この記事のポイント
オブジェクトIDを手軽に確認するならEntra管理センターのGUI、一括取得や自動化が必要ならMicrosoft Entra PowerShellを使うべき- オブジェクトIDとアプリケーションID(クライアントID)は混同しやすいが、OAuth認証にはアプリケーションID、Graph APIでのリソース操作にはオブジェクトIDを使い分ける必要がある
- Azure AD PowerShellモジュールは2025年3月にサポート終了済み。既存スクリプトはMicrosoft Entra PowerShellへの移行が最優先。互換性90%超で移行コストは低い
- テナントIDはマルチテナントアプリ構成やB2B連携で必須。複数テナント管理環境では-TenantIdパラメーターを明示し、誤接続を防ぐべき
- ID情報は機密情報ではないが、Graph API経由でリソースアクセスが可能なため外部共有は避け、最小権限の原則(User.Read.Allスコープ等)を徹底すべき
Microsoft MVP・AIパートナー。LinkX Japan株式会社 代表取締役。東京工業大学大学院にて自然言語処理・金融工学を研究。NHK放送技術研究所でAI・ブロックチェーンの研究開発に従事し、国際学会・ジャーナルでの発表多数。経営情報学会 優秀賞受賞。シンガポールでWeb3企業を創業後、現在は企業向けAI導入・DX推進を支援。
Microsoft Entra ID(旧Azure AD)でリソースを管理する際に欠かせないのがオブジェクトIDです。ユーザー・グループ・アプリケーションを識別するこのIDは、API連携やPowerShellスクリプト、アクセス制御の設定など多くの管理業務で指定が求められます。
本記事では、オブジェクトID・テナントIDの確認方法をEntra管理センター(Azure Portal)、PowerShell、Azure CLIの3つの方法でわかりやすく解説します。2025年3月にサポート終了したAzure AD PowerShellモジュールの移行先についても紹介します。
Azureの基本知識や料金体系、利用方法についてはこちらの記事で詳しく解説しています。
Microsoft Azureとは?できることや各種サービスを徹底解説
Microsoft 365 Copilotの最新エージェント機能「Copilot Cowork」については、以下の記事をご覧ください。
Copilot Coworkとは?機能や料金、Claude Coworkとの違いを解説
目次
Microsoft Entra IDのオブジェクトIDとは
Microsoft Entra ID(旧Azure Active Directory)では、ユーザー・グループ・アプリケーションといったすべてのリソースに対して、一意の識別子であるオブジェクトIDが自動的に割り当てられます。オブジェクトIDはGUID(グローバル一意識別子)形式の文字列で、テナント内でリソースを正確に特定するために使用されます。
オブジェクトIDが必要になる場面は多岐にわたります。APIからユーザー情報を取得する場合、PowerShellスクリプトでリソースを操作する場合、Azure RBACのロール割り当てを行う場合など、管理業務の随所でオブジェクトIDの指定が求められます。
Microsoft Entra IDの主要なID種別
Microsoft Entra IDでは、オブジェクトID以外にもいくつかの重要なIDが存在します。以下の表で各IDの役割と特徴を整理しました。
| ID種別 | 形式 | スコープ | 主な用途 |
|---|---|---|---|
| オブジェクトID | GUID | テナント内で一意 | ユーザー・グループ・アプリケーション等の個別リソース識別 |
| テナントID(ディレクトリID) | GUID | グローバルに一意 | 組織のMicrosoft Entra IDインスタンスの識別 |
| アプリケーションID(クライアントID) | GUID | グローバルに一意 | アプリ登録の識別。OAuth/OIDC認証で使用 |
| サービスプリンシパルID | GUID | テナント内で一意 | テナント内でのアプリインスタンスの識別 |
オブジェクトIDとアプリケーションIDは混同されやすいポイントです。オブジェクトIDはテナント内のリソースを識別するローカルな識別子であるのに対し、アプリケーションID(クライアントID)はアプリ登録時にグローバルに割り当てられる識別子です。アプリケーションオブジェクトとサービスプリンシパルの関係については、Microsoft公式ドキュメントで詳しく解説されています。
ユーザーのオブジェクトID確認方法
ユーザーのオブジェクトIDを確認するには、Entra管理センター(Azure Portal)からのGUI操作、PowerShellコマンド、Azure CLIの3つの方法があります。管理画面での手動確認から、スクリプトによる一括取得まで、用途に応じて使い分けてください。
Entra管理センター・Azure Portalでの確認
最も手軽な方法は、Webブラウザからポータル画面で確認する方法です。Microsoft Entra管理センターまたはAzure Portalのどちらからでも確認できます。
手順は以下のとおりです。
-
Azure Portalにサインインします。
【関連記事】
Azure Portalとは?ログイン方法や使い方、料金を徹底解説!
