Reading Time: 1 minutes
★源泉IDとの連携設計について
★源泉IDとの連携パターンについて
第二弾:Active Directoryの必要性【MicrosoftのMVP解説!Active Directoryのハウツー読本】
第三弾:Microsoft 365(旧称:Office365)とは【MicrosoftのMVP解説!Microsoft 365の活用術】
第四弾:ファイルサーバーのアクセス許可【MicrosoftのMVP解説!ファイルサーバー管理のいろはを学ぶ】
前回まで人事システムとActive Directoryの管理を連動させていくことの重要性について解説しました。そして、できる限りActive DirectoryにID管理を集約させていくことで人事システムとの連動はしやすくなることを解説しました。一方、最近ではActive Directoryを中心とするオンプレミスでのID管理と共にクラウド側のID管理の体制も求められるようになり、一元化が難しくなっています。今回はこのようなケースにおいて行うべきID管理の体制について解説します。
★源泉IDを決めて運用する
当ブログのシリーズでも登場するMicrosoft 365(旧称:Office 365)は、日経225採用の70%以上の企業で使われているとも言われるほど、クラウドサービスは今や多くの企業で使われるようになりました。一方で、クラウドサービスを利用することになれば必ずそのためのIDが発生し、Active Directoryとは別に管理しなければなりません。
さらに人事システム管理も同時に行うことを考えると、管理すべき要素が増え、管理が煩雑になりがちです。
しかしクラウドサービスが絡んだ場合でも、Active Directoryと人事システムの連携と同じように、源泉となるIDの場所を決めて運用する原則は変わりません。新しい従業員が会社で働くことになったら、人事システムに個人情報を登録したり、Active Directoryやクラウドサービスにユーザーを登録したりしますが、このとき最初にユーザー情報を登録する場所を明確にしておきます。この登録場所は、最初にIDが生成される場所という意味で「源泉ID」と呼ぶことにしましょう。
源泉IDは、人事システムでも、Active Directoryでも、CSVファイルでも構いません。いずれにしても源泉IDの場所を明確にし、源泉IDを起点にID管理を行えば、誰にもわからないActive Directoryユーザーがいたり、クラウドサービス上のユーザーがいつまでも残されていたりする問題は解決されるはずです。
話は少しそれますが、2020年9月に大手通信会社の決済サービスを経由した銀行口座への不正アクセスの事件がありました。この事件では銀行のサービスが本人確認が明確ではないサービスと連携することが原因と報道されていますが、突き詰めると、口座連携によって結果的に複数の源泉IDが存在することになってしまい、そのうちのひとつが適切な管理が行われていなかったことが原因だったと言えます。このことからも、複数の源泉IDを同時並行に管理することの難しさがよくわかると思います。
★源泉IDとの連携を設計する
まず源泉IDは「源泉」ですから、できる限り1つになるように、そして例外が発生しないように設計します。一般的に新しい従業員が会社で働き始めるときには人事システムに従業員情報を登録するはずですので、人事システムを源泉IDとすることが多いと思います。
しかし、請負契約や派遣契約などで会社のシステムにアクセスする人が出てくると、人事システムにIDを登録せず、Active DirectoryやクラウドサービスだけにIDを登録するようなケースが発生します。しかし、このような例外は認めないで運用できるよう、例外なく人事システムに会社で働くすべての人の情報は登録します。もしそれができなければ、人事システム以外のシステムやデータベースを源泉IDにすることも検討してください。
次に、源泉IDに登録されたIDをActive DirectoryやクラウドサービスのようなID管理システムに同期を行い、源泉IDに登録されたIDと同じIDを利用できるようにします。ちなみにMicrosoft 365を利用している企業であれば、Azure Active Directory (Azure AD) がクラウドサービスのID管理システムになります。このような構成にすれば、源泉IDをマスターとして人事システム、Active Directory、そしてクラウド上のIDが一元管理できるようになります。
★源泉IDとの連携パターン
源泉IDを人事システムとした場合、人事システムをマスターとしてActive Directoryへの同期、そしてクラウドサービスへのID同期が必要になります。このとき、同期のパターンとして次の2つの方法があります。
ひとつは人事システム、Active Directory、クラウドサービスのID同期を直列に行う方法です。人事システムとActive Directoryの間での同期については前回解説した通りですが、Active Directoryに同期されたIDをさらにクラウドサービスへ同期させることで、結果的にIDの一元化が実現するパターンです。クラウドサービスとしてMicrosoft 365を利用している場合、IDの同期先はAzure ADとなりますが、Active DirectoryからAzure ADへの同期には「Azure AD Connect」と呼ばれるツールをマイクロソフトが提供しており、既に多くの企業での導入実績がある点がメリットといえます。
そしてもうひとつの方法が、源泉ID(人事システム)からActive DirectoryとクラウドサービスへのID同期を並列に行う方法です。この方法は源泉IDが生成されてから、Active DirectoryやクラウドサービスへのID同期がタイムラグを少なくできるため、設定がすぐに反映できる点がメリットといえます。
