人事主導のプロビジョニングとは

HR provisioning

人事主導のプロビジョニングは、人事システムに基づいてデジタル ID を作成するプロセスです。 人事システムが、新しく作成されるデジタル ID の SOA (Start of Authority) として、多くの場合、さまざまなプロビジョニング プロセスの開始点となります。 たとえば、新しい従業員が入社した場合、それらの従業員が人事システムに作成されます。 この作成がトリガーとなって、Active Directory にユーザー アカウントがプロビジョニングされ、その後、そのアカウントが Azure AD Connect によって Azure AD などにプロビジョニングされます。

人事主導のプロビジョニングには、オンプレミス ベースとクラウド ベースとがあります。

オンプレミス ベースの人事プロビジョニング

オンプレミス ベースの人事プロビジョニングは、ローカル人事システムと、新しいデジタル ID をプロビジョニングする手段とを使用して行われます。

人事システムは、さまざまなパッケージやソフトウェア バンドルの形で提供され、SQL サーバーや LDAP ディレクトリなどが使用されることもあります。

現在、Microsoft のオンプレミス人事プロビジョニング ソリューションには Microsoft Identity Manager が使用されており、それらの人事システムに新しい ID が作成されたときにプロビジョニングがトリガーされます。

MIM を使用すると、オンプレミスの人事システムから Active Directory または Azure AD にユーザーをプロビジョニングすることができます。

Microsoft Identity Manager とそのサポート対象のシステムについては、Microsoft Identity Manager のドキュメントを参照してください。

クラウドの人事アプリケーションから Azure Active Directory へのユーザー プロビジョニング

従来、IT スタッフは、手動による社員の作成、更新、削除の方法に依存していました。 これらは、CSV ファイルのアップロードや、カスタム スクリプトなどの方法を使用して社員データを同期しています。 これらのプロビジョニング プロセスは、エラーが発生しやすく、安全でなく、管理が困難です。

社員、ベンダー、臨時社員の ID ライフサイクルを管理するために、Azure Active Directory (Azure AD) ユーザー プロビジョニング サービスでは、クラウドベースの人事 (HR) アプリケーションとの統合を提供しています。 アプリケーションの例としては、Workday や SuccessFactors などがあります。

Azure AD では、この統合を利用して、クラウド人事アプリケーション (アプリ) の次のワークフローを有効にします。

  • Active Directory へのユーザーのプロビジョニング: クラウド人事アプリから選択したユーザーのセットを、1 つ以上の Active Directory ドメインにプロビジョニングします。
  • Azure AD へのクラウドのみのユーザーのプロビジョニング: Active Directory が使用されていないシナリオでは、クラウド人事アプリから Azure AD へユーザーを直接プロビジョニングします。
  • クラウド人事アプリへの書き戻し: メール アドレスやユーザー名の属性を Azure AD からクラウド人事アプリに書き戻します。

有効な人事シナリオ

Azure AD のユーザー プロビジョニング サービスを使用すると、次に示す人事ベースの ID ライフサイクル管理シナリオを自動化できます。

  • 新しい社員の雇用: 新しい社員がクラウド人事アプリに追加されると、Active Directory と Azure AD でユーザー アカウントが自動的に作成され、必要に応じて、メール アドレスとユーザー名の属性がクラウド人事アプリに書き戻されます。
  • 社員の属性とプロファイルの更新: クラウド人事アプリで名前、役職、上司などの社員レコードが更新されると、そのユーザー アカウントは Active Directory と Azure AD で自動的に更新されます。
  • 社員の退職: クラウド人事アプリで社員が退職すると、その社員のユーザー アカウントは Active Directory および Azure AD で自動的に無効になります。
  • 社員の再雇用: クラウド人事アプリで社員が再雇用されると、その社員の古いアカウントが自動的に再アクティブ化されるか、Active Directory および Azure AD に再プロビジョニングされます。

この統合が最も適している組織

クラウド人事アプリと Azure AD ユーザー プロビジョニングの統合は、次のような組織に最適です。

  • クラウド人事のユーザーをプロビジョニングするための、事前構築済みのクラウドベースのソリューションを必要としている。
  • クラウド人事アプリから Active Directory または Azure AD に直接、ユーザーをプロビジョニングする必要がある。
  • クラウド人事アプリから取得したデータを使用してユーザーをプロビジョニングする必要がある。
  • クラウド人事アプリで検出された変更情報のみに基づいて、ユーザーの入社、異動、退職を 1 つ以上の Active Directory フォレスト、ドメイン、または OU と同期する必要がある。
  • メールに Office 365 を使用している。

主な利点

ここで説明する人事ベースの IT プロビジョニング機能は、次に挙げるような大きなメリットをビジネスにもたらします。

  • 生産性の向上: ユーザー アカウントや Office 365 ライセンスの割り当てを自動化し、重要なグループへのアクセスを提供できるようになります。 割り当ての自動化により、新しい社員は各自の業務ツールにすぐにアクセスできるため、生産性が向上します。
  • リスク管理: クラウド人事アプリとデータをやり取りし、社員の状態またはグループ メンバーシップに基づいて変更を自動化することで、セキュリティを強化できます。 変更を自動化すると、ユーザーが異動または退職したときに、ユーザーの ID と重要なアプリへのアクセスが自動的に更新されるようになります。
  • コンプライアンスとガバナンスへの対応: Azure AD は、ソース システムとターゲット システムの両方のアプリによって実行されるユーザー プロビジョニング要求のネイティブ監査ログをサポートします。 監査によって、誰がアプリにアクセスできるかを 1 つの画面から追跡できます。
  • コスト管理: 自動プロビジョニングを使用すると、手動プロビジョニングに関連した非効率性や人的エラーを回避することでコストが削減されます。 従来の陳腐化したプラットフォームを使用して、長らく構築されてきた、カスタム開発のユーザー プロビジョニング ソリューションを不要にします。

次のステップ