Microsoft Entra ID プロビジョニングとは？3つの種類と仕組みを解説

ユーザーアカウント管理の効率化とセキュリティ強化は、多くの企業にとって重要な課題です。
Microsoft Entra ID プロビジョニング(旧:Azure AD プロビジョニング)は、ユーザーやグループの作成・更新・削除を自動化し、この課題を解決する強力なソリューションを提供します。

本記事では、人事主導、アプリ、ディレクトリ間という3種類のプロビジョニングを中心に、その仕組みや利用シーンをわかりやすく解説します。

さらに、Azure AutomationやAzure Monitorとの連携による自動化・監視の強化、IDライフサイクル管理のベストプラクティス、SCIMなどの最新技術動向についても紹介します。

Microsoft Entra ID プロビジョニングを活用して、ID管理の効率化とセキュリティ向上を実現するためのヒントが満載です。ぜひご一読ください。

---

Microsoft Entra ID プロビジョニングとは (旧：Azure AD プロビジョニング)

Microsoft Entra IDアイコン

Microsoft Entra ID プロビジョニングは、ユーザーやグループをさまざまなアプリケーションやシステムに対して自動的に作成、管理、削除するプロセスを指します。
このプロセスにより、組織全体でのユーザーアカウント管理を効率化し、セキュリティとコンプライアンスを強化できます。

Entra IDのプロビジョニングは、従来のAzure ADプロビジョニングと同様に機能し、クラウド環境やオンプレミスのシステムにおける一貫したユーザー管理を提供します。

【関連記事】

→https://www.ai-souken.com/article/azure-entra-overview

ここで、プロビジョニングの自動化に関しては主に以下の3種類が提供されており、それぞれが異なる管理ニーズに対応しています：

• 人事主導のプロビジョニング：
  Rシステムを基盤として、従業員の入社、異動、退職などのライフサイクルイベントに基づいてユーザーアカウントを自動的に作成・管理するプロセスです。
  
  
• アプリのプロビジョニング
  Microsoft Entra IDを利用して、クラウドやオンプレミスのアプリケーションに対するユーザーやグループのアカウントを自動的に作成、管理、削除するプロセスです。
  
  
• ディレクトリ間のプロビジョニング
  異なるディレクトリサービス間でユーザー情報を同期させ、一貫したユーザー管理を実現するプロセスです。これにより、オンプレミスとクラウド環境のシームレスな統合が可能になります。

次に、これらのプロビジョニングについて詳しく見ていきましょう。

---

人事主導のプロビジョニング

人事主導のプロビジョニングの図

概要や機能

人事主導のプロビジョニングは、人事システムを基盤としてデジタルIDを作成・管理するプロセスです。このプロセスは、従業員の採用、異動、退職などのイベントに基づいて、Microsoft Entra IDやActive Directoryなどのシステムにユーザーアカウントを自動的に作成、更新、削除する仕組みを提供します。

想定される利用シーン

人事主導のプロビジョニングは、特に大規模な組織で、従業員の出入りが頻繁に発生する環境に適しています。以下のようなシーンでの利用が想定されます：

• 新規採用時: 新しい従業員が人事システムに登録されると、Microsoft Entra IDやActive Directoryに自動的にユーザーアカウントが作成され、必要に応じてメールアドレスなどが人事システムに書き戻されます。

• 従業員の属性更新: 従業員の名前、役職、上司などの情報が人事システムで更新されると、その情報が自動的にMicrosoft Entra IDや関連するアプリケーションに反映されます。

• 退職時: 従業員が退職状態になると、ユーザーアカウントが無効化されるか、システムから削除されます。

• 再雇用時: 再雇用された場合、以前のアカウントが再アクティブ化されるか、再プロビジョニングされます。

デプロイの方法

人事主導のプロビジョニングには、組織のインフラやニーズに応じて、次の3つのデプロイ方法があります。

1. クラウド専用のシステム向け:

   • 対象: Active Directoryを使用していない組織。
   • 説明: WorkdayやSuccessFactorsなどのクラウドベースの人事システムから直接Microsoft Entra IDにユーザーをプロビジョニングします。Active Directoryを使用しないため、プロビジョニングがシンプルです。

