Reading Time: 1 minutes

 

◆今回の記事のポイント◆
★乱立するユーザー管理について
★マスター決定について

 

◆MicrosoftのMVP解説シリーズ バックナンバー◆

 

近年、HRTechという言葉と共に人事管理のIT化について注目されています。人材の採用からタレントマネジメント、労務や勤怠までがその言葉の括りになると思いますが、これらの仕組みを利用するときに、もうひとつ検討しなければならない要素があります。それがアイデンティティマネジメント(ID管理)システムとの連携です。
このシリーズでは全6回の連載で、会社にある人事システムとID管理の連携について考え、効率よく管理していくための体制づくりについて考えてみたいと思います。

オンプレミス・クラウドを問わず、私たちが様々なITシステムにアクセスすることになれば、そこには当然アクセス権管理が含まれます。アクセス権管理を行うときには、従業員単位でユーザー(ID)と呼ばれるものを作成して管理しますが、従業員を管理する人事管理のシステムとユーザーを管理するシステムは同じ内容が含まれているにも関わらずシステムとしては別々であることがほとんどです。

本来であれば、人事システムとユーザー管理システムを同じシステムにしてしまって運用管理ができれば二重管理を防げますが、格納するデータの種類やデータの活用方法、さらには利用するユーザーが異なることから、同一のシステムとして扱うのではなく、別々のシステムとして運用した方が結果的に効率的になることが多いように思います。

そうなると、2つのシステムの連携を意識した運用が必要になります。例えば、人事システムで従業員情報が作られたら、ユーザー管理システムに従業員に対応するユーザーを作成するような連携です。これをいかに効率よく行うかだけでなく、セキュリティ上のトラブルを引き起こさないよう、抜け・漏れをなくしていくことが重要です。

★乱立するユーザー管理

人事システムの場合、システムに入れるデータの内容やデータの活用方法を考えると一元的な管理がある程度可能な分野です。一方、ユーザー管理システムに関しては管理されたユーザーを利用するシステムによって、ユーザー管理システム自体を別々にして運用しなければならないケースがどうしても出てきます。

例えば、Active Directoryを利用してオンプレミスに展開するサーバーへのアクセス権管理を行っているところに、業務で使用するクラウドサービスが追加されたり、独自に認証の機能を備えたWebアプリケーションが追加されたり、さらには企業合併によって追加のActive Directoryドメインが登場したり、と様々な要因により簡単にユーザー管理システムは乱立してしまいます。

こうしたことが起こる理由のひとつにはユーザー管理システムが利用する認証・認可のプロトコルがあります。Active DirectoryではKerberos(ケルベロス)と呼ばれるプロトコルを利用してアプリケーションサーバーをドメイン参加させ、そしてActive Directoryを利用して認証・認可を行い、アプリケーションへのアクセス権を与えるという運用を行っています。

しかし、クラウドサービスであったり、独自の認証の仕組みを備えたWebアプリケーションであったり、社内のITシステムにはどうしてもKerberosプロトコルが利用できないシステムが登場するものです。

人事システムとユーザー管理システムはスムーズな連携ができるようにするためにも、1対1の関係で管理できれば理想的ですが、ユーザー管理については乱立しやすい現状があります。自分たちの会社で利用するアプリケーションやサービスは認証方式ありきではなく、業務遂行に必要な機能が備わっているかという観点から選択されますから、Kerberos以外の認証方式が選択されてしまうことはある程度仕方のないことです。

しかし、そのような場合でも認証・認可に関わるグランドデザインは決めておきたいところです。標準となるユーザー管理システムを決めておくことによって、少なくとも野放図にユーザー管理システムが増え続けていくことは避けられるでしょう。そして、これまで乱立していたユーザー管理システムをひとつのシステムに寄せていく(集約させていく)ことができるかもしれません。

具体的なグランドデザインの決め方・考え方については別の回で紹介する予定です。

★マスターを決める

グランドデザインが決定したら、次に行うことはIDのマスターを決めることです。ID絡みのセキュリティインシデントに「退職者アカウントが消されていないことが原因で不正アクセスに遭った」というものがありますが、この手のインシデントはIDのマスターを決めていないことが原因で起こるものです。前に人事システムとユーザー管理システムを連携させるという話をしましたが、連携を行うのであれば必ずどこを情報の起点(マスター)とするかを明確にする必要があります。

例えば、人事システムとユーザー管理システムを連携するのであれば、業務フローから考えて人事システムに入る情報が起点になるはずです。ですので、人事システムに入るデータ(下図の源泉ID部分)をマスターとし、そこからデータをユーザー管理システム(下図のActive Directory部分)に同期させることによって一元的な管理が実現でき、退職者アカウントが悪用されるなどのインシデントも防げるようになるのです。


そして、マスターを決めておくことによるもうひとつの効果として、複数のActive Directoryドメインの管理もしやすくなることが挙げられます。

先ほど、企業合併によりActive Directoryドメインが増えるという話をしましたが、Active Directoryドメインの統合は簡単ではなく、とても骨の折れる作業です。このような場合にも、時間をかけてドメインを統合するのではなく、ひとまず人事システムをマスターとしてそこからそれぞれのActive Directoryドメインへ同期させていくような運用の仕組みを作ってあげることでユーザー管理システムはバラバラでも中に作られるIDは一元化できるメリットがあります。


冒頭にも取り上げたHRTechの台頭により、人事システムの見直しを行う企業が増えています。人事システムの刷新により採用から従業員管理までがスムーズに行われるようになることと思います。一方で、マスター管理という観点からは、ユーザー管理システム、とりわけActive Directoryとの連携をどのように行うかは、セキュリティの観点からも合わせて検討しなければならない要素です。もし人事システムの刷新などをお考えの場合には、他システムとどのような連携を備えているかについても注目してみておきたいものです。
次回は連携についてさらに掘り下げていく予定です。お楽しみに!