-
左側のメニューからMicrosoft Entra IDを選択し、管理セクションの「ユーザー」をクリックします。
Microsoft Entra IDのユーザー一覧画面
-
該当のユーザーをクリックすると、プロファイルページの「基本情報」セクションにオブジェクトIDが表示されます。
ユーザーのオブジェクトID確認画面
Azure Portalでの確認手順はMicrosoft公式のID検索ガイドにも記載されています。Entra管理センターでは「ID」→「ユーザー」→「すべてのユーザー」の順に進み、対象ユーザーを選択するとオブジェクトIDが表示されます。
PowerShellでの確認
PowerShellを使えば、スクリプトによる自動化や一括取得が可能です。2025年3月にAzure AD PowerShellモジュールのサポートが終了したため、現在はMicrosoft Entra PowerShellモジュールまたはMicrosoft Graph PowerShell SDKを使用します。
Microsoft Entra PowerShellを使用する場合は、以下のコマンドを実行します。
# Microsoft Entra PowerShellモジュールのインストール(初回のみ)
Install-Module -Name Microsoft.Entra.Users -Repository PSGallery -Force -AllowClobber
# Entra IDに接続
Connect-Entra -Scopes 'User.Read.All'
# UPNを指定してユーザー情報を取得(Idプロパティがオブジェクトに該当)
Get-EntraUser -UserId "user@contoso.com"
Microsoft Graph PowerShell SDKを使用する場合は、以下のとおりです。
# Microsoft Graph PowerShellモジュールのインストール(初回のみ)
Install-Module Microsoft.Graph -Scope CurrentUser
# Microsoft Graphに接続
Connect-MgGraph -Scopes "User.Read.All"
# ユーザー情報を取得
Get-MgUser -UserId "user@contoso.com"
どちらのコマンドでも、出力結果のIdプロパティがオブジェクトIDに該当します。組織内の全ユーザーを一括取得する場合は、-Allパラメーターを追加してください。
Azure CLIでの確認
Azure CLIを使用する場合は、以下のコマンドでユーザーのオブジェクトIDを取得できます。
# Azure CLIでログイン
az login
# ユーザーのオブジェクトIDを取得
az ad user show --id "user@contoso.com" --query id --output tsv
--queryパラメーターにidを指定することで、オブジェクトIDのみを抽出できます。メールアドレスまたはユーザープリンシパル名(UPN)のどちらでも検索が可能です。
グループ・アプリケーションのオブジェクトID確認方法
オブジェクトIDはユーザーだけでなく、セキュリティグループやアプリケーション登録にも割り当てられます。Azure RBACのロール割り当てやAPI連携では、これらのオブジェクトIDが必要になる場面が頻繁にあります。
グループのオブジェクトID確認
Entra管理センターでグループのオブジェクトIDを確認するには、「ID」→「グループ」→「すべてのグループ」から対象グループを選択します。概要ページにオブジェクトIDが表示されます。
PowerShellで確認する場合は、以下のコマンドを使用します。
# グループ名で検索
Get-EntraGroup -Filter "DisplayName eq 'セキュリティグループ名'"
# グループIDを直接指定して取得
Get-EntraGroup -GroupId "グループのオブジェクトID"
Azure CLIの場合は次のとおりです。
# グループ名で検索してオブジェクトIDを取得
az ad group show --group "グループ名" --query id --output tsv
出力結果のIdプロパティがグループのオブジェクトIDです。グループメンバーの一覧を取得する場合は、Get-EntraGroupMemberコマンドレットにグループのオブジェクトIDを渡します。
