Microsoft Entra ID Governance は、生産性を向上させ、セキュリティを強化し、コンプライアンスと規制の要件を満たすための ID ガバナンス ソリューションです。 適切なユーザーが適切なリソースに適切なアクセス権を持っていることを確認します。 ID とアクセス プロセスの自動化、ビジネス グループへの委任、可視性の向上を実現します。 ID とアクセスのリスクを軽減し、資産へのアクセスを保護、監視、監査します。 Microsoft Entra ID ガバナンスの ユース ケース とドキュメントの詳細について説明 します。
展開手法
ID ガバナンスに対する包括的なアプローチを確保するために、ID ライフサイクルに合わせたフェーズがあります。 ライフサイクルの自動化 は、ユーザーのオンボード、ロールの移行、オフボードのための自動化されたプロセスです。 ユーザーをリソースに割り当てるには、適切なリソースをユーザーに割り当て、エンタイトルメントとロールを統合する必要があります。 セキュリティで保護された特権アクセス は、アクセス制御と監視メカニズムを使用して特権アカウントを保護および管理するのに役立ちます。
このアプローチに合わせて、このガイドにはこの概要と 4 つのシナリオがあります。 各シナリオを確認するには、リンクを使用します。
- イントロダクション
- シナリオ 1: 従業員のライフサイクルの自動化
- シナリオ 2: 従業員のリソースへのアクセス権を割り当てる
- シナリオ 3: ゲストとパートナーのアクセスを管理する
- シナリオ 4: 特権 ID とそのアクセスを管理する
ほとんどのサービスは一般公開 (GA) 段階ですが、一部の機能またはサービスはパブリック プレビューの場合もあれば、GA より前の他の状態である場合もあります。 GA は、製品またはサービスがすべての顧客に対して公開されており、サービス レベル アグリーメント (SLA) の保証に基づくものであることを示します。 ライセンス情報については、次のセクションを参照してください。
ライセンス
Microsoft Entra ID ガバナンスは、Microsoft Entra ID の機能です。 デプロイを有効にするには、次の前提条件を確認します。
- Microsoft Entra ID を使用してアプリのアクセスを管理するには、テナントで次のいずれかのライセンスの組み合わせを使用します。
- Microsoft Entra ID ガバナンスとその前提条件である Microsoft Entra ID P1
- Microsoft Entra ID P2 とその前提条件である Microsoft Entra ID P2 または Enterprise Mobility + Security (EMS) E5 の Microsoft Entra ID ガバナンス ステップ アップ
- テナントで、管理対象ユーザー (非ゲスト) ごとにライセンスがあることを確認します。 アプリへのアクセスを要求するユーザーを含める、アクセスを承認する、またはアプリのアクセスを確認する。
- アプリケーションへのゲスト アクセスを管理するには、月次アクティブ ユーザー (MAU) 課金のサブスクリプションに Microsoft Entra テナントをリンクします
詳細については、「Microsoft Entra ID ガバナンス ライセンスの基礎」を参照してください。
Microsoft Entra ID と Microsoft Entra ID ガバナンスを構成する前に、前提条件について説明します。
参加モデル
タスクと成果物を完了するための役割別推奨参加モデル:責任者、説明責任者、相談相手、情報提供者 (RACI)。 このモデルを使用して、関係するロールが責任と目標を理解していることを確認します。
-
担当 - タスクを完了します
- 少なくとも 1 つの責任あるロールを割り当てますが、委任は可能です
-
アカウンタブル - 責任者が提供する作業の正確さと完了について責任を負う
- アカウンタブル ロールはタスクを委任し、タスクの前提条件が満たされていることを確認します
- タスクまたは成果物ごとに 1 つのアカウンタブル ロールを割り当てる
- 相談された - 個人の専門知識からのガイダンスや主題専門家(SME)による指導を提供します
- 通知 - タスクまたは成果物の完了に関する定期的な更新プログラムを受け取ります
利害関係者
利害関係者は、プロジェクトの成功に関心を持ち、影響を与えます。 次の表に、Microsoft Entra ID ガバナンス展開の利害関係者の役割と責任の例を示します。
