Microsoft Entra ID Governance ライフサイクルワークフローでユーザー管理をスッキリさせる

3.5K Views

April 19, 24

スライド概要

2023/04/20 Global Azure 2024 ショートセッションの資料です。

profile-image

都内で働いているインフラエンジニアです。Azure を含むMicrosoft 製品、インフラ、開発周りに興味があります。

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

Microsoft Entra ID Governance ライフサイクルワークフローでユーザー管理をスッキリさせる 2024/04/20 Global Azure 2024 Kazuki Yamabe

2.

アジェンダ • 自己紹介 • ユーザー管理における課題 • ライフサイクルワークフローとは • ワークフローをどう作るか? • まとめ • 参考資料 2

3.

自己紹介 名前:Kazuki Yamabe 所属:株式会社エーピーコミュニケーションズ 職種:インフラエンジニアなのかよくわからない何でも屋 ◼ ブログ・SNS • ブログ:https://www.kdkwakaba.com/ • X:@kdk_wakaba • Linkedin:kdk-wakaba 3

4.

アジェンダ • 自己紹介 • ユーザー管理における課題 • ライフサイクルワークフローとは • ワークフローをどう作るか? • まとめ • 参考資料 4

5.

ユーザー管理における課題 – 管理者側の視点 グループ、ライセンス、 ユーザーへの通知と 複雑な作業が多い 新卒社員の入社や 異動の多い時期は 作業工数が増える 権限やライセンスなどの 付け間違い、 抜け漏れなどのオペミス 5

6.

ユーザー管理における課題 – ユーザー側の視点 普段の業務もあるのに 各種申請に 時間を割きたくない SaaS などのアカウント 作成、申請など必要な 作業が多くて大変 チーム内でナレッジ不足に よる作業遅延、申請漏れ 6

7.

アジェンダ • 自己紹介 • ユーザー管理における課題 • ライフサイクルワークフローとは • ワークフローをどう作るか? • まとめ • 参考資料 7

8.

ライフサイクルワークフローとは – 機能の概要 ▪ ライフサイクルワークフローは社員の入社、異動、退社に伴う一連のユーザー管理をワークフロー化する機能 - 事前に用意されたテンプレート、タスクから必要に応じてカスタマイズする ▪ ワークフローの実行タイミングはオンデマンド、スケジュールどちらも対応 ▪ カスタム拡張機能によるAzure Logic Apps との連携も可能 8

9.

ライフサイクルワークフローとは – ライセンス要件・制限 ▪ ライフサイクルワークフローの利用にはMicrosoft Entra ID Governance ライセンスが必要 - Entra ID Governance を利用するにはP1 またはP2 ライセンスも必要となる - 2024年4月現在、1ライセンスにつき1,049円 (ユーザー/月) - ワークフローの作成・実行用のユーザーのみライセンスがあれば良い ▪ ライフサイクルワークフローには以下の制限がある - 1テナントにつき最大50個までワークフローが作成可能 - 1ワークフローにつき最大25個のタスクを追加可能 - オンデマンド選択あたりのユーザー数は最大10ユーザー、など 9

10.

ライフサイクルワークフローとは – Logic Apps と何が違う? ライフサイクルワークフロー 機能 ワークフロー作成 実行タイミング 料金 Entra ID のユーザー管理に特化した 機能 Azure Logic Apps Entra ID のユーザー管理に限らず 様々なワークフローに対応 Azure Portal またはMicrosoft Entra 管理センターから用途に応じたテ Logic Apps デザイナーからトリガー、 ンプレートと組み込みタスクを組み合わせ アクションを組み合わせて作成 て作成 オンデマンド、スケジュールで可能 オンデマンド、スケジュール、トリガーで 実行 Entra ID Governance のライセンス 料金 Azure Logic Apps のプランに応じ た課金 10

11.

アジェンダ • 自己紹介 • ユーザー管理における課題 • ライフサイクルワークフローとは • ワークフローをどう作るか? • まとめ • 参考資料 11

12.

ワークフローをどう作るか? - 構成例 (入社時) ◼ 入社前のワークフロー ユーザーの追加 (カスタム拡張機能) ウェルカムメールの 送信 TAPを生成し メールを送信する ◼ 入社日のワークフロー ユーザーアカウントを 有効にする ユーザーをグループに 追加する ユーザーにライセンスを 割り当てる サードパーティ製品の アカウント追加 (カスタム拡張機能) ※ ユーザー追加はMS Forms あたりの入力内容をSharePoint に置いてユーザー情報を取得する想定 12

13.

ワークフローをどう作るか? - 構成例 (異動時) ◼ 異動時のワークフロー 選択したグループから ユーザーを削除する サードパーティ製品の アカウント削除 (カスタム拡張機能) ユーザーをグループに 追加する サードパーティ製品の アカウント追加 (カスタム拡張機能) ※ 異動時の内容は事前に変更する想定 13

14.

