次の方法で共有

Microsoft Entra IDでのアプリ プロビジョニングとは

Microsoft Entra IDでは、app provisioning という用語は、アプリケーションのユーザー ID とロールを自動的に作成することを指します。

プロビジョニング シナリオを示す図。

Microsoft Entraアプリケーション プロビジョニングとは、ユーザーがアクセスする必要があるアプリケーションでユーザー ID とロールを自動的に作成することを指します。 自動プロビジョニングには、ユーザー ID の作成に加えて、状態または役割が変化したときのユーザー ID のメンテナンスおよび削除が含まれます。 一般的なシナリオとしては、DropboxSalesforceServiceNow などの SaaS アプリケーションへのMicrosoft Entra ユーザーのプロビジョニングなどがあります。

Microsoft Entra IDでは、ファイアウォールを開かなくても、オンプレミスまたは仮想マシンでホストされているアプリケーションへのユーザーのプロビジョニングもサポートされます。 下の表は、サポートされているコネクタへのプロトコルのマッピングを示しています。

プロトコル コネクタ
SCIM SCIM - SaaS
SCIM - オンプレミス/プライベート ネットワークの場合
LDAP LDAP
SQL SQL
REST Web サービス
SOAP Web サービス
フラット ファイル PowerShell
カスタム カスタム ECMA コネクタ
パートナーによって構築されたコネクタとゲートウェイ
  • プロビジョニングを自動化する: 新しいユーザーがチームまたは組織に加わるときに、適切なシステムで新しいアカウントを自動的に作成できます。
  • プロビジョニング解除を自動化する: ユーザーがチームまたは組織を離れるときに、適切なシステムでアカウントを自動的に非アクティブ化できます。
  • システム間でデータを同期する: ディレクトリまたは人事システムでの変更に基づいて、アプリとシステムの ID を最新の状態に維持します。
  • アカウントの検出:ローカル アカウントや孤立したアカウントなど、アプリケーション内の既存のユーザーを検出します。
  • グループをプロビジョニングする: グループをサポートするアプリケーションにグループをプロビジョニングします。
  • アクセスの管理: アプリケーションでプロビジョニングされたユーザーを監視および監査します。
  • ブラウン フィールドのシナリオでシームレスにデプロイする: ターゲット システムにユーザーが既に存在する場合でも、システム間で既存の ID を一致させ、簡単に統合できるようにします。
  • リッチなカスタマイズを使用する: ソース システムからターゲット システムに送られる必要があるユーザー データが定義された、カスタマイズ可能な属性マッピングを利用します。
  • 重要なイベントのアラートを取得する: プロビジョニング サービスは、重要なイベントのアラートを提供し、ビジネス ニーズに合わせてカスタム アラートを定義できるLog Analytics統合を可能にします。

SCIM とは

プロビジョニングとプロビジョニング解除の自動化を助けるため、アプリでは独自のユーザー API とグループ API を公開します。 すべてのアプリが同じアクションを実行しようとするため、複数のアプリでのユーザー管理は困難です。 たとえば、ユーザーの作成または更新、グループへのユーザーの追加、ユーザーのプロビジョニング解除などです。 多くの場合、開発者がこれらのアクションを実装する方法は若干異なります。 使用するエンドポイント パスが異なったり、ユーザー情報を指定する方法が異なったり、情報の各要素を表すスキーマが異なったりします。

これらの課題に対処するため、クロスドメイン ID 管理システム (SCIM) 仕様では、アプリへの、アプリからの、およびアプリ内での移動に対し、共通のユーザー スキーマが提供されています。 SCIM は、プロビジョニングに対する事実上の標準になりつつあり、SAML (Security Assertions Markup Language) や OpenID Connect (OIDC) などのフェデレーション標準と一緒に使用すると、エンドツーエンドの標準ベースのアクセス管理用ソリューションが管理者に提供されます。

アプリケーションに対するユーザーとグループのプロビジョニングおよびプロビジョニング解除を自動化するための SCIM エンドポイントの開発について詳しくは、「SCIM エンドポイントの構築とユーザー プロビジョニングの構成」をご覧ください。 多くのアプリケーションは、Microsoft Entra IDと直接統合されます。 たとえば、Slack、Azure Databricks、Snowflake などがあります。 これらのアプリの場合は、開発者向けドキュメントをスキップし、Tutorials で提供されているチュートリアルを使用して、SaaS アプリケーションを Microsoft Entra ID と統合します。