| 役割 | 専門知識 | 役割 |
|---|---|---|
| IT 管理者 | システム管理 | ユーザー アカウントの管理、システムの正常性の維持、技術的な問題のトラブルシューティング |
| ビジネス アナリスト | 要件と分析 | ビジネス要件の収集、ワークフローの分析、ソリューションが組織のニーズを満たしていることを確認する |
| 最終利用者 | システムの使用状況 | システムを意図したとおりに使用し、パフォーマンスと使いやすさに関するフィードバックを提供する |
通信プラン
コミュニケーション計画は、利害関係者と積極的にやり取りし、期待を管理するのに役立ちます。
- 利害関係者へのコミュニケーションの目的と頻度を定義する
- 情報を共有するメカニズムを用いて通信を作成し配布する人物を特定する
- 展開計画と状態に関する関連情報を提供する
- ユーザー エクスペリエンスの今後の変更と、ユーザーがサポートを受ける方法について説明する
スケジュール
プロジェクトは、予算と時間の制約内で予想される結果を達成した場合に成功します。 そのため、日付、四半期、または年で結果の目標を特定します。 結果の目標を定義するマイルストーンに関する合意のために利害関係者と協力します。 各目標の成功を明確にします。 Microsoft Entra ID ガバナンスとその他の Microsoft サービスは継続的な開発を行っているため、要件を機能開発ステージにマップします。 重要なマイルストーンを満たすためにコンティンジェンシー計画を使用して現実的な期待を設定します。
- 概念実証 (PoC)
- パイロット日付
- 起動日
- 配信に影響する日付
- 依存関係
Microsoft Entra ID ガバナンスの詳細を確認します。
プロジェクト スケジュールで次の手順を実行します。
- 後続のデプロイウェーブに基づいて、日付、依存関係、クリティカル パスを含む作業の内訳構造:
- 予想されるサポート負荷に基づいて、各デプロイ ウェーブの最大ユーザー数
- 各月曜日のウェーブなど、各デプロイ ウェーブの時間枠
- 各ウェーブのユーザー グループが最大値を超えないようにする
- ユーザーが必要とするアプリ
- タスクに割り当てられたチーム メンバー
テストとロールバック
予期しないシナリオまたは未テストのシナリオは、ユーザーに悪影響を与える可能性があります。 次の処理を行うプロセスを作成します。
- テスト シナリオ
- ユーザーが問題を報告できるようにする
- デプロイをロールバックする
- 問題の原因を評価します。
- 修復を特定する
- 利害関係者とコミュニケーションを取る
- 新しい構成をテストする
評価と検出
評価と検出により、Microsoft Entra ID ガバナンスを展開する前に、ID ガバナンスの現在の状態を理解できます。 現在の ID ガバナンス ソリューションのインベントリを作成します。 ギャップと非効率性を特定します。
- 現在の状態を特定 する - ID ガバナンスの統合、ポリシー、ワークフロー、データ フロー、アプリを文書化します。 エッジ ケースまたはカスタム ワークフローを決定します。
- ソリューションを理解する - Microsoft Entra ID ガバナンス アーキテクチャの調査と理解
- 利害関係者の連携を維持 する - チーム全体の利害関係者を特定して調整します。 目標とタイムラインに関する合意を確保します。
評価と検出の詳細については、Microsoft Entra ID ガバナンスを安全に展開するためのベスト プラクティスを参照してください
データ コレクション
正確なベースラインを確立するために、現在の ID ガバナンス構成データを収集します。
- ユーザー プロビジョニング ワークフロー - プロビジョニング ルール、コネクタ、ビジネス プロセス、ユース ケース
- Joiner、Mover、Leaver - Joiner のオンボーディング、Mover のプロセス、Leaver のオフボーディング
- エンタイトルメントとロール - 現在のリソース、エンタイトルメント、ロール、その構造、割り当て
- アクセス レビュー - アプリ、アクセス パッケージ、またはグループのユーザー、グループ、レベルのアクセス レビュー シナリオを計画する
- Privileged Identity Management (PIM) - アクティブ化ルール、承認ワークフロー、ロールの適格性をレプリケートする
-
