
3 認証強化とアクセス制御
3.1 多要素認証(MFA)
パスワードに加えて、スマートフォン アプリ(Authenticator)、SMS、音声通話、FIDO2 セキュリティ キーなどを組み合わせることで、アカウント乗っ取りのリスクを大幅に低減します。
3.2 条件付きアクセス
ユーザー、場所、デバイスの状態、アプリ、サインイン リスクなどのシグナルに基づき、アクセス制御(許可 / ブロック / 条件付き許可(MFA 要求、準拠デバイス要求など))を自動で適用できます。
3.3 Privileged Identity Management(PIM)
特権ロールへの常時割り当てを避け、必要な時だけ JIT(Just-In-Time)で昇格する運用を実現します。承認ワークフロー、チケット番号の入力、MFA の要求、アクティブ化の記録などにより、内部不正や誤操作のリスクを抑制します。
3.4 ID Protection
漏えいした認証情報の使用、異常なサインイン パターン、リスクの高いユーザーを検出し、自動または半自動で対処(パスワード変更、アクセス ブロックなど)します。条件付きアクセスと組み合わせることで、リスクに応じた動的な保護が可能です。
4 試験に出やすい比較と注意点
4.1 Entra ロールと Azure ロール(RBAC)の違い
| 項目 | Microsoft Entra ロール | Azure ロール(Azure RBAC) |
|---|---|---|
| 管理対象 | ディレクトリ(Entra ID)機能 | Azure リソース(VM、ストレージ、ネットワーク 等) |
| 管理内容 | ユーザー/グループ管理、ライセンス、ID 機能の操作権限 | リソースの作成/管理/閲覧など、Azure リソースの操作権限 |
| 注意点 | グローバル管理者は ID 領域の最高権限だが、Azure リソースの権限は別途 RBAC が必要 | Azure リソースへの権限を付与/制御する仕組み。Entra ロールとは領域が異なる |
4.2 Entra ID プラン別の機能
| 機能 / プラン | Free | P1 | P2 |
|---|---|---|---|
| 基本的な ID 管理 | 〇 | 〇 | 〇 |
| 一般ユーザー向け MFA | × | 〇 | 〇 |
| 条件付きアクセス | × | 〇 | 〇 |
| ID Protection(リスクベース制御) | × | × | 〇 |
| Privileged Identity Management(PIM) | × | × | 〇 |
模擬問題
問題1
役員グループが社外から Azure Portal にアクセスする際、必ず MFA を要求したい。最適な Microsoft Entra の機能はどれ?
- Azure ロールベースのアクセス制御(Azure RBAC)
- シングル サインオン(SSO)
- Microsoft Entra ID Protection
- Microsoft Entra 条件付きアクセス
回答と解説を表示
問題2
Azure リソースへの操作権限を、管理グループ/サブスクリプション/リソース グループ/リソースといったスコープで付与・継承する仕組みはどれ?
- 共同責任モデル
- Microsoft Entra ロール
- Azure ロールベースのアクセス制御(Azure RBAC)
- Microsoft Defender for Cloud
回答と解説を表示
問題3
次のうち、Microsoft Entra ID の P2 でのみ利用できる(または P2 の主要機能)に該当するものはどれ?
- シングル サインオン(SSO)
- 一般ユーザー向け MFA の適用
- ID Protection(不正ログインのリスク検知と自動対応)
- オンプレ AD とのハイブリッド連携
回答と解説を表示
まとめ
AZ-900のID・アクセス管理では、Microsoft Entra ID(旧 Azure AD)が「認証・ID基盤」、Azure RBACが「Azureリソースの承認(権限付与)」という役割の違いを整理して押さえることが重要です。
あわせて、MFA・条件付きアクセス・PIM・ID Protectionが「いつ・誰に・どんな条件でアクセスさせるか」を強化する仕組みである点を理解し、問題演習で出題パターンに慣れていきましょう。AZ-900の模擬問題を更に演習されたい方は、StepStudyの7日間無料トライを是非お試しください!