アプリケーションのオブジェクトID確認
アプリケーションの登録情報を確認するには、Entra管理センターで「ID」→「アプリケーション」→「アプリの登録」から対象アプリケーションを選択します。概要ページにはオブジェクトID、アプリケーション(クライアント)ID、ディレクトリ(テナント)IDの3つが表示されます。
PowerShellで確認する場合は以下のコマンドを使用します。
# アプリケーション名で検索
Get-EntraApplication -Filter "DisplayName eq 'アプリケーション名'"
# アプリケーションのオブジェクトIDを直接指定して取得
Get-EntraApplication -ApplicationId "アプリのオブジェクトID"
出力結果にはIdプロパティ(オブジェクトID)とAppIdプロパティ(アプリケーションID / クライアントID)の両方が含まれます。OAuth認証の設定ではアプリケーションIDを、Microsoft Graph APIでのリソース操作ではオブジェクトIDを使用する点に注意してください。
ユーザーの追加方法やMicrosoft Entra ID プロビジョニングと組み合わせることで、ID管理の自動化をさらに進められます。
テナントIDの確認方法と利用シーン
テナントID(ディレクトリID)は、組織のMicrosoft Entra IDインスタンスを一意に識別するIDです。テナントIDという名称以外にも、ディレクトリID、Microsoft Entraテナント、Microsoft IDなど、サービスによって呼び名が異なる場合があります。
テナントIDの確認方法
テナントIDは、Azure PortalまたはEntra管理センターから確認できます。手順は以下のとおりです。
-
Azure Portalにサインインします。
-
左側のメニューからMicrosoft Entra IDを選択します。
Microsoft Entra IDの概要画面
-
概要ページの「基本情報」セクションにテナントIDとプライマリドメインが表示されます。
テナントIDの確認画面
-
管理セクションの「プロパティ」メニューからも同じテナントIDを確認できます。
プロパティ画面からのテナントID確認
PowerShellで確認する場合は、接続後に以下のコマンドで取得できます。
# Microsoft Entra PowerShellでテナントIDを取得
Connect-Entra
(Get-EntraContext).TenantId
Azure CLIの場合は次のコマンドです。
az account show --query tenantId --output tsv
テナントIDの確認方法については、Microsoft公式のテナントID検索ガイドも参考になります。
テナントIDの主な利用シーン
テナントIDが必要になる代表的な場面を以下にまとめます。
-
アプリケーション登録
Microsoft Entra IDにアプリケーションを登録し、OAuthやOpenID Connectの認証エンドポイントを構成する際にテナントIDを指定します。マルチテナントアプリケーションの場合、各テナントのIDを使って認証先を制御します。
-
ディレクトリ間の連携
複数のMicrosoft Entra IDテナント間でリソースを共有する場合や、B2Bコラボレーションを構成する際にテナントIDが必要です。Azure AD B2Cの外部ID連携でもテナントIDを使用します。
-
PowerShellスクリプトの実行
自動化スクリプトでConnect-EntraやConnect-MgGraphを実行する際、-TenantIdパラメーターで対象テナントを明示的に指定します。複数テナントを管理している環境では、意図しないテナントへの接続を防ぐために必須のパラメーターです。
-
Microsoftサポートへの問い合わせ
Microsoftのサポートリクエストを作成する際に、テナントIDの提供を求められます。テナントIDによって組織の環境を特定し、迅速なサポート対応が可能になります。
テナントIDは、Microsoft Entra ConnectによるオンプレミスActive Directoryとの同期設定でも参照されます。ハイブリッド環境を構築する場合は、テナントIDを事前に控えておくとスムーズです。