重要なアプリと統合 - 現在のソリューションと統合されたアプリとシステム
- 組織のニーズとリスクに基づいて移行の優先順位を文書化する
ライフサイクルの自動化: レコードの ID ソース
人事システム、またはユーザー プロビジョニングのレコードのソース (信頼のソース) を特定します。 ほとんどの組織では、クラウド人事ソリューションを使用しています。
- 勤務日
- SAP SuccessFactors
- Oracle HCM
- 波打つ
- API 駆動型プロビジョニングを使用する他のユーザー
ユーザー プロビジョニング ターゲットと、HR クラウド アプリへの書き戻しの必要性を確認します。
- Active Directory へのユーザーのプロビジョニング - クラウド人事アプリから Active Directory ドメインにユーザー セットをプロビジョニングする
- クラウド専用ユーザーを Microsoft Entra ID にプロビジョニングする - Active Directory が使用されていない場合は、クラウド人事アプリから Microsoft Entra ID にユーザーをプロビジョニングします
- クラウド人事アプリに書き戻す - Microsoft Entra のメール アドレスとユーザー名属性をクラウド人事アプリに書き込む
オンプレミスの Active Directory Domain Services (AD DS) コネクタと Microsoft Entra ID コネクタを使用できます。 トポロジは、マッピングと要件によって異なります。
Microsoft Entra Connect プロビジョニング エージェントの詳細を確認します。
Microsoft Entra ユーザー プロビジョニングへのクラウド人事アプリケーションを計画できます。
プロビジョニングの定義
Active Directory トポロジ (該当する場合):
- ディレクトリ構造を評価する - Active Directory 環境内の組織単位、フォレスト、ドメインを理解する
- 同期の計画 - 特定の組織単位またはディレクトリを同期します。 スケーラビリティ、冗長性、レプリケーションの待機時間を考慮してください。
- ハイブリッド シナリオを確認し、Microsoft Entra Connect が最適化されていることを確認する - 個別の信頼を持つフォレストの場合は、Microsoft Entra Cloud Sync の使用を評価します
事前プロビジョニング タスク
組織に複数の 受信ソースがある場合は、ユーザー データ ソースを特定します。
- HR システム
- アイデンティティ ストア
- 社内 ID リポジトリ
ソースに正確な情報があることを確認します。 移行前に、監査または評価を実行して、データのクリーンアップが必要かどうかを判断できます。
ユーザー レコードを識別し、ターゲット システム内の対応するアカウントとリンクする属性を選択します。 一般的に使用される既定の一致属性はEmployeeIDであり、組織全体で使われています。 ただし、使用する属性は決めます。
プロビジョニングの場合は、 ソース オブジェクトのスコープを定義します。 パフォーマンスを向上させるために、ウェーブでユーザーをプロビジョニングし、不要なデータを除外できます。
属性の 計算を計画します。 長い文字列、特殊文字を処理するか、一意のユーザー名を選択します。 式を使用して計算を行います。
詳細については、Microsoft Entra アプリ プロビジョニングでの属性マッピングの式の記述に関するページを参照してください。
プロビジョニングの構成
Workday、SuccessFactors、Oracle Human Capital Management (HCM)、Rippling などのクラウド人事システム統合に関するガイダンスを使用できます。 もう 1 つのオプションは、API 駆動型プロビジョニングを使用することです。 ガイダンスについては、次の表を参照してください。
| 人事情報源 | 統合ガイダンス |
|---|---|
| 勤務日 | Microsoft Entra ID と Workday の統合 |
| SAP SuccessFactors | Microsoft Entra ID と SAP SuccessFactors の統合 |
| Oracle HCM | Microsoft Entra ID と Oracle HCM の統合 |
| 波打つ | Rippling から Microsoft Entra ID に ID を同期する |
