ライフサイクル ワークフローとは
ライフサイクル ワークフローは新しい Identity Governance 機能です。組織はこれを使用して、次の 3 つの基本的なライフサイクル プロセスを自動化することで、Microsoft Entra ユーザーを管理できます:
- 就職者: 個人がアクセスを必要とするスコープに入るとき。 たとえば、会社や組織に参加する新入社員です。
- 異動者: 個人が組織内の境界間を移動するとき。 この移動には、より多くのアクセスまたは認可が必要になる場合があります。 たとえば、マーケティングに所属していたユーザーが、営業組織のメンバーになった場合などです。
- 退職者: 個人がアクセスを必要とするスコープから外れるとき。 この移動には、アクセスの削除が必要になる場合があります。 たとえば、退職する従業員や解雇された従業員などです。
ワークフローには、ライフサイクルの遷移に合わせてユーザーに対して自動的に実行される特定のプロセスが含まれています。 ワークフローは、タスクと実行条件で構成されています。
タスクは、ワークフローがトリガーされたときに自動的に実行される特定のアクションです。 実行条件には、誰が影響を受けるかのスコープと、いつワークフローを実行するかのトリガーを定義します。 たとえば、新しい従業員の employeeHireDate
属性値の 7 日前にマネージャーにメールを送信することをワークフローとして記述できます。 構成は次のとおりです。
- タスク: メールを送信する。
- 誰が (スコープ): 新しい従業員。
- いつ (トリガー):
employeeHireDate
属性値の 7 日前。
自動ワークフローでは、ユーザー属性に基づいてトリガーをスケジュールします。 自動ワークフローのスコープを設定するには、ユーザーが所属する部署など、さまざまなユーザーおよび拡張属性を使うことができます。
ライフサイクル ワークフローによって、既存のロジック アプリを使ってより複雑なシナリオ用にワークフローを拡張するために、ロジック アプリ タスク機能と統合することもできます。
ライフサイクル ワークフローを使う理由
従業員の ID ライフサイクル管理プロセスをモダン化するには、次のことが確実に行われるようにする必要があります。
- ユーザーが組織に参加したときに、初日から準備が整っている。 必要な情報、グループのメンバーシップ、アプリケーションに対する適切なアクセス権が付与されている。
- さまざまな理由 (退職、離脱、休職、引退) で会社から離れたユーザーに対して、迅速にアクセスを取り消す。
- アクセスを付与したり取り消したりするプロセスが、管理者にとって過度の負担や時間がかからない。
- 管理者とその他の許可されているユーザーは問題のトラブルシューティングを簡単に行うことができ、ログがトラブルシューティング、監査、コンプライアンスに十分に役立つ。
ライフサイクル ワークフローを使用する主な理由は次のとおりです。
- タスクを簡素化および自動化する他のワークフローにより、人事主導のプロビジョニング プロセスを拡張します。
- ワークフロー プロセスを一元化して、ワークフローの作成と管理を 1 か所で簡単に行うことができるようにします。
- ワークフローの履歴と監査ログを使って、ワークフローのシナリオのトラブルシューティングを簡単に行います。
- 大規模なユーザー ライフサイクルを管理します。 組織が成長しても、ユーザーのライフサイクルの管理に必要な他のリソースは減ります。
- 手動タスクを減らすか排除します。
- ロジック アプリを適用し、既存のロジック アプリを使ってワークフローをさらに複雑なシナリオ用に拡張します。
これらの機能により、他の依存関係やアプリケーションを削除しても同じ結果を実現し、包括的なエクスペリエンスを確保できます。 その後、新入社員向けのオリエンテーションの際や、元従業員をシステムから削除する際の効率を高めることができます。
ライフサイクル ワークフローを使うタイミング
ライフサイクル ワークフローは、次のような条件に対応するために使用できます。
- ユーザーのオリエンテーションと人事プロビジョニングの自動化と拡張: 一時パスワードの生成やマネージャーへのメール送信などのタスクを自動化することで人事プロビジョニング シナリオを拡張する必要があるときに、ライフサイクル ワークフローを使います。 現在、オリエンテーションに手動プロセスを使っている場合は、自動化プロセスの一部としてライフサイクル ワークフローを使います。
- グループ メンバーシップの自動化: 組織内のグループが明確に定義されている場合は、これらのグループのユーザー メンバーシップを自動化することができます。 その利点と、動的グループとの相違点には次のようなものがあります。
- ライフサイクル ワークフローでは静的グループを管理し、動的グループ ルールは必要ありません。
- グループごとに 1 つのルールを使用する必要はありません。 ライフサイクル ワークフロー ルールは、グループではなく、ワークフローを実行する対象となるユーザーのスコープを決定します。
- ライフサイクル ワークフローは、動的グループでサポートされている属性を超えてユーザーのライフサイクルを管理するのに役立ちます。たとえば、
employeeHireDate
属性値までの特定の日数などです。 - ライフサイクル ワークフローを使うと、メンバーシップだけでなく、グループに対してアクションを実行できます。
- ワークフローの履歴と監査: ライフサイクル ワークフローは、ユーザーのライフサイクル プロセスの監査証跡を作成する必要がある場合に使います。 Microsoft Entra 管理センターを使うと、オリエンテーションと離脱のシナリオの履歴と監査を表示できます。
- ユーザー アカウント管理の自動化: ID ライフサイクル プロセスの重要な部分は、退職するユーザーのリソースに対するアクセスを確実に取り消すことです。 ライフサイクル ワークフローを使うと、ユーザー アカウントの無効化と削除を自動化できます。
- アクセス パッケージの割り当ての自動化: ライフサイクル ワークフローを使用して、ユーザーのアクセス パッケージの割り当てと削除を自動化できます。
- ロジック アプリとの統合: ロジック アプリを適用し、ワークフローをさらに複雑なシナリオ用に拡張できます。
ライセンス要件
この機能を使用するには、Microsoft Entra ID Governance または Microsoft Entra スイートのライセンスが必要です。 要件に適したライセンスを見つけるには、「Microsoft Entra ID ガバナンス ライセンスの基礎」をご覧ください。
ライフサイクル ワークフローを使うと、次のことができます。
- 合計 100 ワークフローまで作成、管理、削除できます。
- オンデマンドおよびスケジュールされたワークフロー実行をトリガーします。
- 既存のタスクを管理および構成して、ニーズに固有のワークフローを作成します。
- ワークフローで使用するカスタム タスク拡張機能を最大 100 個作成します。