記事公開日
【Microsoft Entra】入退社管理を自動化!ライフサイクルワークフロー入門
この記事のポイント
本記事では、Microsoft Entraの「ライフサイクルワークフロー」の基本要件から、導入前に知っておくべき制約までを解説します。
- ライフサイクルワークフローでID管理を自動化:
入社、異動、退職のタイミングに合わせて、定型作業を自動で実行し、手作業によるミスやセキュリティリスクを削減します。 - 導入に必要な基本要件を整理:
利用にあたって必要となる「Microsoft Entra ID Governance」などのライセンスと、設定に必要な管理者権限について解説します。 - テンプレートとタスクで簡単に構成可能:
Microsoftが用意したシナリオ別の「テンプレート」と、グループ追加などの「タスク」を組み合わせてワークフローを構築する方法を紹介します。 - ライフサイクルワークフローの制約と解決策:
複雑な条件分岐への対応、カスタム属性をトリガーにした際の検知遅延など、導入前に知っておくべき標準機能の制限と、それを補完する解決策を解説します。
こんにちは!DXソリューション営業本部の森です。
IT部門の皆さんは、人事異動や入退社のシーズンが来るたびにこんな悩みを抱えていませんか?
- 「入社する社員のアカウント有効化やグループ追加を手動でやっているが、件数が多くてミスが起きそう…」
- 「退職した社員の権限削除漏れがないか不安。アカウントやグループの放置はセキュリティ上、危険…」
- 「異動に伴う権限の付け替えが追いつかない…」
このようなIDのライフサイクル管理(Joiner:入社、Mover:異動、Leaver:退職)にまつわる一連の作業を
あらかじめ定義したロジックに従って「自動実行」してくれる強力なソリューションが、Microsoft Entra IDに用意されています。
それが、Microsoft Entra ID Governance の機能の一つである「ライフサイクルワークフロー」です!
本ブログは、この「ライフサイクルワークフロー」について、わかりやすく解説していきます!
1. ライフサイクルワークフローとは?
Microsoft Entra ID Governanceの機能の一つである「ライフサイクルワークフロー」とは、
Entra ID上で作成されているユーザーの入社・異動・退職といったライフサイクルイベントに連動して、
必要なID管理作業をあらかじめ定義したルールに従い自動実行する機能です!
これにより、担当者が日々手作業で行っていたグループへの追加や退職したユーザーの削除といった業務を自動化できます。
さらに、手作業による設定ミスをなくし、退職者や異動者の不要な権限が残ったままになる「権限の肥大化」や
放置アカウントのリスクを未然に防いでくれます。
2. ライフサイクルワークフローの基本要件
ライフサイクルワークフローを導入するにあたって、基本的な要件は以下の通りです。
■ 利用に必要なライセンス
ライフサイクルワークフローを利用するには、対象ユーザーに対して以下のいずれかのライセンスが必要です。
- Microsoft Entra ID Governance
- Microsoft Entra Suite
■ ワークフローを作成する権限(Entra ロール)
ワークフローの作成、管理、編集を行うには、Entra ID上で以下いずれかの権限が必要です。
- 「ライフサイクルワークフロー管理者」
- 「グローバル管理者」
3. ワークフローの作成
ここからは、ワークフローの作成に関して簡単にご紹介していきます。
ワークフローの作成は「Microsoft Entra 管理センター」から行うことができます。
ワークフローは、ゼロから作るのではなく、テンプレート(入社用、異動用、退職用)をカスタマイズして作成していきます。
作成可能なワークフローの総数は、最大100個までとなっています。
使用できる主なテンプレートの一例は以下の通りです。
| カテゴリ | テンプレート名 |
|---|---|
| 入社 | 採用前の従業員のオンボード |
| 新入社員をオンボードする | |
| 従業員のオンボーディング後 | |
| 異動 | リアルタイム従業員異動 |
| 従業員グループ メンバーシップ変更 | |
| 従業員のジョブ プロファイルの変更 | |
| 退職 | リアルタイムの従業員の退職 |
| 従業員の事前オフボーディング |
ワークフローで組み合わせて使用できる定義済みのタスクの一例は以下の通りです。
また、ワークフロー1つに対して使用できるタスクの個数は25個までになっています。
| タスク名 | 説明 |
|---|---|
| ユーザー アカウントの有効化 / 無効化 | 対象ユーザーのEntra IDアカウントのサインインを許可、またはブロックします。 |
| 一時アクセス パスの生成と送信 | 初回サインイン時などに利用できる一時的なパスコード(TAP)を生成し、本人の上司などにメールで送信します。 |
| グループへの追加 / 削除 | 指定したセキュリティグループやMicrosoft 365グループへユーザーを追加、または削除します。 |
| チームへの追加 / 削除 | 指定したMicrosoft Teamsのチームへユーザーを追加、または削除します。 |
| メールの送信 | 入社時のウェルカムメールや、退職時の案内など、指定した宛先(本人や上司など)に定型メールを送信します。 |
| カスタム タスク拡張機能の実行 | Azure Logic Appsを呼び出し、標準タスクでは対応できない外部システム連携や複雑な条件処理を実行します。 |
※最新の定義済みタスクは、Microsoftの公式ドキュメントを確認してください。
これらのタスクを自由に組み合わせることで、業務フローに合わせた柔軟な自動化が実現可能です!
