記事公開日
【Microsoft Entra】ゼロからわかるMicrosoft Entra IDの自動ユーザープロビジョニング
この記事のポイント
Microsoft Entra ID の「アプリ プロビジョニング」を解説します。
これまで担当者が手作業で行いがちだった、各アプリへのアカウント発行・更新・削除を、ID基盤を起点に“自動で”行うための仕組みです。その考え方・対応方式・対象アプリを、公式情報をもとに整理します。
- プロビジョニングとは:ユーザーがアクセスするアプリ側に、ID とグループを自動で作成することを指します。状態や役割の変化に応じた維持・削除(プロビジョニング解除)まで含みます。
- SCIM が事実上の標準:アプリごとにバラバラなユーザー管理APIを、共通スキーマで標準化する仕様です。SAML や OIDC と組み合わせると、標準ベースのアクセス管理が完成します。
- クラウドもオンプレミスも対象:SaaS だけでなく、オンプレミスや仮想マシン上のアプリへもプロビジョニングできます。
- 手作業より速く・正確に・安全に:CSV の手動アップロードに比べ、効率と正確性が上がり、退職者の権限を即座に除去できるためセキュリティも向上します。
「Microsoft Entra ID(旧 Azure AD)」と聞くと、サインインや多要素認証を担う“認証基盤”というイメージが強いのではないでしょうか。その Entra には、ユーザーが必要とするアプリの側に ID とグループを自動で作成・維持・削除する「アプリ プロビジョニング」という仕組みが備わっています。
アプリが増え続ける今の環境では、すべてのアカウントを手で作り、毎週 CSV をアップロードして……という運用は時間もコストもかかり、ミスも起きやすくなります。本記事では、アプリ プロビジョニングとは何か・どんな方式があるのか・どのアプリで使えるのかを、Microsoft の公式情報をもとに整理します。
用語の整理:プロビジョニング(provisioning)=アプリ側にアカウントを用意すること。逆に不要になったアカウントを止める/消すことを プロビジョニング解除(deprovisioning) と呼びます。本記事では、Entra が自動でこれらを行う仕組みを「自動(ユーザー)プロビジョニング」と表記します。
アプリ プロビジョニングとは
Microsoft Entra ID における アプリ プロビジョニングとは、ユーザーがアクセスする必要のあるアプリケーション側に、ユーザー ID とグループを自動的に作成することを指します。自動プロビジョニングには ID の作成だけでなく、状態や役割が変わったときの 維持(更新)、そして不要になったときの 削除 までが含まれます。
代表的なシーンは、Dropbox・Salesforce・ServiceNow といった SaaS アプリへ、Entra のユーザーを自動でプロビジョニングするケースです。さらに Entra ID は、オンプレミスや仮想マシン上でホストされているアプリへのプロビジョニングにも対応します。
自動プロビジョニングでできることを整理すると、次のとおりです。
- プロビジョニングの自動化:新しいメンバーが加わったとき、対象システムにアカウントを自動作成。
- プロビジョニング解除の自動化:退職・離脱にあわせて、対象システムのアカウントを自動で無効化。
- システム間のデータ同期:ディレクトリや人事システムの変更にあわせ、各アプリの ID を最新の状態に維持。
- アカウントの検出:アプリ内に残るローカルアカウントや孤立アカウントを発見。
- グループのプロビジョニング:グループ対応アプリへグループ単位で展開。
- アクセスの管理:プロビジョニングしたユーザーを監視・監査。
- ブラウンフィールド対応:対象側に既存ユーザーがいても、ID を突き合わせてスムーズに統合。
- 柔軟なカスタマイズ:送信する属性を定義する属性マッピングを自由に調整。
- 重要イベントのアラート:Log Analytics 連携で、重要なイベントの通知やカスタムアラートを設定。
対応するプロトコルとコネクタ
オンプレミス/プライベートネットワーク上のアプリへは、対象が話す“プロトコル”ごとに用意されたコネクタを使ってプロビジョニングします。対応関係は次のとおりです。
ポイント:オンプレミス系のコネクタ(LDAP・SQL・Web サービス・PowerShell・カスタム ECMA)は、エージェント(プロビジョニング エージェント/ECMA Connector Host)を社内に置くことで、外部にポートを開けずに連携できます。
SCIM とは ― プロビジョニングの共通言語
プロビジョニングを自動化するために、各アプリは独自のユーザー API・グループ API を公開しています。ところが「ユーザーの作成・更新」「グループへの追加」「プロビジョニング解除」といった同じ操作でも、アプリごとにエンドポイントもデータの渡し方もスキーマも微妙に違います。これが、複数アプリのユーザー管理を難しくしている原因です。
