Reading Time: 1 minutes
★人事システムとADの連携について
第二弾:Active Directoryの必要性【MicrosoftのMVP解説!Active Directoryのハウツー読本】
第三弾:Microsoft 365(旧称:Office365)とは【MicrosoftのMVP解説!Microsoft 365の活用術】
第四弾:ファイルサーバーのアクセス許可【MicrosoftのMVP解説!ファイルサーバー管理のいろはを学ぶ】
先日、あるSI事業者の方とお話をする機会があり、最近Active Directoryに詳しいエンジニアが少なくなっているとの話を伺いました。社内ID管理システムとして西暦2000年に登場したActive Directory(以下、AD)は20年経過した現在でも多くの企業で採用されているあまりにも有名なシステムですが、一方で20年前に第一線で働いていたエンジニアが去り、技術継承されることなく現在に至ってしまっている企業も多いそうです。そして新しくエンジニアがADを管理することになると、ADの知識がなければ新たに学習するわけですが、学習すればするほど自社のADがなぜそのような設計になっているのかわからなくなるそうです。
一般的とは言えないADの使われ方をしている要因は色々ありますが、要因のひとつに20年前と今とではまったく異なる人事管理の体系が存在していることが挙げられます。
上の図は人事管理の体系とID管理の体系を並べたもので、この2つを連動させていくことが私たちのミッションであることは前回にもお話しした通りです。しかしADの基本的な仕組みは20年間でほとんど変わらない一方で、ADと連携する人事管理は20年前と比較して大きく変わっています。実際、タレントマネジメントの分野では個々のキャリア形成に関わる情報をADとどう連携するか、エンゲージメントを高めるための会社としての施策の浸透度をADとどう連携するか、など20年前には想像もしなかったことを突き付けられているのです。そのため、20年前の基準で設計されたADの仕組みや社内での運用ルールは見直さなければならない時期に来ているといえます。
そこで、これから社内のADを管理するという方がいたら、過去のADの運用ルールにとらわれることなく現在必要なことは何かを基準に新しいルールを策定し、運用していただきたいと思います。
★AD管理の在り方を人事システムと共に考える
ADに限らず、ID管理システムの設計を行うときに最も重要なことはID管理システムを使って何をやりたいかを明確にすることです。
例えば、ADを使ってやりたいことが、ドメイン参加しているサーバーにインストールされている業務アプリケーションのアクセス権管理だとしましょう。この場合、業務アプリケーションのアクセス権管理を行うために必要な情報をADに入れていくのです。例えば、アクセス権が部署単位で管理されているのであれば部署情報を個々のADユーザーの属性として設定すればよいですし、一定のスキルを持つ人材にのみアクセス権を与えたいのであればLMS(ラーニングマネジメントシステム)に保存された特定教材のテスト結果を個々のADユーザーの属性として設定すればよいのです。または、テスト結果が合格だったユーザーを合格者グループに入れて運用するような方法でもよいでしょう。
このようにアクセス権管理を行うために必要な情報をADに入れていくことで、アクセス権管理自体も非常にスムーズに進みます。
★人事システムとADの連携
前の図では人事システムやLMSに保存された人事情報をADに入れて管理することを解説しましたが、この連携をどのように行うのか?という課題があります。また大きな枠組みで考えれば、そもそも新規に採用した人材を人事システムに登録した時に同時にADにもユーザーが作られるような連携や、人材が退職した時にユーザーを無効化/削除するような連携をどのように行うのか?といった課題もあるでしょう。
このとき、絶対にやって欲しくないのは連携を行うためのシステム自体を作りこんでしまうことです。SIerさんに依頼して連携システムを作ってもらったり、CSVファイルで情シスが頑張って運用したりするケースを見かけますが、後々メンテナンスで必ず苦しめられます(そうした事例を私はたくさん見てきました)。
既に世にある連携のためのシステムは、連携させるパラメーターの定義が簡単にできたり、前回もお話ししたマスターIDの管理が適切に実施できるものであることがほとんどです。(これが困難な連携システムは淘汰されているはずです。)ですので、そうしたシステムに任せてしまい、私たちは生産性を向上させたり、付加価値を高めたりできるような別の仕事に時間を割いていくべきではないかと考えています。
最後にノーコードのツールを使って作りこむことについて少しだけ触れさせてください。
最近、プログラミングの知識がなくてもシステムが作れるノーコードのツールが流行っています。ノーコードのツールを使って人事システムとの連携を行う話なども一部で聞きますが、これも私はお勧めしません。ノーコードのツールはプログラミングの知識がなくてもシステムはできますが、プログラマーとしての考え方を持っていることが前提条件だからです。
例えば条件分岐を設定する際、プログラミングの知識がない人がノーコードのツールで条件分岐を設定させたら、無駄な処理の多い非効率なシステムが出来上がってしまう可能性があります。また、プログラミングを行うときの基本である、コメントを残す、ドキュメント化する、などができていないと引き継ぎを受ける人は何が書かれたシステムなのか分からないという問題も多少なりとも起こってしまうからです。