【無料DL】AI業務自動化ガイド(220P)
Microsoft環境でのAI活用を徹底解説
Microsoft環境でのAI業務自動化・AIエージェント活用の完全ガイドです。Azure OpenAI、AI Agent Hub、n8nを活用した業務効率化の実践方法を詳しく解説します。
オブジェクトID確認時の注意点
オブジェクトIDの確認や管理を行ううえで、2026年時点で特に押さえておくべき注意点を解説します。
AzureAD PowerShellモジュールの廃止と移行
2024年3月30日にAzure AD PowerShellモジュールとAzure AD Previewモジュールは正式に非推奨となり、2025年3月30日にサポートが終了しました。MSOnlineモジュールも2025年5月30日に廃止されています。
既存のスクリプトでGet-AzureADUserやGet-AzureADGroupなどのコマンドを使用している場合は、以下のいずれかへの移行が必要です。
-
Microsoft Entra PowerShell
Azure AD PowerShellとの互換性が90%以上あり、コマンド名の変更が最小限で済む移行先です。Get-AzureADUserはGet-EntraUser、Get-AzureADGroupはGet-EntraGroupに対応しています。2025年1月29日に一般提供(GA)が開始されました。
-
Microsoft Graph PowerShell SDK
より広範なMicrosoft 365サービスとの連携が可能な選択肢です。Get-AzureADUserはGet-MgUser、Get-AzureADGroupはGet-MgGroupに対応しています。
Azure AD PowerShellモジュールは機能自体は動作し続けていますが、セキュリティ修正を含むすべてのサポートが終了しています。社内の運用スクリプトがまだ旧モジュールのままであれば、セキュリティリスクを避けるために早期の移行をおすすめします。Microsoftが提供する移行ガイドでは、旧コマンドと新コマンドの対応表や移行手順が詳しく解説されています。
IDの取り扱いとセキュリティ
オブジェクトIDやテナントID自体は機密情報には分類されませんが、これらのIDを使えばMicrosoft Graph APIを通じてリソース情報にアクセスできるため、不必要な外部公開は避けるべきです。
特に注意が必要な点を以下にまとめます。
-
オブジェクトIDの外部共有
サポートリクエストやパートナー連携など正当な理由がある場合を除き、オブジェクトIDを外部に共有しないようにします。
-
アプリケーションIDとシークレットの管理
アプリケーションID(クライアントID)単体では認証できませんが、クライアントシークレットや証明書と組み合わせると完全な認証情報になります。シークレットの有効期限管理と定期的なローテーションを徹底してください。
-
最小権限の原則
PowerShellやGraph APIでID情報を取得する際のスコープ(権限)は、必要最小限に設定します。たとえばユーザー情報の読み取りだけであればUser.Read.Allスコープで十分であり、User.ReadWrite.Allは不要です。
Azureのセキュリティ対策を併用し、条件付きアクセスポリシーや多要素認証(MFA)を組み合わせることで、ID情報の悪用リスクをさらに低減できます。
まとめ
本記事では、Microsoft Entra IDにおけるオブジェクトIDの定義と4つのID種別の違い、ユーザー・グループ・アプリケーション・テナントIDの確認方法、そしてAzure AD PowerShellモジュール廃止後の移行先について解説しました。
オブジェクトIDは、Entra管理センターやAzure PortalのGUI操作で手軽に確認できます。さらにMicrosoft Entra PowerShellやAzure CLIを活用すれば、一括取得やスクリプトによる自動化にも対応可能です。
Azure AD PowerShellモジュールのサポートは2025年3月に終了しています。既存スクリプトの移行がまだ済んでいない場合は、Microsoft Entra PowerShellまたはMicrosoft Graph PowerShell SDKへの切り替えから着手してみてください。公式の移行ガイドにコマンドの対応表が用意されているため、影響範囲の調査から始めるのがスムーズです。
