【 Connect-Entra 】コマンドレット――Microsoft Entra IDに接続するWindows PowerShell基本Tips(125)

本連載は、PowerShellコマンドレットについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は「Connect-Entra」コマンドレットを解説します。

» 2025年02月19日 05時00分 公開
[国井傑株式会社エストディアン]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

「Windows PowerShell基本Tips」のインデックス

連載目次

 本連載は、PowerShellコマンドレットについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は、「Microsoft Entra ID」(旧称:Azure Active Directory)に接続する「Connect-Entra」コマンドレットです。

Connect-Entraコマンドレットとは?

 これまで、Microsoft Entra IDのコマンドレットについては、「*-AzureAD*」というタイプのコマンドレットを利用してきました(本連載第30~43回を参照)。しかし、これらのコマンドレットは「2025年4月」から順次廃止されることになっています。

 ところが、これらのコマンドレットは広く使われてきた背景があるため、Microsoftは「*-Mg*」というタイプのコマンドレットとは別に、「*-AzureAD*」と互換性のある「*-Entra*」というタイプのコマンドレットを提供するようになりました。

 そこで今回と次回は、「*-AzureAD*」の代替で利用可能なコマンドレットを解説します。

 今回紹介する「Connect-Entra」は、PowerShellを利用してMicrosoft Entra IDに接続するコマンドレットです(本コマンドレットはこれまで「Connect-AzureAD」として使われてきました。詳しくは、本連載第30回を参照してください)。

 なお、Microsoft Entra ID用のコマンドレットはWindowsに標準搭載されていないため、本連載第19回で解説した「Install-Module」コマンドレットを利用して「Install-Module -Name Microsoft.Entra -Repository PSGallery -Scope CurrentUser -Force -AllowClobber」を実行し、事前にコマンドレット群(モジュール)をインストールしておく必要があります。

Connect-Entraコマンドレットの書式

Connect-Entra [オプション]

Connect-Entraコマンドレットの主なオプション

オプション 意味
-Scopes Microsoft Entra IDへの接続に使用するアクセス許可を指定する。省略可能
-ContextScope 異なるユーザーでサインインする。省略可能
-UseDeviceAuthentication ブラウザを利用して認証する。省略可能
-TenantId 接続先となるMicrosoft Entra IDのテナントを指定する。省略可能
-CertificateThumbprint 資格情報の代わりに証明書を利用してMicrosoft Entra IDに接続する。省略可能
-ClientId 接続先となるMicrosoft Entra IDのアプリケーションIDを指定する。省略可能

Microsoft Entra IDに接続する

 Connect-EntraコマンドレットでMicrosoft Entra IDに接続する際には、実施する作業に合わせて「-Scopes」オプションでAPIアクセス許可を割り当てます。なお、「Microsoft Entra参加」などの方法でデバイスが既に登録されている場合、サインイン画面が登場することなくMicrosoft Entra IDへの接続に成功します(画面1)。テナントで初めて実行するときはアクセス許可の同意を求めるダイアログが表示されるので、[承諾]をクリックしてアクセス許可を利用できるようにしてください。

コマンドレット実行例

  1. Connect-Entra -Scopes 'User.Read.All'
ALT 画面1 Connect-Entraコマンドレットに続けて、-Scopesオプションを使用し、「User.Read.All」のアクセス許可を割り当てた

明示的に資格情報を指定してMicrosoft Entra IDに接続する

 Microsoft Entraに登録されているデバイスの場合は、自動的に自身のIDで接続してしまいます。もし、他のIDを利用したり、他のテナントを管理したりしたいというニーズがあれば、「-ContextScope」オプションを使用して、明示的に資格情報を入力するように強制できます(画面2)。

コマンドレット実行例

  1. Connect-Entra -ContextScope Process
ALT 画面2 Connect-Entraコマンドレットに続けて、-ContextScopeオプションを指定し、その値に「Process」を指定すると、このプロセスでは別のIDを利用して接続するように強制できる

ブラウザを使用してMicrosoft Entra IDに接続する

 Connect-EntraコマンドレットでMicrosoft Entra IDに接続すると資格情報の入力が求められますが、その操作はブラウザ経由でも行えます。これによりセッションがデバイス内で維持されるため、PowerShell画面を閉じてしまったとしても、次回接続時に再度資格情報を入力する必要はありません(画面3)。

コマンドレット実行例

  1. Connect-Entra -UseDeviceAuthentication
ALT 画面3 Connect-Entra コマンドレットに続けて、-UseDeviceAuthenticationオプションを指定した。ブラウザで認証するためのURLとワンタイムパスコードが表示されるので、指示に従ってURLにアクセスすると認証を開始できる

証明書を利用してMicrosoft Entra IDに接続する

 資格情報を利用してMicrosoft Entra IDへ接続する場合には、接続時に資格情報を入力する必要があります。そこで証明書を利用して接続することで、接続時にユーザーが資格情報を入力することなく接続を完了できます(画面4)。

コマンドレット実行例

  1. Connect-Entra -Clientid <登録したアプリのアプリケーション (クライアント) ID> -TenantId <アプリを登録したテナントのディレクトリ (テナント) ID> -CertificateThumbprint <証明書の母印>
ALT 画面4 アプリの登録で事前に生成されたアプリケーションIDとディレクトリID、そして登録した証明書の母印情報をそれぞれ指定して、Microsoft Entra IDへ接続している。この接続方法では、資格情報を入力する画面は表示されない

 なお、証明書は「Microsoft Entra管理センター」で事前に作成、登録しておく必要があります。登録方法は、以下の日本マイクロソフトのサポート情報ブログを参照してください。

筆者紹介

国井 傑(くにい すぐる)

株式会社エストディアン代表取締役。1997年からマイクロソフト認定トレーナーとして、Azure Active DirectoryやMicrosoft 365 Defenderなど、クラウドセキュリティを中心としたトレーニングを提供している。2007年からMicrosoft MVP for Enterprise Mobilityを連続して受賞。なお、テストで作成するユーザーアカウントには必ずサッカー選手の名前が登場するほどのサッカー好き。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

Server & Storage 記事ランキング

本日月間

注目のテーマ

4AI by @IT - AIを作り、動かし、守り、生かす
Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。