 

筆者紹介
国井 傑 (くにい すぐる)
株式会社ソフィアネットワーク所属。インターネットサービスプロバイダでの業務経験を経て、1997年よりマイクロソフト認定トレーナーとしてインフラ基盤に関わるトレーニング全般を担当。Azure ADを中心としたトレーニングの登壇やトレーニングコースの開発に従事するだけでなく、ブログ等のコミュニティ活動も評価され、2006年からAzure AD/Microsoft 365の分野におけるMicrosoft MVPを15年連続で受賞する。
主な著作に『ひと目でわかるIntune』 (日経BP)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。

 

ゾーホー社員のつぶやき

こんにちは!ゾーホージャパンの近藤です。今年も気づけば残り2カ月半、年が明けると企業として組織変更やら人事異動を考える時期になってきます。今年はコロナ禍の影響で事業変化への対応が迫られ、事業戦略を大幅に変更する必要があった企業も少なくはないと思いますが、社員にとって組織変更は、新しい業務や環境下に置かれることでモチベーションがアップしたり、色々な経験を積める良い機会でもありますよね。
一方で、社員にとっては、異動や新業務などによって業務に必要なITシステムが変更となる時期でもあり、IT管理者がそれら複数のITシステムや認証方式を理解しようとする際、その管理が煩雑になってしまうという課題が生じています。そのため、IT管理者としては、上記投稿の記述の通り、標準となるユーザー管理システムを決めて、ITシステムのアクセス認証方式をできるだけその一つのシステムに統合させていく取り組みが重要です。

そこで、標準となるユーザー管理システムの一つとして※オンプレミス環境においてはActive Directoryによる運用が挙げられますが、Active Directory管理が容易に実現できるソフト、ManageEngine「ADManager Plus」をご紹介します。

例えば、人事異動や組織変更の際、Active Directoryのユーザー情報の追加・削除・更新といった作業が生じますが、組織によっては、手動(Active Directoryユーザーとコンピューター)対応やPowerShellを活用したりと、工数と専門知識、加えて対応ミスのリスクなどが伴う作業になっています。 また、手動で多くのユーザー情報の更新を行うことは非常に手間と時間がかかり、対応漏れが発生してしまう可能性も高まります。PowerShellを活用するとしても専門知識が必要となってしまい、メンバー間の引継ぎにおいて問題が生じるケースがあることが多々あります。

ADManager Plusでは、WebベースのシンプルなUIで操作できるため、簡単にユーザー管理を始められます。ユーザーの作成や無効化などのADアカウント情報の管理作業を、テンプレートやレポート、CSVデータを利用した一括処理で大幅に効率化できます。また、Microsoft SQLやOracle Databaseのデータベース、WorkdayやZoho PeopleなどのSaaS系人事システムと連携できるので、人事異動や組織変更の際の大量の設定変更も効率的に実施できます。

ADManager PlusのActive Directory ユーザー管理ページはこちら
ADManager Plusのデータベース連携ページはこちら

※Microsoft 365(旧称:Office 365)を利用したクラウド環境においては、AzureADによる運用

ADManager Plusとは?

WebベースのGUIでActive Directoryのユーザー、コンピューター、ファイルサーバーを管理し、自動化、ワークフローなどを容易に実行できるActive Directory運用管理ソフトです。誰にでも操作しやすい画面で、適切な権限割り当て、更新作業ができます。Active Directoryにまつわる定型業務を効率化する豊富な機能で、管理者の運用負荷を軽減します。

AD360もおススメ!

Active Directoryのアカウント管理・監査/パスワードセルフ管理を一元化、Azure ADにも対応。Active Directoryのアカウント情報の一括更新、セキュリティログの収集・可視化、パスワード変更とアカウントロック解除のセルフサービス化など、多彩な機能を1つのコンソール画面で利用できるソフトウェアです。ファイルサーバーアクセス権管理の機能も備えています。

上記2つの製品について詳しく知りたい、一度使ってみたいという方は、ぜひ以下のURLにアクセスしてくださいね。

ADManager Plusの製品ページはこちら
ADManager Plusの概要資料ダウンロードページはこちら
ADManager Plusの無料版ダウンロードページはこちら

AD360の製品ページはこちら
AD360の概要資料ダウンロードページはこちら
AD360の無料版ダウンロードページはこちら

▼▼ 別シリーズのブログ記事もチェック! ▼▼
Microsoft MVPシリーズ第一弾:AzureADを利用する意味【AzureADの虎の巻】
Microsoft MVPシリーズ第二弾:Active Directoryの必要性【Active Directoryのハウツー読本】
Microsoft MVPシリーズ第三弾:Microsoft 365(旧称:Office365)とは【Microsoft 365の活用術】
Microsoft MVPシリーズ第四弾:ファイルサーバーのアクセス許可【ファイルサーバー管理のいろはを学ぶ】

 


フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。