ソリューション
この記事では、次のことを可能にするソリューションについて説明します。
- ID をレコードのシステムに接続する
- Active Directory Domain Services (AD DS) と Microsoft Entra ID の間で ID を同期する
- Microsoft 以外のアプリケーションへのユーザーのプロビジョニングを自動化する
ほとんどの設計では、人事 (HR) システムは、新しく作成されたデジタル ID の権限ソースです。 多くの場合、人事システムは、多くのプロビジョニング プロセスの開始点です。 たとえば、新しいユーザーが会社に入社すると、人事システム内にレコードが作成されます。 そのユーザーには、Teams や SharePoint などの Microsoft 365 サービスまたは Microsoft 以外のアプリケーションにアクセスするためのアカウントが必要になる可能性があります。
Microsoft Entra プロビジョニング サービスを使うと、組織は、一般的な人事システム (例: Workday や SuccessFactors) から Microsoft Entra ID に直接、または AD DS に、ID を取り込むことができます。 このプロビジョニング機能により、新入社員は勤務の初日から必要なリソースにアクセスできます。
従業員 ID の完全なユーザー プロファイルを作成するために、組織は多くの場合、複数の人事システム、データベース、その他のユーザー データ ストアからの情報をマージします。 MIM により、オンプレミスとクラウドの両方で異種プラットフォームと相互運用できる豊富なコネクタと統合ソリューションのセットが提供されます。
MIM には、複数のソースからのデータ変換と統合を必要とする高度なシナリオ向けの機能として、ルール拡張機能とワークフロー機能が用意されています。 これらのコネクタ、ルール拡張機能、ワークフロー機能を使用すると、組織は MIM メタバース内のユーザー データを集計して、ユーザーごとに 1 つの ID を形成できます。 ID は、AD DS などのダウンストリーム システムにプロビジョニングできます。
顧客がアプリケーションをクラウドに移行し Microsoft Entra ID と統合する際は、多くの場合、Microsoft Entra ID のアカウントと、作業用のアプリケーションにアクセスするための Microsoft Windows Server Active Directory が必要です。 ここでは、Microsoft Windows Server Active Directory と Microsoft Entra ID の間でオブジェクトを同期する必要がある、5 つの一般的なシナリオを示します。
シナリオは、必要な同期の方向によって分割され、1 から 5 までリストされています。 シナリオの後にある表を使用して、同期を提供する技術ソリューションが何であるかを確認できます。
次の 2 つのセクションにある番号付きセクションを使用して、その後の表を相互参照します。
AD DS から Microsoft Entra ID に ID を同期する
Microsoft Windows Server Active Directory 内のユーザーが Office 365、または Microsoft Entra ID に接続された他のアプリケーションにアクセスする必要がある場合は、Microsoft Entra Connect のクラウド同期が、調査すべき最初のソリューションです。 これにより、Microsoft Entra ID でユーザーを作成し、パスワードのリセットを管理し、グループを同期するための、軽量のソリューションが提供されます。 構成と管理は主にクラウドで行われ、オンプレミスの占有領域は最小限に抑えられます。 これにより高可用性と自動フェールオーバーが提供され、オンプレミス サーバーに問題がある場合でも、パスワードのリセットと同期が確実に続行されます。
大規模 (メンバー数が 50,000 を超える) グループの同期やデバイス同期など、Microsoft Windows Server Active Directory から Azure AD への複雑で大規模な同期を行う必要がある場合は、Microsoft Entra Connect 同期を使用します。
Microsoft Entra ID から AD DS に ID を同期する
お客様が ID 管理をクラウドに移行するにつれて、より多くのユーザーとグループが Microsoft Entra ID 内に直接作成されます。 ただし、さまざまなリソースにアクセスするには、引き続き AD DS にオンプレミスのプレゼンスが必要です。
パートナー組織の外部ユーザーが B2B を使って Microsoft Entra ID 内に作成されると、MIM で自動的にそれらのユーザーを AD DS にプロビジョニングし、それらのゲストにオンプレミスの Windows 統合認証または Kerberos ベースのアプリケーションへのアクセスを許可できます。 または、お客様は PowerShell スクリプトを使用して、オンプレミスのゲスト アカウントの作成を自動化することもできます。
Microsoft Entra ID 内に作成されたグループは、Microsoft Entra Connect 同期を使って AD DS に自動的に同期できます。
ユーザーが、従来のアクセス プロトコル (LDAP、Kerberos/NTLM など) にまだ依存しているクラウド アプリへのアクセスを必要とする場合、Microsoft Entra Domain Services によって Microsoft Entra ID とマネージド型 Microsoft Windows Server Active Directory ドメインの間で ID が同期されます。
| いいえ。 | 対象 | ソース | 終了 | テクノロジ |
|---|---|---|---|---|
| 1 | ユーザー、グループ | AD DS | Microsoft Entra ID | Microsoft Entra Connect クラウド同期 |
| 2 | ユーザー、グループ、デバイス | AD DS | Microsoft Entra ID | Microsoft Entra Connect 同期 |
| 3 | グループ | Microsoft Entra ID | AD DS | Microsoft Entra Connect 同期 |
| 4 | ゲスト アカウント | Microsoft Entra ID | AD DS | MIM、PowerShell |
