ライフサイクル ワークフローを使用して Active Directory Domain Services から Microsoft Entra ID に同期されたユーザーの管理
ライフサイクル ワークフローは、Active Directory Domain Services (AD-DS) から Microsoft Entra ID に同期されるユーザー アカウントの ID ライフサイクルの管理を支援します。 ライフサイクル ワークフローでは、Microsoft Entra ID にユーザー アカウントが存在することが不可欠ですが、ユーザー アカウントのワークフローと関連タスクの処理に関しては、アカウントがどのように作成されたか、またはライフサイクルに関連する変更がアカウントに対してどのように行われたかは重要ではありません。 人事主導のプロビジョニング、Microsoft Graph API、Microsoft Entra 管理ポータルなどのオプションを介して行われたアカウントや変更、および Microsoft Entra Connect や Microsoft Cloud Sync で同期された変更がサポートされます。
次の表に、Microsoft Entra ID ガバナンスを使用して AD DS から同期されたユーザーの一般的な自動化シナリオを示します。
| シナリオを自動化する | Microsoft Entra ID ガバナンス ソリューション |
|---|---|
| Active Directory Domain Services におけるユーザー アカウントの作成 | 人事主導のプロビジョニング |
| ユーザー アカウントの初回資格情報またはパスワードの提供 | "一時アクセス パスを生成してユーザーのマネージャーにメールで送信する" タスクを使用して、パスワードレスの資格情報を設定できます。 通常の Active Directory パスワードを設定する場合は、Microsoft Entra のセルフサービス パスワード リセットを使用できます。 |
| ライセンスの割り当て | [ユーザーにライセンスを割り当てる] ライフサイクル ワークフロー タスクを使用してライセンスを割り当てることができます。 また、グループを介してユーザーにライセンスを割り当てることもできます。 |
| Active Directory グループ ベースのアプリケーションへのアクセス権をユーザーに付与する | オンプレミスの Active Directory (Kerberos) アプリケーション アクセスを管理する |
| 組織の移動時に Active Directory のユーザー属性を更新する | スコープ フィルターと属性マッピングの計画 |
| 組織の移動時にユーザーを別の OU に移動する | Active Directory OU コンテナーの割り当てを構成する |
| 最終日にユーザーを無効にする | [ユーザー アカウントを無効にする] ライフサイクル ワークフロー タスクを使用して、ユーザー アカウントをその最終日に無効にすることができます。 |
| 設定した終了後日数でユーザーを削除する | [ユーザーの削除] ライフサイクル ワークフロー タスクをワークフロー テンプレート内で使用して、ユーザーの終了から設定日数経過後にそのユーザーを削除できます。 |
この記事では、AD-DS から Microsoft Entra ID に同期されたユーザー アカウントにライフサイクル ワークフローを使用する場合に考慮すべき点について説明します。
Active Directory Domain Services (AD DS) から Microsoft Entra ID に同期されたユーザーでのワークフロー実行条件
ライフサイクル ワークフローは、ワークフロー実行条件を満たしたときにユーザー アカウントに対して処理されます。 実行条件は、トリガーとスコープで構成されます。 トリガーは、ユーザー アカウントで発生するイベントを記述します。 スコープを使用することで、イベントの発生タイミングとワークフローを実行する対象ユーザーを詳細に定義できます。
ワークフロー トリガー
次の表は、AD DS から同期されたユーザーで使用される場合に、各ワークフロー トリガーで考慮すべき点を示しています。
| ワークフロー トリガー | 要件 |
|---|---|
| 属性の変更 | 属性が同期されている限り、それ以上の構成は必要ありません。 同期された属性については、「Microsoft Entra クラウド同期での属性のマッピング」および「Microsoft Entra Connect Sync: ディレクトリ拡張機能」を参照してください。 Active Directory に変更が行われた場合、ライフサイクル ワークフローから変更を取り込む前に、Microsoft Entra クラウド同期または Microsoft Entra Connect 同期による同期を行う必要があります。 |
| グループ メンバーシップ ベース | あらゆる種類のグループをサポートするため、それ以上の構成は必要ありません。 グループが Active Directory に由来する場合は、Microsoft Entra に同期する必要があります。 Microsoft Entra Cloud Sync または Microsoft Entra Connect Sync は、ライフサイクル ワークフローから変更を取り込む前に同期を行う必要があります。 |