ワークフローをどう作るか? - 構成例 (退職時) ◼ 退職時のワークフロー ユーザーアカウントを 無効にする すべてのグループから ユーザーを削除する すべてのTeamsから ユーザーを削除する ユーザーのすべてのラ イセンスを削除する サードパーティ製品の アカウント削除 (カスタム拡張機能) ◼ 退職後のワークフロー ユーザーアカウントの削除 ※ 退職時の内容はMS Forms あたりの入力内容を入力する想定 14

15.

ワークフローをどう作るか? - ユーザー管理業務、グループの整理 ▪ ワークフロー作成前に既存のユーザー管理業務やグループ構成、アクセス権限の洗い出し、整理を行う - 既存業務の洗い出しや中身のわからないものをワークフローにすると抜け漏れとなることも - 可視化できる資料などに落とし込むことで業務タスクの必要、不必要などの最適化に繋げられる - IT の人たちだけで洗い出しが難しいなら人事など適切な担当者に協力をしてもらう ▪ ユーザー管理業務などの整理ができたらワークフロー化する範囲を決める - 何でもかんでもワークフローで自動化すれば良いわけでもない - 複雑なワークフローを作成することで秘伝のタレ化してしまうケースも - 頻度の少ない作業、複雑な対応が必要な場合は手動対応も一つの手段 15

16.

ワークフローをどう作るか? - サードパーティ製品のユーザー管理 ▪ ライフサイクルワークフロー単体ではサードパーティ製品のユーザー管理はできない ▪ API が公開されている、Logic Apps のコネクタがあればカスタム拡張機能に組み込むことも可能 - 必要な情報を取得しLogic Apps 経由でAPI などに渡す必要がある - OSS などもAPI 経由でユーザー追加、削除も可能 ▪ 外部ツールの利用が少ない場合、ワークフローに含めないのも一つ - カスタム拡張機能を作れば、Logic Apps 側の運用・管理も必要となる - 複雑なワークフローを作ってしまうと秘伝のタレ化してしまうリスクも 16

17.

ワークフローをどう作るか? - ワークフローの作成・テスト ▪ ユーザー管理業務やグループ構成の整理が終わったらワークフローを作成する - ライフサイクルワークフローでは処理の分岐はできないため基本グループ (部署) 分のワークフローが必要となる - グループ (部署) は共通で作成できる部分はうまく集約する - 必要な範囲を適度に押さえないとワークフローの上限に達してしまうことも ▪ ワークフロー作成後は意図した動作になるかテストを行う - テストユーザーで良いので一通りのワークフローでテストを実施する - 意図しないグループの所属、権限付与、通知をしていないか事前に確認し修正する 17

18.

ワークフローをどう作るか? - 手動対応、イレギュラーケースの準備 ▪ ワークフローで対応しない手動タスクをどう対応するか事前に決めておく - 手動対応実行タイミング、手動タスク実行の手順書準備、など ▪ 急な内定辞退や配置転換、退職などイレギュラー時にどう対応するかも決めておく - 人事側との連絡をどうするのか、など - ワークフローの実行で対応可能であればどのワークフローを実行するかの手順書準備、など ▪ 運用メンバーで対応を行うのであれば運用メンバーの教育も必要 18

19.

ワークフローをどう作るか? - ワークフローの運用 ▪ 新規グループ (部署) の追加・統合・削除にどう対応するか決めておく - ワークフローの数も管理しておかないと部署追加時にワークフローを作成できない、なんてことも ▪ ワークフローの定期的な棚卸しも実施する - 毎月確認だと大変なため、数ヶ月や半年など動きのあるタイミングで良い - 部署の再編などで大幅な変更が発生する場合はワークフローの修正も必要になる ▪ メンバーへのワークフローの理解、対応の教育も適度に対応する - 特定ユーザーにのみライセンスを付与しているとその担当者に属人化してしまうケースも - ワークフロー作った人がいなくなったのでわかりません、みたいなのは避ける 19

20.

アジェンダ • 自己紹介 • ユーザー管理における課題 • ライフサイクルワークフローとは • ワークフローをどう作るか? • まとめ • 参考資料 20

21.

まとめ • ライフサイクルワークフローは毎月のユーザー管理作業を自動化し作業工数削減に繋げられる機能 • ワークフロー作成前に既存環境の把握・整理を実施し、どうワークフローへ落とし込むかを明確にする • ワークフローを作るだけでなく、作成後の運用・管理の準備、ワークフローの定期的な見直しも行う 21

22.

参考資料 • ライフサイクル ワークフローとは - https://learn.microsoft.com/ja-jp/entra/id-governance/what-are-lifecycle-workflows • ライフサイクル ワークフローのカスタム タスク拡張機能 - https://learn.microsoft.com/ja-jp/entra/id-governance/lifecycle-workflow-extensibility • ライフサイクル ワークフローのデプロイを計画する - https://learn.microsoft.com/ja-jp/entra/id-governance/lifecycle-workflows-deployment • Microsoft Entra ID ガバナンス ライセンスの基礎 - https://learn.microsoft.com/ja-jp/entra/id-governance/licensing-fundamentals 22

23.

ご清聴ありがとうございました。 23