ここまで、源泉IDを起点にした他のシステムとの同期・連携の仕組みについて解説しました。新しい従業員が働き始めるとき、源泉ID(人事システム)への従業員情報の登録、Active Directoryへの同期、クラウドサービスへの同期を行い、一元的な管理を実現することで、煩雑な管理から解放されるだけでなく、セキュリティインシデントにもID管理の仕組みを実現できるのです。
株式会社ソフィアネットワーク所属。インターネットサービスプロバイダでの業務経験を経て、1997年よりマイクロソフト認定トレーナーとしてインフラ基盤に関わるトレーニング全般を担当。Azure ADを中心としたトレーニングの登壇やトレーニングコースの開発に従事するだけでなく、ブログ等のコミュニティ活動も評価され、2006年からAzure AD/Microsoft 365の分野におけるMicrosoft MVPを15年連続で受賞する。
主な著作に『ひと目でわかるIntune』 (日経BP)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。
ゾーホー社員のつぶやき
こんにちは!ゾーホージャパンの近藤です。ID連携といえば、私たちの生活にも多くのID連携が身近になっています。例えば、先月10月にスタートしたGoTo Eatキャンペーンに予約サイトを通じて利用しようとしたところ(既にポイント付与特典は終了してしまいましたが)、本人認証のために、YahooやLINEのID連携が行われていました。その他サイト登録の際にも、認証にFacebook/Twitterアカウントを使用できたりと、OpenIDを用いた認証連携は多くのWebサービスに拡がっています。我々サービス利用者としては、サイトごとに多くのパスワードを覚える手間を減らすことができますね。
さて、今回はActive Directoryを中心とするオンプレミスとクラウド側でのID管理体制について述べられていました。ID(ユーザー)管理システムの一つとして、オンプレミス環境においてはActive Directoryによる運用、Microsoft 365を利用したクラウド環境においてはAzureADによる運用が挙げられますが、Active DirectoryからAzure ADへの同期にはMicrosoftが提供している「Azure AD Connect」と呼ばれるツールが使用されます。社内にあるActive Directoryドメインのユーザーやグループを Azure ADに同期することで、Azure ADにユーザーとグループを自動で作成します。ただし、Azure AD Connectによって同期されたユーザーやグループはActive Directoryからしか変更を行うことができないため、まずはActive Directoryの管理が重要と言えるでしょう。詳しくは、本ブログシリーズ第一弾:第5回 Azure ADのユーザー・グループの管理(2)をご覧ください。
そこで、Active Directory管理を容易に実現できるソフト、ManageEngine「ADManager Plus」をご紹介します。
ADManager Plusでは、WebベースのシンプルなUIで操作できるため、簡単にユーザー管理を始められます。ユーザーの作成や無効化などのActive Directoryアカウント情報の管理作業を、テンプレートやレポート、CSVデータを利用した一括処理で大幅に効率化できます。また、Microsoft SQLやOracle Databaseのデータベース、WorkdayやZoho PeopleなどのSaaS系人事システムと連携できるので、人事異動や組織変更の際の大量の設定変更も効率的に実施できます。
ADManager PlusのActive Directory ユーザー管理ページはこちら
ADManager Plusのデータベース連携ページはこちら
ADManager Plusとは?
WebベースのGUIでActive Directoryのユーザー、コンピューター、ファイルサーバーを管理し、自動化、ワークフローなどを容易に実行できるActive Directory運用管理ソフトです。誰にでも操作しやすい画面で、適切な権限割り当て、更新作業ができます。Active Directoryにまつわる定型業務を効率化する豊富な機能で、管理者の運用負荷を軽減します。
AD360もおススメ!
Active Directoryのアカウント管理・監査/パスワードセルフ管理を一元化、Azure ADにも対応。Active Directoryのアカウント情報の一括更新、セキュリティログの収集・可視化、パスワード変更とアカウントロック解除のセルフサービス化など、多彩な機能を1つのコンソール画面で利用できるソフトウェアです。ファイルサーバーアクセス権管理の機能も備えています。
上記2つの製品について詳しく知りたい、一度使ってみたいという方は、ぜひ以下のURLにアクセスしてくださいね。
ADManager Plusの製品ページはこちら
ADManager Plusの概要資料ダウンロードページはこちら
ADManager Plusの無料版ダウンロードページはこちら
AD360の製品ページはこちら
AD360の概要資料ダウンロードページはこちら
AD360の無料版ダウンロードページはこちら
▼▼ 別シリーズのブログ記事もチェック! ▼▼
Microsoft MVPシリーズ第一弾:AzureADを利用する意味【AzureADの虎の巻】
Microsoft MVPシリーズ第二弾:Active Directoryの必要性【Active Directoryのハウツー読本】
Microsoft MVPシリーズ第三弾:Microsoft 365(旧称:Office365)とは【Microsoft 365の活用術】
Microsoft MVPシリーズ第四弾:ファイルサーバーのアクセス許可【ファイルサーバー管理のいろはを学ぶ】
>> 第2回 人事管理の業務フローとAD管理
<< 第4回 人事システムとクラウドサービスの連携
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。