人事主導のプロビジョニングとは

HR provisioning

人事主導のプロビジョニングは、人事システムに基づいてデジタル ID を作成するプロセスです。 人事システムが、新しく作成されるデジタル ID の SOA (Start of Authority) として、多くの場合、さまざまなプロビジョニング プロセスの開始点となります。 たとえば、新しい従業員が入社した場合、それらの従業員が人事システムに作成されます。 この作成がトリガーとなって、Microsoft Entra にユーザー アカウントがプロビジョニングされ、その後、そのアカウントが Microsoft Entra Connect によって Microsoft Entra ID などにプロビジョニングされます。

人事主導のプロビジョニングには、オンプレミス ベースとクラウド ベースとがあります。

オンプレミス ベースの人事プロビジョニング

オンプレミス ベースの人事プロビジョニングは、ローカル人事システムと、新しいデジタル ID をプロビジョニングする手段とを使用して行われます。

人事システムは、さまざまなパッケージやソフトウェア バンドルの形で提供され、SQL サーバーや LDAP ディレクトリなどが使用されることもあります。

現在、Microsoft のオンプレミス人事プロビジョニング ソリューションには Microsoft Identity Manager が使用されており、それらの人事システムに新しい ID が作成されたときにプロビジョニングがトリガーされます。

MIM を使用すると、オンプレミスの人事システムから Active Directory または Microsoft Entra ID にユーザーをプロビジョニングすることができます。

Microsoft Identity Manager とそのサポート対象のシステムについては、Microsoft Identity Manager のドキュメントを参照してください。

Microsoft Entra のユーザー プロビジョニングに対するクラウド人事アプリケーション

従来、IT スタッフは、手動による社員の作成、更新、削除の方法に依存していました。 これらは、CSV ファイルのアップロードや、カスタム スクリプトなどの方法を使用して社員データを同期しています。 これらのプロビジョニング プロセスは、エラーが発生しやすく、安全でなく、管理が困難です。

従業員、ベンダー、臨時労働者の ID ライフサイクルを管理するために、Microsoft Entra ユーザー プロビジョニング サービスは、クラウドベースの人事 (HR) アプリケーションとの統合を提供しています。 アプリケーションの例としては、Workday や SuccessFactors などがあります。

Microsoft Entra ID は、この統合を利用して、クラウド人事アプリケーション (アプリ) の次のワークフローを有効にします。

  • Active Directory へのユーザーのプロビジョニング: クラウド人事アプリから選択したユーザーのセットを、1 つ以上の Active Directory ドメインにプロビジョニングします。
  • クラウドのみのユーザーの Microsoft Entra ID へのプロビジョニング: Active Directory が使用されていないシナリオでは、クラウド人事アプリから Microsoft Entra ID にユーザーを直接プロビジョニングします。
  • クラウド人事アプリへの書き戻し: メール アドレスやユーザー名の属性を Microsoft Entra からクラウド人事アプリに書き戻します。

有効な人事シナリオ

Microsoft Entra ユーザー プロビジョニング サービスを使用すると、次に示す人事ベースの ID ライフサイクル管理シナリオを自動化できます。

  • 新しい社員の雇用: 新しい社員がクラウド人事アプリに追加されると、Active Directory と Microsoft Entra ID でユーザー アカウントが自動的に作成され、必要に応じて、メール アドレスとユーザー名の属性がクラウド人事アプリに書き戻されます。
  • 従業員の属性とプロファイルの更新: クラウド人事アプリで名前、役職、上司などの従業員レコードが更新されると、そのユーザー アカウントが Active Directory と Microsoft Entra ID で自動的に更新されます。
  • 従業員の退職: クラウド人事アプリで従業員が退職すると、そのユーザー アカウントが Active Directory および Microsoft Entra ID で自動的に無効になります。
  • 従業員の再雇用: クラウド人事アプリで従業員が再雇用されると、その古いアカウントが自動的に再アクティブ化されるか、Active Directory および Microsoft Entra ID に再プロビジョニングされます。

この統合が最も適している組織

クラウド人事アプリの Microsoft Entra ユーザー プロビジョニングとの統合は、次のような組織に最適です。

  • クラウド人事のユーザーをプロビジョニングするための、事前構築済みのクラウドベースのソリューションを必要としている。
  • クラウド人事アプリから Active Directory または Microsoft Entra ID に直接、ユーザーをプロビジョニングする必要がある。
  • クラウド人事アプリから取得したデータを使用してユーザーをプロビジョニングする必要がある。
  • クラウド人事アプリで検出された変更情報のみに基づいて、ユーザーの入社、異動、退職を 1 つ以上の Active Directory フォレスト、ドメイン、または OU と同期する必要がある。
  • メールに Office 365 を使用している。

主な利点

ここで説明する人事ベースの IT プロビジョニング機能は、次に挙げるような大きなメリットをビジネスにもたらします。

  • 生産性の向上: ユーザー アカウントや Office 365 ライセンスの割り当てを自動化し、重要なグループへのアクセスを提供できるようになります。 割り当ての自動化により、新しい社員は各自の業務ツールにすぐにアクセスできるため、生産性が向上します。
  • リスク管理: クラウド人事アプリとデータをやり取りし、社員の状態またはグループ メンバーシップに基づいて変更を自動化することで、セキュリティを強化できます。 変更を自動化すると、ユーザーが異動または退職したときに、ユーザーの ID と重要なアプリへのアクセスが自動的に更新されるようになります。
  • コンプライアンスとガバナンスへの対応: Microsoft Entra ID は、ソースとターゲットの両方のシステムのアプリによって実行されるユーザー プロビジョニング要求のネイティブ監査ログをサポートします。 監査によって、誰がアプリにアクセスできるかを 1 つの画面から追跡できます。
  • コスト管理: 自動プロビジョニングを使用すると、手動プロビジョニングに関連した非効率性や人的エラーを回避することでコストが削減されます。 従来の陳腐化したプラットフォームを使用して、長らく構築されてきた、カスタム開発のユーザー プロビジョニング ソリューションを不要にします。

次のステップ