2. Active Directoryと連携するシステム向け:

   • 対象: Active DirectoryとMicrosoft Entra IDの両方を使用する組織。
   • 説明: クラウド人事システムからのユーザー情報をまずActive Directoryにプロビジョニングし、その後Microsoft Entra IDに同期させます。この方法では、既存のActive Directory環境を活用しつつ、クラウドサービスと統合が可能です。

3. 複数の人事システムやオンプレミスのシステムを持つ組織向け:

   • 対象: SAPやOracle eBusiness、PeopleSoftなどの複数の人事システムやオンプレミスシステムを使用する組織。
   • 説明: これらのオンプレミス人事システムからデータを一元管理し、Microsoft Entra IDにプロビジョニングするための複雑な統合が必要です。APIを利用したカスタム統合や専用ツール（例: Microsoft Identity Manager、SAP IDM）を使用します。

主なメリット

• 自動化による効率化:

  • 人事システムからの情報を基に、ユーザーアカウントの作成や更新、削除が自動的に行われるため、手動作業が減少し、HRやIT部門の業務効率が大幅に向上します。

• 一貫性と正確性の向上:

  • 従業員の入社から退職まで、全てのユーザーアカウントが一元管理されるため、情報の一貫性が保たれ、誤ったデータ入力や権限設定のリスクが減少します。

• 迅速な対応:

  • 従業員の入社や異動、退職に伴うアカウント変更がリアルタイムで反映されるため、業務開始時から適切なリソースにアクセスでき、スムーズな業務運営が可能となります。

• セキュリティの強化:

  • 退職時にアカウントが即時に無効化または削除されるため、不要なアクセス権限が残ることがなく、セキュリティリスクが低減されます。

• コンプライアンスの遵守:

  • データ管理の一元化により、規制やコンプライアンスの要件に対して確実に対応でき、監査対応も容易になります。

---

アプリのプロビジョニング

アプリのプロビジョニングの図

概要や機能

Microsoft Entra ID におけるアプリのプロビジョニングは、企業や組織が使用するさまざまなアプリケーションに対して、ユーザーアカウントの作成、更新、削除を自動的に行うプロセスです。これは、Microsoft Entra IDやActive Directoryとは異なる独自のデータストアを持つアプリケーションにユーザーIDをコピーし、アカウントを管理するための仕組みです。

具体的な機能としては、次のようなものがあります：

• ユーザーIDの作成: ユーザーが新たに追加された場合、その情報を基にして、DropboxやSalesforce、ServiceNowなどのアプリケーションに対してユーザーIDが自動的に作成されます。これにより、ユーザーが必要なアプリケーションにすぐにアクセスできるようになります。

• ユーザーIDの更新: ユーザーの役割や部署が変更された場合、これらの変更が自動的に各アプリケーションに反映され、適切な権限が維持されます。

• ユーザーIDの削除: ユーザーが退職した場合、またはその役割が不要になった場合、関連するすべてのアプリケーションからユーザーIDが自動的に削除されます。これにより、不要なアクセス権が残るリスクを回避できます。

• オンプレミスおよび仮想環境への対応: Microsoft Entra IDは、オンプレミスや仮想マシン上でホストされているアプリケーションにも対応しており、これらの環境においてもユーザーアカウントのプロビジョニングを自動化できます。

• SCIM対応: SCIMを利用することで、異なるシステムやアプリケーション間でユーザー情報をスムーズに同期・管理できます。これにより、SCIMをサポートするアプリケーションでは、ユーザーアカウントの作成、更新、削除が自動化され、管理の効率性が大幅に向上します。

SCIM とは

SCIM（System for Cross-domain Identity Management）は、異なるシステムやアプリケーション間でユーザー情報をやり取りするための標準的な方法です。

具体的には、SCIMはユーザーアカウントを自動で作ったり、更新したり、削除したりする仕組みです。SCIMをサポートしているアプリケーション同士であれば、こうした操作がスムーズにできるようになります。もしアプリがSCIMに対応していない場合でも、別のツールを使って同じような自動化を実現することが可能です。

