人事主導のプロビジョニングとは
人事主導のプロビジョニングは、人事システムに基づいてデジタル ID を作成するプロセスです。 人事システムは、新しく作成されるデジタル ID の Start of Authority として、多くの場合、さまざまなプロビジョニング プロセスの基となります。 たとえば、新しい従業員が入社した場合、それらの従業員が人事システムに作成されます。 この作成がトリガーとなって、Active Directory にユーザー アカウントがプロビジョニングされ、その後、そのアカウントが Microsoft Entra Connect によって Microsoft Entra ID にプロビジョニングされます。
組織には、SAP HCM などのオンプレミスの人事システム、SAP SuccessFactors や Workday などのクラウドベースの人事システム、またはその両方が混在している場合があります。 これまで、人事主導のプロビジョニング用のオンプレミス人事システムとの統合では、SAP Identity Management (SAP IDM) や Microsoft Identity Manager (MIM) などのオンプレミスの人事ツールを利用して Active Directory にユーザーを作成していました。 また、Microsoft Entra をオンプレミスの人事システムと共に使用して、Active Directory でユーザーを作成および更新する、または Active Directory を持たない環境に対して、Microsoft Entra ID でユーザーを作成および更新することもできます。
オンプレミス ベースの人事プロビジョニング
オンプレミス ベースの人事プロビジョニングは、ローカル人事システムと、新しいデジタル ID をプロビジョニングする手段とを使用して行われます。
人事システムは、さまざまなパッケージやソフトウェア バンドルの形で提供され、SQL サーバーや、他のシステムとデータを交換するためのファイルが使用されることもあります。
SAP の人材管理 (HCM) を使用しており、SAP SuccessFactors を持っているお客様は、SAP Integration Suite を使用して SAP HCM と SAP SuccessFactors の間で雇用者のリストを同期することで、ID を Microsoft Entra ID に取り込むことができます。 そこから、ID を Microsoft Entra ID に直接取り込んだり、Active Directory Domain Services にプロビジョニングしたりできます。
Microsoft Entra の API 主導の受信プロビジョニングを使用すると、オンプレミスの人事システムと統合することもできます。 フラット ファイル、CSV ファイル、SQL ステージング テーブルは、エンタープライズ統合シナリオでよく使用されます。 従業員、請負業者、ベンダーの情報は、これらの形式のいずれかに定期的にエクスポートされ、自動化ツールが使用してこのデータをエンタープライズ ID ディレクトリと同期します。 パートナーは、カスタム HR コネクタを構築することで、レコード システムから Microsoft Entra ID へのデータ フローに関するさまざまな統合要件を満たすことができます。 API 主導のインバウンド プロビジョニングでは、上記のすべてのシナリオにおいて統合が簡素化されます。これは、Microsoft Entra プロビジョニング サービスが、ID プロファイル比較の実行、IT 管理者が設定したスコープ ロジックへのデータ同期の制限、Microsoft Entra 管理センターで管理されるルールベースの属性フローと変換の実行を引き継ぐためです。
オンプレミスの人事システムで新しい ID が作成されたときに、Microsoft Identity Manager を使用してプロビジョニングをトリガーすることもできます。 MIM を使用すると、オンプレミスの人事システムから Active Directory または Microsoft Entra ID にユーザーをプロビジョニングすることができます。 Microsoft Identity Manager とそのサポート対象システムについては、Microsoft Identity Manager のドキュメントを参照してください。
Microsoft Entra のユーザー プロビジョニングに対するクラウド人事アプリケーション
従来、IT スタッフは、手動による社員の作成、更新、削除の方法に依存していました。 これらは、CSV ファイルのアップロードや、カスタム スクリプトなどの方法を使用して社員データを同期しています。 これらのプロビジョニング プロセスは、エラーが発生しやすく、安全でなく、管理が困難です。
従業員、ベンダー、臨時労働者の ID ライフサイクルを管理するために、Microsoft Entra ユーザー プロビジョニング サービスは、クラウドベースの人事 (HR) アプリケーションとの統合を提供しています。 アプリケーションの例としては、Workday や SuccessFactors などがあります。
Microsoft Entra ID は、この統合を利用して、クラウド人事アプリケーション (アプリ) の次のワークフローを有効にします。