| オンデマンド | それ以上の構成は必要ありません。 |
| 時間ベース | employeeHireDate、employeeLeaveDateTime: これらの属性は使用する前に同期する必要があります。 このプロセスの詳細については、「ライフサイクル ワークフローの属性を同期する方法」を参照してください。 createdDateTime: それ以上の構成は必要ありません。 この日付は、ユーザー アカウントが Active Directory 内で作成された日ではなく、Microsoft Entra ID に同期された日です。 |
ワークフローのスコーピング
ワークフローのスコーピング機能内で使用されるユーザー属性については、選択された属性が既に同期されている場合、それ以上の構成は必要ありません。 同期された属性については、「Microsoft Entra クラウド同期での属性のマッピング」および「Microsoft Entra Connect Sync: ディレクトリ拡張機能」を参照してください。 Active Directory に変更が行われた場合、ライフサイクル ワークフローから変更を取り込む前に、Microsoft Entra クラウド同期または Microsoft Entra Connect 同期による同期を行う必要があります。
Active Directory Domain Services から Microsoft Entra ID に同期されたユーザーのワークフロー タスク
すべてのライフサイクル ワークフロー タスクは、クラウド ユーザーと Active Directory から同期されたユーザーの両方に対して、この記事の以降で特定のタスクについて記載されている制限を除き、直ちに機能します。 すべてのライフサイクル ワークフロー タスクについて詳しくは、ライフサイクル ワークフローの組み込みタスクに関する記事をご覧ください。
グループのメンバーシップを管理するためのタスク
シナリオ: AD DS から Microsoft Entra ID にユーザーを同期すると、ライフサイクル ワークフローのグループ タスクを使用して、クラウドベースのセキュリティ グループに対しユーザーを追加または削除できます。 その結果、クラウド内の同期されたユーザーのグループ メンバーシップを管理でき、また Microsoft Entra Cloud 同期グループ書き戻しを使用してこのグループを Active Directory に追加することもできます。
AD DS から Microsoft Entra ID に同期されるグループでは、シナリオにあるようにライフサイクル ワークフロー グループ タスクを使用することはできません。 ただし、Microsoft Entra ID Governance は、ライフサイクル ワークフロー内でサポートされているクラウドからのグループを使用して、オンプレミスの Active Directory (Kerberos) アプリケーション アクセスを管理するために使用できます。
ユーザー アカウント タスク
ライフサイクル ワークフロー タスクで、AD DS から同期されたユーザー アカウントを有効化、無効化、および削除するには、追加の構成が必要です。 Active Directory でアクションを実行するタスクを構成する前に、次の前提条件を達成する必要があります。
- Microsoft Entra プロビジョニング エージェントが環境にインストールされている必要があります。 Microsoft Entra プロビジョニング エージェントのインストールに関する前提条件については、「クラウド プロビジョニング エージェントの要件」を参照してください。 Microsoft Entra プロビジョニング エージェントをインストールする段階的な手順については、「Microsoft Entra プロビジョニング エージェントをインストールする」を参照してください。 インストール中、“HR ドリブン プロビジョニング/Microsoft Entra Connect Sync” を “拡張機能の構成” として選択します。 クラウド同期構成など、プロビジョニング エージェントのその他の構成を追加する必要はありません。また、現時点で Microsoft Entra Connect Sync をユーザー同期に使用している場合でも、プロビジョニング エージェントをインストールできます。
Note
インストールされるプロビジョニング エージェントは、バージョン 1.1.1586.0 (2024 年 5 月 13 日リリース) 以上である必要があります。
プロビジョニング エージェントで使用するグループの管理されたサービス アカウント (gMSA) が、ユーザー アカウントに対する操作を実行するための適切なアクセス許可を持っていることを確認します。
ユーザー アカウントを削除するには、Active Directory のごみ箱を有効にする必要があります。 ごみ箱を有効にするための段階的な手順については、「Active Directory の段階的なごみ箱」を参照してください。
Active Directory Domain Services から同期されたユーザーに対してユーザー アカウント タスクが実行されるようにフラグを設定するステップ バイ ステップ ガイドについては、「ワークフローを使用して Active Directory Domain Services (AD DS) から同期されたユーザーを管理する」をご覧ください。