想定される利用シーン

アプリのプロビジョニングは、次のような場面での利用が想定されます：

• 新規プロジェクトの開始:
  新たに立ち上げたプロジェクトにおいて、プロジェクトメンバー全員に対して必要なアプリケーションのアクセス権を一括で設定します。これにより、プロジェクトの開始時からスムーズに業務が進められます。

• 従業員の異動や役割変更:
  社内での異動や役割の変更に伴い、該当する従業員のアカウント情報が自動的に更新され、新しい職務に必要なアプリケーションへのアクセス権が適切に設定されます。

• 退職者のアカウント管理:
  退職した従業員のアカウントがすべての関連アプリケーションから自動的に削除されるため、セキュリティリスクを最小限に抑えます。

• レガシーシステムの統合:
  SCIMに対応していない古いシステムやアプリケーションに対しても、Microsoft Entra IDを通じて一元的にユーザー管理を行い、現代的なITインフラに統合することができます。

主なメリット

• 迅速なユーザーアクセス設定:

  • 新しいユーザーが追加された際、必要なアプリケーションへのアクセス権が即座に設定され、ユーザーがすぐに業務を開始できるようになります。

• 役割ベースのアクセス管理:

  • ユーザーの役職や部署の変更に応じて、アクセス権限が自動的に調整されるため、適切な権限が常に維持され、業務に必要なツールへのアクセスが確保されます。

• システム間の一貫性:

  • Microsoft Entra IDと異なる独自のデータストアを持つアプリケーション間で、ユーザーIDや権限の管理が統一されることで、システム全体での一貫したユーザー管理が実現します。

• セキュリティリスクの低減:

  • 退職者や異動者のアカウントが不要なアプリケーションから即座に削除されるため、不正アクセスのリスクを最小限に抑えられます。

• レガシーシステムとの統合:

  • SCIM対応アプリケーションだけでなく、SCIMに対応していないレガシーアプリケーションでもプロビジョニングが可能となり、幅広いシステムとの統合が実現します。

---

ディレクトリ間のプロビジョニング

ディレクトリ間のプロビジョニングの図

ディレクトリ間のプロビジョニングは、異なるディレクトリサービスの間でユーザーIDを作成、同期、管理するプロセスを指します。このプロビジョニングは、特にハイブリッドID環境で使用され、オンプレミスのシステムとクラウドベースのシステム間でのユーザー管理を一貫して行うことができます。

想定される利用シーン

多くの組織は、オンプレミスのActive DirectoryとクラウドのMicrosoft Entra IDの両方を利用しています。このような環境では、すでにActive Directoryで管理されているユーザーをMicrosoft Entra IDにプロビジョニングすることがよくあります。このプロセスは、Microsoft Entra ConnectやMicrosoft Entra Cloud Syncを使用して自動化されます。

例えば、企業がオンプレミスのファイルサーバーやWebアプリケーションを持ち、それらにActive Directoryを利用してアクセスを管理している場合、クラウドベースのMicrosoft Entra IDと連携させることで、ハイブリッドID環境を構築できます。

ディレクトリ間のプロビジョニングの方法

Microsoft Entra IDでは、ディレクトリ間のプロビジョニングを実現するために、主に以下の3つの方法がサポートされています：

1. Microsoft Entra クラウド同期:

   • これは、ハイブリッドIDの実現を目的とした軽量のエージェントで、Active DirectoryとMicrosoft Entra IDの間でユーザーとグループを同期します。この方法はポータルから簡単に構成でき、軽量な環境で迅速にプロビジョニングを行うことが可能です。

2. Microsoft Entra Connect:

   • ハイブリッドID環境を構築するための主要なツールです。オンプレミスのActive DirectoryとMicrosoft Entra IDの間でユーザーやグループの情報を同期し、ID管理を一貫して行うことができます。Microsoft Entra Connectについては、こちらで解説しています。

3. Microsoft Identity Manager（MIM）:

   • オンプレミスのIDおよびアクセス管理ソリューションであり、高度なディレクトリ間のプロビジョニングを提供します。MIMを使用することで、Active DirectoryやMicrosoft Entra IDに対する複雑なユーザー管理タスクを自動化し、ハイブリッドID環境を強化できます。

