Microsoft Entra ID Governance を使用して従業員とゲストのライフサイクルを管理する
Identity Governance により、組織は、生産性 (従業員が組織に加わったときなどに、必要なリソースへのアクセスできるようになるまでの時間) と セキュリティ (従業員の雇用形態の変更などによって、時間の経過に伴いアクセス権をどのように変更すべきか) とのバランスを取ることができます。
ID ライフサイクル管理
ID ライフサイクル管理は Identity Governance の基盤です。効果的なガバナンスを大規模に行うためには、アプリケーションの ID ライフサイクル管理インフラストラクチャの最新化が必要です。 ID ライフサイクル管理が目指すのは、組織に属する個人のデジタル ID ライフサイクル プロセス全体の自動化と管理です。
デジタル ID とは
デジタル ID は、1 つ以上のコンピューティング リソース (オペレーティング システムやアプリケーションなど) によって使用されるエンティティに関する情報です。 これらのエンティティは、人や組織、アプリケーション、デバイスを表す場合があります。 この ID は通常、それに関連付けられている属性 (名前や識別子など) とプロパティ (アクセス管理に使用されるロールなど) によって記述されます。 これらの属性は、システムで、だれが何にアクセスできるかや、だれがそのリソースの使用を許可されているかなどの判定を行うときに役立ちます。
デジタル ID のライフサイクル管理
デジタル ID の管理は複雑な作業です。デジタルな表現に、対応する実世界の物事 (組織の従業員としての人と組織との関係など) を関連付けるとなればなおさらです。 小規模な組織では、ID を必要とする個人のデジタル表現を維持することは、手動のプロセスになる可能性があります。 たとえば、だれかが採用されたり、請負業者が到着したりしたときは、IT スペシャリストがそのアカウントをディレクトリ内に作成し、必要なアクセス権を割り当てることができます。 一方、中規模および大規模な組織では、自動化を使用することで、スケーリングの効果を高め、ID を正確に管理することができます。
組織で ID ライフサイクル管理を確立するためのプロセスでは、通常、次のステップに従います。
記録システム (組織が信頼できるとして扱うデータ ソース) が既に存在するかどうかを判定します。 たとえば、組織に Workday や SuccessFactors などの人事システムがある場合、そのシステムが、従業員とそのプロパティ (従業員の名前や部署など) の一部の最新リストを提供する際の正式なものになります。 また、Exchange Online などのメール システムは、追加属性である従業員のメール アドレスに対して正式なものになったりします。
これらの記録システムを Microsoft Entra ID と接続し、Microsoft Entra ID の既存のユーザーとレコードのシステムの間の不整合を解決します。 たとえば、Microsoft Entra ID には、今は組織に所属していない元従業員のユーザー アカウントなど、現在使用されていないデータが設定されている可能性があります。
Microsoft Entra ID に適切なユーザーが割り当てられたら、アプリケーションで使用される 1 つ以上のディレクトリとデータベースに Microsoft Entra ID を接続し、それらのディレクトリと Microsoft Entra ID の記録データ システムのコピーとの間の不整合を解決します。 たとえば、過去に切断されたアプリケーションのディレクトリに、元従業員のアカウントなどの古いデータが存在する場合があります。
記録システムが存在しない場合に、どのようなプロセスを使用すれば信頼できる情報を提供できるかを確認します。 たとえば、ビジターのデジタル ID が存在するが、組織にはビジターのためのデータベースがない場合は、ビジターのデジタル ID がいつ必要なくなるかを判定するための代わりの方法を見つけることが必要になる可能性があります。
更新が必要なディレクトリまたはデータベースのそれぞれに対し、記録システムや他のプロセスから変更が Microsoft Entra ID を介してレプリケートされるようにします。
従業員や組織と関係がある個人を表現するための ID ライフサイクル管理
従業員や、組織との関係を持つその他の個人 (請負業者や学生など) のための ID ライフサイクル管理を計画する場合、多くの組織は "入社、異動、退社" を次のプロセスとしてモデル化します。
- 参加 - 個人がアクセス権が必要なスコープに入ると、用途ごとに ID が必要となるため、デジタル ID がまだ利用できない場合は、新たに作成する必要があります
- 移動 - 個人が境界を越えて移動するとき、新たなアクセスの認可をその個人のデジタル ID に追加したり、そこから削除したりする必要があります
- 離脱 - 個人がアクセス権が必要なスコープから離脱すると、アクセス権を削除する必要があり、その後は監査やフォレンジクス以外の用途では、その ID は不要になります
たとえば、組織に新しい従業員が入社し、その従業員は過去にその組織に所属したことのないとします。その場合、その従業員には、Microsoft Entra ID 内のユーザー アカウントとして表現された新しいデジタル ID が必要になります。 このアカウントの作成が "入社" プロセスに該当します。これは、新しい従業員の始業日時を指定できる記録システム (Workday など) があれば、自動化することができます。 その後、組織内で、ある従業員が営業からマーケティングに異動することになったとしましょう。これは "異動" プロセスに該当します。 この異動では、営業組織で持っていた (必要なくなった) アクセス権の削除と、マーケティング組織内の (新しく必要になった) アクセス権の付与が必要になります。
ゲストのための ID ライフサイクル管理
パートナー、サプライヤー、その他のゲストが共同作業を行ったり、リソースにアクセスしたりできるようにするために、追加の ID にも同様のプロセスが必要です。 Microsoft Entra エンタイトルメント管理では、組織のリソースへのアクセス権を必要とする組織外のユーザーと共同作業を行うために必要なライフサイクル管理が、Microsoft Entra 外部 ID 企業間 (B2B) を利用して実現されます。 Microsoft Entra B2B では、外部ユーザーは自分のホーム ディレクトリまたは ID プロバイダーに対して認証を行いますが、組織のディレクトリに表示されます。 組織のディレクトリに表示されることにより、ユーザーにリソースへのアクセスを割り当てることができます。 組織に属していない個人は、エンタイトルメント管理を通じてアクセス権をリクエストし、必要に応じて自分のデジタル ID を作成することができます。 ユーザーがアクセス権を失ったとき、それらのデジタル ID は自動的に削除されます。
ライセンス要件
この機能を使用するには、Microsoft Entra ID Governance または Microsoft Entra スイートのライセンスが必要です。 要件に適したライセンスを見つけるには、「Microsoft Entra ID ガバナンス ライセンスの基礎」をご覧ください。