株式会社ソフィアネットワーク所属。インターネットサービスプロバイダでの業務経験を経て、1997年よりマイクロソフト認定トレーナーとしてインフラ基盤に関わるトレーニング全般を担当。Azure ADを中心としたトレーニングの登壇やトレーニングコースの開発に従事するだけでなく、ブログ等のコミュニティ活動も評価され、2006年からAzure AD/Microsoft 365の分野におけるMicrosoft MVPを15年連続で受賞する。
主な著作に『ひと目でわかるIntune』 (日経BP)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。
ゾーホー社員のつぶやき
こんにちは!ゾーホージャパンの近藤です。今回は、上記投稿のノーコードについてお話ししてみたいと思います。文部科学省のGIGAスクール構想により、小学校のうちからプログラミングが必修となってきているのは皆さんご存知でしょうか。ここで使われているプログラミング言語は「viscuit」や「scratch」などのような、ノーコード言語ですね。うちの娘もタブレットでゲームをする感覚でプログラミングにはまっており、初めは他の人が投稿したゲームを遊んでいるだけでしたが、今は見よう見まねでゲームを作って遊んでいます。自分が作ったゲームを投稿することによって、多くの人に遊んでもらえることに楽しみを見いだしているようです。そんな沢山の「いいね」をもらって喜んでいる最中、他の人が娘のゲームを改造して再投稿されました。私は「盗作?」とびっくりしましたが、これは実はプログラミングの世界では当たり前。いわゆるオープンソースの考えなんですよね。物事何事にも寛容にいかなくては、と心改めた一件でした。
さて、人事システムと連携できるID(ユーザー)管理システムの一つとして※オンプレミス環境においてはActive Directoryによる運用が挙げられていますが、Active Directory管理を容易に実現できるソフト、ManageEngine「ADManager Plus」をご紹介します。
ADによるID管理の非効率さに頭を抱えてる方もいると思います。ADUCや自作のPower Shellスクリプトでユーザー情報・権限割り当てを実施していると、専門知識が必要とされたり、人為的な操作ミスの発生原因ともなりかねません。例えば、繁忙期の一時的対応として、「2か月間の業務スタッフ10人分のアカウントを作成し、60日後に停止・90日後に削除したい」という作業が発生した場合、ステータス更新のたびに手作業が発生し抜けや漏れの原因となってしまいます。
ADManager Plusでは、WebベースのシンプルなUIで操作できるため、簡単にユーザー管理を始められます。ユーザーの作成や無効化などのADアカウント情報の管理作業を、テンプレートやレポート、CSVデータを利用した一括処理で大幅に効率化できます。また、Microsoft SQLやOracle Databaseのデータベース、WorkdayやZoho PeopleなどのSaaS系人事システムと連携できるので、人事異動や組織変更の際の大量の設定変更も効率的に実施できます。
ADManager PlusのActive Directory ユーザー管理ページはこちら
ADManager Plusのデータベース連携ページはこちら
※Microsoft 365(旧称:Office 365)を利用したクラウド環境においては、AzureADによる運用
ADManager Plusとは?
WebベースのGUIでActive Directoryのユーザー、コンピューター、ファイルサーバーを管理し、自動化、ワークフローなどを容易に実行できるActive Directory運用管理ソフトです。誰にでも操作しやすい画面で、適切な権限割り当て、更新作業ができます。Active Directoryにまつわる定型業務を効率化する豊富な機能で、管理者の運用負荷を軽減します。
AD360もおススメ!
Active Directoryのアカウント管理・監査/パスワードセルフ管理を一元化、Azure ADにも対応。Active Directoryのアカウント情報の一括更新、セキュリティログの収集・可視化、パスワード変更とアカウントロック解除のセルフサービス化など、多彩な機能を1つのコンソール画面で利用できるソフトウェアです。ファイルサーバーアクセス権管理の機能も備えています。
上記2つの製品について詳しく知りたい、一度使ってみたいという方は、ぜひ以下のURLにアクセスしてくださいね。
ADManager Plusの製品ページはこちら
ADManager Plusの概要資料ダウンロードページはこちら
ADManager Plusの無料版ダウンロードページはこちら
AD360の製品ページはこちら
AD360の概要資料ダウンロードページはこちら
AD360の無料版ダウンロードページはこちら
▼▼ 別シリーズのブログ記事もチェック! ▼▼
Microsoft MVPシリーズ第一弾:AzureADを利用する意味【AzureADの虎の巻】
Microsoft MVPシリーズ第二弾:Active Directoryの必要性【Active Directoryのハウツー読本】
Microsoft MVPシリーズ第三弾:Microsoft 365(旧称:Office365)とは【Microsoft 365の活用術】
Microsoft MVPシリーズ第四弾:ファイルサーバーのアクセス許可【ファイルサーバー管理のいろはを学ぶ】
>> 第1回人事システム管理とAD管理
<< 第3回 Azure ADが含まれるケースでのID管理フロー
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。