ID プロビジョニングとは

  • [アーティクル]

今日、ビジネスや企業ではますます、オンプレミスのアプリケーションとクラウド アプリケーションが混在して使用されるようになっています。 ユーザーは、オンプレミスおよびクラウドの両方のアプリケーションへのアクセス権を必要とします。 そうしたさまざまな (オンプレミスとクラウドの) アプリケーションの垣根を越えた単一の ID が必要です。

プロビジョニングは、特定の条件に基づいてオブジェクトを作成し、それを最新の状態に維持すると共に、その条件を満たさなくなったら削除するプロセスです。 たとえば、新しいユーザーが組織に加わると、そのユーザーは人事システムに入力されます。 その時点で、クラウドや Active Directory、さらに、ユーザーがアクセスする必要のあるさまざまなアプリケーションには、プロビジョニングを通じて対応するユーザー アカウントを作成することができます。 そうすることで、ユーザーは出社したその日から仕事に着手し、必要なアプリケーションやシステムにアクセスすることができるのです。

Diagram that shows cloud provisioning with Microsoft Entra ID.

Microsoft Entra ID に関して言えば、プロビジョニングは大きく次のシナリオに分けることができます。

人事主導のプロビジョニング

Diagram that shows HR-driven provisioning with Cloud HR, On-premises HR, and Microsoft Entra ID.

人事からクラウドへのプロビジョニングには、人事システム内の情報に基づいてオブジェクト (ユーザー、ロール、グループなど) を作成することが含まれます。

最も一般的なシナリオは、新しい従業員が会社に加わったときの、それらの従業員の人事システムへの入力です。 その後、ユーザーはクラウドにプロビジョニングされます。 この場合は、Microsoft Entra ID です。 人事からのプロビジョニングで生じうるシナリオは次のとおりです。

  • 新しい従業員の雇用 - クラウド HR に新しい従業員が追加されると、Active Directory、Microsoft Entra ID、必要に応じて Microsoft 365 や Microsoft Entra ID によってサポートされているその他の SaaS アプリケーションでユーザー アカウントが自動的に作成され、メール アドレスが クラウド HR に書き戻されます。
  • 従業員の属性とプロファイルの更新 - クラウド HR で従業員レコード (名前、役職名、マネージャーなど) が更新されると、Active Directory、Microsoft Entra ID、必要に応じて Microsoft 365 や Microsoft Entra ID によってサポートされているその他の SaaS アプリケーションでユーザー アカウントが自動的に更新されます。
  • 従業員の退職 - クラウド HR で従業員が退職状態になると、Active Directory、Microsoft Entra ID、必要に応じて Microsoft 365 や Microsoft Entra ID によってサポートされているその他の SaaS アプリケーションでユーザー アカウントが自動的に無効になります。
  • 従業員の再雇用 - クラウド HR で従業員が再雇用されると、Active Directory、Microsoft Entra ID、必要に応じて Microsoft 365 や Microsoft Entra ID によってサポートされているその他の SaaS アプリケーションに以前のアカウントが (設定に応じて) 自動的に再アクティブ化または再プロビジョニングされます。

アプリ プロビジョニング

Diagram that shows App provisioning with On-premises apps, Non-Microsoft cloud apps, and Microsoft Entra ID.

Microsoft Entra ID において、アプリのプロビジョニングという用語は、ユーザーがアクセスする必要があるクラウド アプリケーション内にユーザーの ID とロールを自動的に作成することを意味します。 自動プロビジョニングには、ユーザー ID の作成に加えて、状態または役割が変化したときのユーザー ID のメンテナンスおよび削除が含まれます。 一般的なシナリオには、DropboxSalesforceServiceNow などのアプリケーションへの Microsoft Entra ユーザーのプロビジョニングが含まれます。

ディレクトリのプロビジョニング

cloud provisioning

オンプレミス プロビジョニングには、オンプレミス ソース (Active Directory など) から Microsoft Entra ID へのプロビジョニングが含まれます。

最も一般的なシナリオは、Active Directory (AD) 内のユーザーが Microsoft Entra ID にプロビジョニングされるケースです。

これは Microsoft Entra Connect 同期と Microsoft Entra Connect クラウド プロビジョニング、Microsoft Identity Manager によって実現されています。

次のステップ