| その他の API 駆動型ソース | API 主導の受信プロビジョニングの概念 |
API 駆動型のプロビジョニング
API 主導の受信プロビジョニングを計画する場合は、ユース ケースとアプローチを検討してください。 詳細については、次のビデオを参照してください。
API エンドポイント
/bulkUpload API エンドポイントは、Microsoft Entra ID でユーザーを管理できる方法の数を拡張します。 /bulkUpload API エンドポイントが統合シナリオに適しているかどうかを判断します。
API 主導の受信ラーニング パスの詳細を確認します。
加入、移動、退職 ワークフロー
Microsoft Entra ID へのユーザー プロビジョニングの場合は、資格情報のプロビジョニング、初回サインイン、ユーザーの移動、終了などのオンボード要件を文書化します。 プロセスが組織のポリシーと規制に準拠していることを確認します。
Microsoft Entra ID ライフサイクル ワークフロー、エンタイトルメント管理、アクセス レビューは、複数の要件に対応します。
- 各ユーザーの正しいアクセス権
- アクセス権を持つユーザー アクション
- アクセス管理の制御
- 監査者による検証可能な制御
- ユーザー向けの環境の準備
- 適時のアクセス権削除が必要な場合
一部のワークフローは、 employeeHireDate や employeeLeaveDateTime などの時間値でトリガーされます。
ライフサイクル ワークフローの属性を同期できます。
次の一覧は、定義済みのライフサイクル ワークフロー タスクを示しています。 他のユーザーを有効にすることができます。
- シナリオを決定する
- 誰に対して、いつ行うかを決定する
- タスクの確認と追加
- ワークフローを作成する
- パイロットテストの実施、運用、及び評価
ライフサイクル ワークフローのデプロイを計画する方法について説明します。
アプリのプロビジョニングとオンボーディング
他のターゲット システムを決定するには、IT サービス管理 (ITSM)、プライベート/オンプレミス アプリ、サービスとしてのソフトウェア (SaaS) アプリなど、ユーザー プロビジョニングが必要です。 次の表のガイダンスを使用します。
| ターゲット システム | 方法 | 指導 |
|---|---|---|
| 情報技術サービス管理 (ITSM) | - 自動化されたアプリ ユーザー プロビジョニング - ライフサイクル ワークフローカスタム拡張機能: API、プライベート/オンプレミス システム |
-
自動アプリ ユーザー プロビジョニング - ワークフローの拡張性 |
| プライベート/オンプレミス アプリ | - Extensible Connectivity Management Agent (ECMA) ホスト - ライフサイクル ワークフローカスタム拡張機能 |
-
Microsoft Entra のオンプレミス アプリ プロビジョニング アーキテクチャ - ワークフローの拡張性 |
| Microsoft Entra ID と統合されたサービスとしてのソフトウェア (SaaS) アプリ | 自動アプリ ユーザー プロビジョニング | 自動アプリ ユーザー プロビジョニング |
一般的なタスク
通知メールやチームに追加されたユーザーなど、ユーザーのオンボードを自動化するための一般的なタスクを確認します。 多くのタスクでは、ライフサイクル ワークフロー タスクを使用できます。 タスク セットは、ライフサイクル ワークフローを使用してリソースの割り当てと承認を処理します。
最初のユーザー サインイン
資格情報のプロビジョニングと配布のプロセスを定義します。 ライフサイクル ワークフローを使用して、セキュリティ ポリシーに合わせてトリガー時に一時的なアクセス パス (TAP) を生成します。
たとえば、従業員の雇用日に TAP を生成し、ユーザー マネージャーに送信します。 マネージャーは TAP を共有し、新入社員は FIDO2 やパスワードレス電話によるサインインなどのパスワードレス認証方法を設定できます。 Microsoft Authenticator を使用して、パスワードなしでサインインを有効にすることができます。
TAP ユーザーは、デバイスへの参加のために Windows 10 と 11 のセットアップに移動し、Windows Hello for Business を構成します。 TAP を使用して Windows Hello for Business を設定する方法は、デバイス参加状態によって異なります。