- Active Directory へのユーザーのプロビジョニング: クラウド人事アプリから選択したユーザーのセットを、1 つ以上の Active Directory ドメインにプロビジョニングします。
- クラウドのみのユーザーの Microsoft Entra ID へのプロビジョニング: Active Directory が使用されていないシナリオでは、クラウド人事アプリから Microsoft Entra ID にユーザーを直接プロビジョニングします。
- クラウド人事アプリへの書き戻し: メール アドレスやユーザー名の属性を Microsoft Entra からクラウド人事アプリに書き戻します。
有効な人事シナリオ
Microsoft Entra ユーザー プロビジョニング サービスを使用すると、次に示す人事ベースの ID ライフサイクル管理シナリオを自動化できます。
- 新しい社員の雇用: 新しい社員がクラウド人事アプリに追加されると、Active Directory と Microsoft Entra ID でユーザー アカウントが自動的に作成され、必要に応じて、メール アドレスとユーザー名の属性がクラウド人事アプリに書き戻されます。
- 従業員の属性とプロファイルの更新: クラウド人事アプリで名前、役職、上司などの従業員レコードが更新されると、そのユーザー アカウントが Active Directory と Microsoft Entra ID で自動的に更新されます。
- 従業員の退職: クラウド人事アプリで従業員が退職すると、そのユーザー アカウントが Active Directory および Microsoft Entra ID で自動的に無効になります。
- 従業員の再雇用: クラウド人事アプリで従業員が再雇用されると、その古いアカウントが自動的に再アクティブ化されるか、Active Directory および Microsoft Entra ID に再プロビジョニングされます。
この統合が最も適している組織
クラウド人事アプリの Microsoft Entra ユーザー プロビジョニングとの統合は、次のような組織に最適です。
- クラウド人事のユーザーをプロビジョニングするための、事前構築済みのクラウドベースのソリューションを必要としている。
- クラウド人事アプリから Active Directory または Microsoft Entra ID に直接、ユーザーをプロビジョニングする必要がある。
- クラウド人事アプリから取得したデータを使用してユーザーをプロビジョニングする必要がある。
- クラウド人事アプリで検出された変更情報のみに基づいて、ユーザーの入社、異動、退職を 1 つ以上の Active Directory フォレスト、ドメイン、または OU と同期する必要がある。
- メールに Office 365 を使用している。
主な利点
ここで説明する人事ベースの IT プロビジョニング機能は、次に挙げるような大きなメリットをビジネスにもたらします。
- 生産性の向上: ユーザー アカウントや Office 365 ライセンスの割り当てを自動化し、重要なグループへのアクセスを提供できるようになります。 割り当ての自動化により、新しい社員は各自の業務ツールにすぐにアクセスできるため、生産性が向上します。
- リスク管理: クラウド人事アプリとデータをやり取りし、社員の状態またはグループ メンバーシップに基づいて変更を自動化することで、セキュリティを強化できます。 変更を自動化すると、ユーザーが異動または退職したときに、ユーザーの ID と重要なアプリへのアクセスが自動的に更新されるようになります。
- コンプライアンスとガバナンスへの対応: Microsoft Entra ID は、ソースとターゲットの両方のシステムのアプリによって実行されるユーザー プロビジョニング要求のネイティブ監査ログをサポートします。 監査によって、誰がアプリにアクセスできるかを 1 つの画面から追跡できます。
- コスト管理: 自動プロビジョニングを使用すると、手動プロビジョニングに関連した非効率性や人的エラーを回避することでコストが削減されます。 従来の陳腐化したプラットフォームを使用して、長らく構築されてきた、カスタム開発のユーザー プロビジョニング ソリューションを不要にします。
Joiner-Mover-Leaver ライフサイクル ワークフローの管理
人事主導のプロビジョニング プロセスを拡張して、新規採用、人事上の変更、退職に関連するビジネス プロセスとセキュリティ制御をさらに自動化できます。 Microsoft Entra ID Governance ライフサイクル ワークフローでは、次のような Joiner-Mover-Leaver ワークフローを構成できます。
- 新規採用者が入社する日の "X" 日前に、マネージャーに電子メールを送信し、ユーザーをグループに追加し、初回ログインの一時的なアクセス パスを生成します。
- ユーザーの部署または役職またはグループ メンバーシップに変更がある場合は、カスタム タスクを起動します。
- 在籍最終日に、マネージャーに電子メールを送信し、グループとライセンスの割り当てからユーザーを削除します。
- 終了の "X" 日後、Microsoft Entra ID からユーザーを削除します。