主なメリット

ディレクトリ間のプロビジョニングを使用することで、次のようなビジネス上のメリットが得られます：

• パスワード ハッシュ同期:

  • オンプレミスのActive Directoryで管理されているユーザーのパスワードハッシュをMicrosoft Entra IDと同期させ、ユーザーがクラウドシステムにシームレスにサインインできるようにします。

• パススルー認証:

  • ユーザーがオンプレミスとクラウドの両方で同じパスワードを使用できるようにし、追加のインフラを必要とせずにセキュリティを確保します。

• 同期:

  • ユーザーやグループなどのオブジェクトをオンプレミスとクラウドの両方で一致させ、データの一貫性を保ちます。これにはパスワードの同期も含まれます。

• 稼働状況の監視:

  • Microsoft Entra 管理センターを通じて、ディレクトリ間のプロビジョニングの状態を一元的に監視し、問題を迅速に特定・解決できます。

---

IDライフサイクル管理について

IDライフサイクル管理とは、ユーザーが組織に入社してから退職するまでの間、ユーザーアカウントを作成・管理・削除する一連のプロセスを管理することです。この管理により、企業全体で一貫したセキュリティを保ち、運用の効率化を図ることができます。

このプロセスの中で、プロビジョニングとプロビジョニング解除が重要な役割を果たします。これらは、複数のシステム間でデジタルIDの一貫性を保つためのプロセスであり、通常、IDライフサイクル管理の一部として実施されます。具体的には、新しいユーザーが追加された際にアカウントを作成し、役職や部署の変更に応じて情報を更新し、退職時にはアカウントを削除することで、全てのシステムで一貫したユーザー情報が維持されます。

IDライフサイクル管理の図

上記の図は、IDライフサイクル管理の概念をまとめているものになります。これをもとに、IDライフサイクルの流れを簡単に解説していきます。

• HRシステムからの情報がMicrosoft Entra IDに送られ、ユーザーアカウントが自動的に作成・更新されます。これにより、新規入社や役職変更時に、適切なシステムで必要な権限が自動的に付与されます。

• Microsoft Entra IDは、クラウドアプリやオンプレミスアプリ（社内サーバー上のアプリ）へのアクセスを管理し、プロビジョニングとプロビジョニング解除を通じて、各アプリケーション間でユーザー情報の一貫性を保ちます。

• ユーザーは、クラウドアプリだけを使う場合と、オンプレミスのWindows Server ADベースのアプリも使う場合に分かれ、それぞれ適切にプロビジョニングされます。

• ConnectとCloud Syncを使って、オンプレミスのWindows Server ADとクラウドのMicrosoft Entra IDを同期させ、どちらの環境でも一貫した管理が行えます。これにより、クラウドとオンプレミスのシステム間でシームレスにIDライフサイクル管理が行われます。

---

他Azureサービスとの連携

Microsoft Entra ID プロビジョニングと主要なAzureサービスとの連携について、以下の2つのサービスに絞って解説します。

Azure Automation

Azure Automationアイコン

Azure Automationは、プロビジョニングプロセスを自動化するために使用できるツールです。Microsoft Entra IDとAzure Automationを組み合わせることで、例えばユーザーの入社時に自動的にアカウントを作成したり、退職時にアカウントを削除したりするワークフローを設定できます。これにより、手作業によるエラーを減らし、運用効率を高めることができます。

Azure Monitor

Azure Monitorアイコン

Azure Monitorは、Microsoft Entra IDのプロビジョニング活動を含む、Azure環境全体の監視とログの管理を提供します。このサービスを利用することで、プロビジョニングの状況をリアルタイムで監視し、異常が発生した際に迅速に対応できる体制を整えることが可能です。

まとめ

Microsoft Entra ID プロビジョニングは、クラウドとオンプレミスの両環境でのユーザー管理を効率化し、セキュリティとコンプライアンスを強化します。Azure AutomationやAzure Monitorとの連携により、IDライフサイクル管理の自動化が実現し、運用効率をさらに向上させます。今後、これらの連携が進化することで、より高度なセキュリティ機能やAIを活用した管理が期待され、企業のデジタル変革を強力に支援するでしょう。