| 5 | ユーザー、グループ | Microsoft Entra ID | マネージド型 Microsoft Windows Server Active Directory | Microsoft Entra Domain Services |
この表は、一般的なシナリオと推奨されるテクノロジを示しています。
HR プロビジョニング、Microsoft Entra Connect クラウド同期、または Microsoft Entra Connect 同期によって ID が Microsoft Entra ID 内に存在するようになった後、従業員はその ID を使って Teams、SharePoint、Microsoft 365 アプリケーションにアクセスできます。 ただし、従業員は作業を実行するために、さらに多くの Microsoft アプリケーションにアクセスする必要があります。
Microsoft Entra ID は、クロスドメイン ID 管理システム (SCIM) (SCIM 2.0) 標準をサポートしており、Dropbox や Atlassian など一般的な数百種のサービスとしてのソフトウェア (SaaS) アプリケーションや、アマゾン ウェブ サービス (AWS)、Google Cloud などの他のクラウドと統合されています。 アプリケーション開発者は、クロスドメイン ID 管理システム (SCIM) のユーザー管理 API を使って、Microsoft Entra ID とアプリケーションの間のユーザーとグループのプロビジョニングを自動化できます。
Microsoft Entra ID では、事前に統合されたギャラリー アプリケーションに加えて、オンプレミスとクラウドのどちらでホストされているかにかかわらず、SCIM 対応の基幹業務アプリケーションへのプロビジョニングがサポートされています。 Microsoft Entra のプロビジョニング サービスによって、これらのアプリケーションにユーザーとグループが作成され、ユーザーが昇進したときや退職したときなどの更新が管理されます。
多くのアプリケーションでは SCIM 標準がサポートされておらず、それらに接続するために、お客様はこれまで MIM 用に開発されたコネクタを使用していました。 Microsoft Entra のプロビジョニング サービスでは、MIM 用に構築されたコネクタの再利用がサポートされており、MIM の同期デプロイは必要ありません。 これにより、さまざまなオンプレミスおよび SaaS アプリケーションへの接続が可能になります。
| Protocol | コネクタ |
|---|---|
| LDAP | LDAP |
| SQL | SQL |
| REST | Web サービス |
| 簡易オブジェクト アクセス プロトコル (SOAP) | Web サービス |
| フラット ファイル | PowerShell |
| Custom | カスタム ECMA コネクタ |
Microsoft Entra ID と、メインフレーム、人事システム、レガシ データベースなどのさまざまなシステムとの間でユーザーを同期できる SCIM ゲートウェイが、Microsoft パートナーによって開発されています。 次の図では、SCIM ゲートウェイはパートナーによって構築および管理されています。
パートナー主導の統合の詳細
多くのアプリケーションが使用するローカル認証ストアと UI は、ユーザーが提供した資格情報をそのストアに対してチェックするのみです。 その結果、これらのアプリケーションは Microsoft Entra ID を介した多要素認証 (MFA) をサポートできず、セキュリティ上のリスクが発生します。 Microsoft では、すべてのアプリケーションで、シングル サインオンと多要素認証を有効にすることを推奨しています。 Microsoft の調査によると、多要素認証 (MFA) を使用した場合、アカウントが侵害されるリスクは 99.9% 以上低下します。 ただし、アプリケーションで認証を外部化できない場合、お客様は MIM を使用して、これらのアプリケーションにパスワードの変更を同期できます。
MIM を使用すると、ジョブ コードや場所などの組織データをインポートできます。 その情報を使用して、そのユーザーのアクセス権を自動的に設定できます。
ユーザーが Microsoft Entra ID にプロビジョニングされた後、ライフサイクル ワークフロー (LCW) を使って、参加者、異動者、離脱者などユーザーのライフサイクルの重要な時点での適切なアクションを自動化します。 これらのカスタム ワークフローを Microsoft Entra LCW によって自動的にあるいはオンデマンドでトリガーし、アカウントの有効化または無効化、一時アクセス パスの生成、Teams またはグループのメンバーシップ更新、自動メールの送信、ロジック アプリのトリガーを行うことができます。 これにより、組織は次のことが確実になります。
就職者: ユーザーが組織に参加したときに、初日から準備が整っている。 必要な情報とアプリケーションに対する適切なアクセス権が付与されている。 業務を行うために必要なハードウェアが用意されている。
退職者: さまざまな理由 (退職、離脱、休職、引退) で会社から離れたユーザーに対して、適時にアクセスを取り消す。
Microsoft Entra のライフサイクル ワークフローの詳細
注意
LCW が対応していないシナリオの場合、お客様はロジック アプリケーションの拡張性を利用できます。
組織では、多くの場合、規制の対象となるデータを含むアプリケーションにアクセスできるユーザーの完全な監査証跡が必要です。 監査証跡を取得するには、ユーザーに直接提供されるアクセスは、レコードのシステムを通じてトレース可能である必要があります。 MIM には、ターゲット システムで直接行われた変更を検出し、変更をロールバックするための調整機能が用意されています。 MIM を使用すると、ターゲット アプリケーションでの変更を検出するだけでなく、サードパーティ製アプリケーションから Microsoft Entra ID に ID をインポートすることもできます。 多くの場合、これらのアプリケーションにより、人事システムで作成されたユーザー レコードのセットが拡張されます。
- Microsoft Entra アプリ ギャラリーに存在し、SCIM、SQL、または LDAP をサポートしている任意のアプリケーションで、プロビジョニングを自動化します。
- AD DS と Microsoft Entra ID の同期について Microsoft Entra Connect クラウド同期を評価します
- 複雑なプロビジョニング シナリオに Microsoft Identity Manager を使用する