実際に、テンプレートを用いたワークフローの作成は、次回のブログでご紹介させていただきます。
4. ライフサイクルワークフローの制約と解決策
ここからは、ライフサイクルワークフローを導入する前に押さえておくべき制約と解決策について紹介していきます。
① ユーザーアカウントやグループは事前に作成する
ライフサイクルワークフローは、すでにEntra ID上に存在しているユーザーアカウントに対する操作(有効化や無効化、グループへの追加など)を行う機能です。
そのため、ワークフローの処理の中で新しくユーザーやグループを作成することはできません。
ワークフローの実行対象となるユーザーアカウントや、追加/削除先となるグループは、必ず事前にEntra ID上で作成しておく必要があります。
② 複雑な条件分岐は Azure Logic Apps を使用する
「この条件に合致したユーザーに、このタスクを順番に実行する」というシンプルな処理が基本となります。
「部署がAならXを追加、部署がBならYを追加…」といった複雑な条件分岐を1つのワークフロー内に細かく作り込むことはできません。
高度な条件分岐や外部SaaSとの連携処理が必要な場合は、ワークフロー内からAzure Logic Appsを呼び出し、複雑な処理はLogic Apps側で実装して補完する必要があります。
③ 即時実行が必要な場合は「オンデマンド実行」を活用する
ワークフローの自動実行はバックグラウンドのスケジュール処理で行われます。(既定で3時間ごと、1時間~24時間に変更可能)
「ユーザー情報を更新したから今すぐ自動処理してほしい」といった即時反映は推奨されていません。
しかし、構築中の動作テストを行いたい場合は、管理画面から特定のユーザー(最大10名)を指定して手動で実行するオンデマンド実行を利用して対応できます。
④ ワークフローからActive Directoryへの属性変更はカスタムタスク拡張機能を使用する
ライフサイクルワークフローはMicrosoft Entra IDの機能のため、オンプレAD側でユーザーを管理している環境において、
ワークフローから直接オンプレミスADの属性変更やグループ追加を行うことはできません。
オンプレミスADへの属性変更等が必要な場合は、カスタムタスク拡張機能を使用しクラウド側の変更をオンプレミスADへ反映させる構成をあらかじめ検討する必要があります。
⑤ トリガーとなる属性はなるべく組み込みの属性の利用を推奨
ライフサイクルワークフローにおいて、起動のトリガーとしてディレクトリ拡張属性(extensionAttribute1~15 )やカスタムセキュリティ属性を利用することは可能です。
ただし、カスタム属性をトリガーとした場合は組み込みの属性よりも検知に時間がかかり、公式ドキュメント 上でも「最大で4時間程度の遅延が発生する可能性がある」とされています。
そのため可能な限り、組み込みの属性(department、jobTitle等)を利用するようにしましょう。
5. まとめ
ここまで、ライフサイクルワークフローの概要について見ていきましたがいかがでしたでしょうか?
このMicrosoft Entra の「ライフサイクルワークフロー」は、IT担当者が手作業で実施していた「入社・異動・退職」時のアカウント管理や権限管理を自動化してくれる機能です。
標準機能ではオンプレミスADへの直接変更や複雑な条件分岐など一部対応できないケースもありますが、Azure Logic Appsとの連携やMicrosoft Entra Cloud Syncなどを組み合わせることで、自社の要件に合わせて柔軟に対応できます。最新の制限事項などはMicrosoftの公式ドキュメントを確認してみてください。
次回は、いよいよ実際の画面を見ながら「入社・異動・退職」のワークフローを作成していきます!
ご興味のある方は、ぜひ次回のブログもチェックしてみてください!
QUICK E-Solutionsでは、各種Microsoftソリューションを活用した業務効率化・システム導入のお手伝いをしております。
それ以外でも 様々なアプリケーションの開発・導入を行っております。提供するサービス・ソリューションにつきましては こちら に掲載しております。
システム開発・構築でお困りの問題や弊社が提供するサービス・ソリューションにご興味を抱かれましたら、ぜひ一度 お問い合わせ ください。
※このブログで参照されている、Microsoft、Microsoft Entra ID、Microsoft Entra ID Governance、Azure、Azure Logic Apps、Microsoft 365、Microsoft Teamsは、米国Microsoft Corporationの米国およびその他の国における商標または登録商標です。