この課題に応えるのが SCIM(System for Cross-domain Identity Management) です。アプリへ/アプリから/アプリ内での ID 移動に対し、共通のユーザースキーマを定めた仕様で、いまやプロビジョニングの事実上の標準になりつつあります。SAML や OpenID Connect(OIDC)といったフェデレーション標準と組み合わせることで、認証からプロビジョニングまでを標準ベースで一貫管理できます。
手動プロビジョニングと自動プロビジョニングの違い
Microsoft Entra ギャラリーのアプリは、次の 2 つのプロビジョニング モードのいずれかに対応します。
- Manual(手動):自動コネクタがまだ無いアプリ。管理ポータルへ直接ユーザーを追加したり、アカウント情報のスプレッドシートをアップロードしたりして、手作業で作成します。どの方法が使えるかはアプリの提供元に確認します。
- Automatic(自動):そのアプリ専用のプロビジョニング コネクタが用意されている状態。アプリごとの設定チュートリアルに沿って構成すれば、作成・更新・削除を自動化できます。
※ 対応モードは、エンタープライズ アプリに追加したあとの「プロビジョニング」タブでも確認できます。
自動プロビジョニングのメリット
組織が使うアプリの数は増え続け、IT 管理者は大規模なアクセス管理を担う必要があります。SSO のために SAML や OIDC を使っても、利用するにはユーザーをアプリへプロビジョニングする作業が別途発生します。これを手作業や CSV アップロードでこなすのは、時間もコストもかかりミスも起きやすい——そこで効くのが自動化です。
自動プロビジョニングを採用する代表的な動機は次のとおりです。
- プロビジョニング作業の効率と正確性を最大化する。
- 独自スクリプトや自作ツールのホスティング・保守コストを削減する。
- 退職時に主要 SaaS から ID を即座に除去し、組織のセキュリティを高める。
- 多数のユーザーを特定の SaaS へ簡単に取り込む。
- アプリにサインインできる対象ユーザーを、1 つのポリシーセットで決定する。
考え方:「アクセスできる人を決める」のが認証・条件付きアクセス、「アクセスする先にアカウントを用意する」のがプロビジョニング。両者をセットで自動化すると、入社から退職までの ID 運用が“仕組み”として回り始めます。
どんなアプリ・システムが対象になるのか
Microsoft Entra は、主要な SaaS・人事システムを事前設定でサポートするほか、SCIM 2.0 標準の特定部分を実装するアプリを汎用的にサポートします。対象は大きく次の 4 タイプに分けられます。
- ① 事前統合アプリ(ギャラリー SaaS):Entra ID が事前統合済みのコネクタを持つアプリ群。多くは SCIM 2.0 ベースのユーザー管理 API を使います。チュートリアルに沿って設定します。
- ② SCIM 2.0 をサポートするアプリ:SCIM 2.0 ベースの API を実装するアプリへ、汎用の手順で接続します。アプリ提供元に SCIM 準拠を求めると、オンボードがスムーズです。
- ③ 既存ディレクトリ/DB を使うアプリ:LDAP ディレクトリ、SQL データベース、REST/SOAP インターフェイス、PowerShell、カスタム ECMA コネクタ、パートナー製コネクタ・ゲートウェイ経由でプロビジョニングします。
- ④ SAML JIT に対応するアプリ:SAML の Just-In-Time プロビジョニングに対応するアプリ。サインインのタイミングでアカウントを払い出します。
まとめ
Microsoft Entra のアプリ プロビジョニングは、アプリ側のアカウント発行・更新・削除を、ID 基盤を起点に“仕組み”として自動化するソリューションです。要点を整理すると次のとおりです。
- プロビジョニングは ID とグループの作成・維持・削除までを含む。
- SCIM が共通言語となり、SAML/OIDC と組み合わせて標準ベースのアクセス管理が完成する。
- SaaS だけでなく、LDAP・SQL・REST/SOAP・PowerShell・カスタム ECMA でオンプレミスアプリにも対応。
- 手作業に比べ効率・正確性・セキュリティが向上する。
「適切なユーザーに、適切なアカウントを、適切なタイミングで」用意することを、人手ではなく仕組みで実現できる点が最大の価値です。まずは身近な 1 アプリから、小さく自動化を始めてみてはいかがでしょうか。
QUICK E-Solutionsでは、AIを活用した業務効率化・システム導入のお手伝いをしております。
それ以外でも 様々なアプリケーションの開発・導入を行っております。提供するサービス・ソリューションにつきましては こちら に掲載しております。
システム開発・構築でお困りの問題や弊社が提供するサービス・ソリューションにご興味を抱かれましたら、ぜひ一度 お問い合わせ ください。
※このブログで参照されている、Microsoft、Microsoft Entra、Microsoft 365、Azure、Microsoft Entra ID Governance は、米国およびその他の国におけるMicrosoft Corporationの商標または登録商標です。その他の商標および登録商標は、それぞれの所有者に帰属します。