また、カスタム タスク拡張機能を作成して、初期資格情報を配信することもできます。 一般的な組み込みのオンボーディング タスク:
- 選択したグループからユーザーを追加する
- 選択したチームからのユーザーの追加 *ユーザー アカウントを有効にする
- ユーザー アクセス パッケージの割り当てを削除する
- マネージャー通知メールを送信する
- カスタム タスク拡張機能を実行する
Mover のシナリオ
ライフサイクル ワークフローを使用して Mover ジョブ プロファイルの変更を自動化します。 たとえば、Mover シナリオでは、スケジュールされたワークフローを実行してマネージャーに電子メールで通知し、ユーザーをグループに追加します。
ユーザー属性またはグループ メンバーシップを変更してタスクをトリガーします。
Leaver シナリオ: ユーザー退職手続き
退職手続きとアクセスの終了は、自動化できる重要なセキュリティタスクです。 ライフサイクル ワークフローを使用して、 employeeLeaveDateTime を使用してアクセスを削除します。 次のようなタスクをトリガーします。
- 選択したグループからユーザーを削除する
- チームからユーザーを削除する
- ユーザー アカウントを無効にする
- グループからユーザーを削除する
- ユーザー ライセンスを削除する
- ユーザー アカウントの削除
- アクセス パッケージの割り当てを終了する
ライフサイクル ワークフローのタスクと定義の詳細について説明します。
進行中の操作
次の一覧には、メンテナンス、トラブルシューティング、レポートなど、一般的な運用タスクに関するドキュメントへのリンクがあります。
- 必要に応じてワークフローを実行する
- ワークフロー タスクからメールをカスタマイズする
- ワークフロー履歴レポートのダウンロード
- ライフサイクル ワークフローの状態を確認する
- ワークフロー スケジュールをカスタマイズする
- ライフサイクル ワークフローを使用して Active Directory Domain Services (AD DS) から同期されたユーザーを管理する
- Workflow Insights を使用してワークフローの実行を確認する
- カスタム セキュリティ属性を使用してワークフローのスコープを設定する
ベスト プラクティスと推奨事項
ベスト プラクティスは、時間の経過に伴って、より高品質の結果を提供するのに役立つテスト済みの方法または手法です。
リソース アクセスを割り当てるときにセキュリティ プロトコルとガイドラインに従う
AD へのグループ プロビジョニングを有効にして、オンプレミスの AD グループ アプリケーションとリソースへのアクセスを制御する
自動割り当てポリシーを使用して割り当てとその削除を効率化する
- Microsoft Entra エンタイトルメント管理ルールとガバナンス サービスの制限との整合性を確保する
アクセス許可を管理するには、ユーザー アクセス パッケージの割り当てを要求します。 承認プロセスの場合は、[管理者の直接割り当てに ポリシー承認を適用 する] を選択します。
ユーザー ロールの変更を反映するには、アクセス パッケージを評価して更新します
ライフサイクル ワークフローの一般的なタスク (通知メールの送信、チームへのユーザーの追加) を自動化します。
- 組み込みのタスクにより、ユーザーオンボーディングの効率と精度、リソースの割り当て、承認プロセスが強化されます
ユーザーのオンボード時にパスワードなしの資格情報を使用する
Microsoft Entra ID ガバナンスには、次の 2 つのオプションを検討してください。
- Big Bang: すべてのユーザーを一度に読み込みます。 組織のサイズとオブジェクト数は処理時間に影響します。 このプロセスには数日かかる場合があります。
- 段階的: ユーザーをウェーブにデプロイします。 複雑さと重要度は、処理期間に影響します。 より安全であると見なされますが、このプロセスには時間がかかる場合があります。
次のステップ
Microsoft Entra ID ガバナンス展開ガイド:
- Microsoft Entra ID ガバナンス展開ガイドの概要
- シナリオ 1: 従業員のライフサイクルの自動化
- シナリオ 2: 従業員のリソースへのアクセス権を割り当てる
- シナリオ 3: ゲストとパートナーのアクセスを管理する
- シナリオ 4: 特権 ID とそのアクセスを管理する