手動プロビジョニングと自動プロビジョニングの比較

Microsoft Entra ギャラリー内のアプリケーションは、次の 2 つのプロビジョニング モードのいずれかをサポートします。

  • Manual プロビジョニングは、アプリに自動の Microsoft Entra プロビジョニング コネクタがまだ備わっていないことを意味します。 それらは手動で作成する必要があります。 たとえば、アプリの管理ポータルにユーザーを直接追加したり、ユーザー アカウントの詳細を含むスプレッドシートをアップロードしたりすることでこれを行います。 アプリから提供されるドキュメントを確認するか、アプリの開発者に問い合わせて、どのようなメカニズムが使用できるか判断してください。
  • Automatic は、このアプリケーションでMicrosoft Entra プロビジョニング コネクタが使用可能であることを意味します。 そのアプリケーションのプロビジョニングの設定に固有の設定チュートリアルに従ってください。 Tutorials で SaaS アプリケーションを Microsoft Entra ID と統合するためのアプリのチュートリアルを見つけます。

アプリケーションでサポートされているプロビジョニング モードは、アプリケーションをエンタープライズ アプリに追加した後の [プロビジョニング] タブにも表示されます。

自動プロビジョニングの利点

最新の組織で使用されるアプリケーションの数は増え続けています。 IT 管理者は、大規模なアクセス管理を管理する必要があります。 シングル サインオン (SSO) のために SAML や OIDC などの標準を使用しますが、アクセスのためにはユーザーをアプリにプロビジョニングする必要もあります。 プロビジョニングとは、すべてのユーザー アカウントを手動で作成したり、毎週 CSV ファイルをアップロードしたりすることを意味すると思われることもあります。 これらのプロセスは時間がかかり、コストがかかり、エラーが発生しやすくなります。 プロセスを合理化するために、SAML Just-In-Time (JIT) を使用してプロビジョニングを自動化します。 ユーザーが組織から退職するか、役割の変更のために特定のアプリにアクセスする必要がなくなるときに、同じプロセスを使用してプロビジョニングを解除します。

自動プロビジョニングを使用する一般的な動機には、次のようなものがあります。

  • プロビジョニング プロセスの効率と正確さを最大限に高める。
  • 独自に開発したプロビジョニング ソリューションやプロビジョニング スクリプトのホスティングとメンテナンスに伴うコストを抑える。
  • ユーザーが組織を離れるときに、主要な SaaS アプリからその ID をすぐに削除することで、組織のセキュリティを高める。
  • 多くのユーザーを特定の SaaS アプリまたは SaaS システムに簡単にインポートする。
  • アプリにサインインできるプロビジョニング対象ユーザーを、1 つのポリシー セットで決定する。

Microsoft Entraユーザー プロビジョニングは、これらの課題に対処するのに役立ちます。 お客様がユーザー プロビジョニングMicrosoft Entra使用している方法の詳細については、ASOS のケース スタディを参照してください。 次のビデオでは、Microsoft Entra IDでのユーザー プロビジョニングの概要について説明します。

Microsoft Entra の自動ユーザー プロビジョニングで使用できるアプリケーションとシステムは何ですか?

Microsoft Entraは、多くの一般的な SaaS アプリと人事システムの事前に設定されたサポートと、SCIM 2.0 標準の特定の部分を実装するアプリの汎用サポートを備えています。

  • Preintegrated アプリケーション (ギャラリー SaaS アプリ): saaS アプリケーションを Microsoft Entra ID と統合するために、Microsoft Entra IDが事前に統合されたプロビジョニング コネクタをサポートしているすべてのアプリケーションを Tutorials で見つけることができます。 ギャラリーに一覧表示されている事前統合アプリケーションでは、通常、プロビジョニングに SCIM 2.0 ベースのユーザー管理 API が使用されています。

    DropBox、Salesforce、その他のロゴを示す画像。

    プロビジョニング用の新しいアプリケーションをリクエストするには、「Microsoft Entra アプリケーション ギャラリーにアプリケーションを発行するための申請を行う」を参照してください。 ユーザー プロビジョニング要求の場合、アプリケーションには SCIM 準拠のエンドポイントが必要です。 アプリをプラットフォームに迅速にオンボードできるように、アプリケーションのベンダーに SCIM 標準に準拠することを要求してください。

  • SCIM 2.0 をサポートするアプリケーション: SCIM 2.0 ベースのユーザー管理 API を実装するアプリケーションを汎用的に接続する方法については、「SCIM エンドポイントの構築とユーザー プロビジョニングの構成」を参照してください。

  • 既存のディレクトリまたはデータベースを使用するアプリケーション、またはプロビジョニング インターフェイスを提供するアプリケーション: LDAP ディレクトリにプロビジョニングする方法、SQL データベース、REST または SOAP インターフェイスの使用、または PowerShellカスタム ECMA コネクタ、またはパートナーによって構築されたコネクタとゲートウェイを経由してアクセスする方法については、チュートリアルを参照してください。

  • SAML を使用して Just-In-Time プロビジョニングをサポートするアプリケーション

アプリケーションへの自動プロビジョニングを設定する方法

ギャラリーに一覧表示されている事前統合されたアプリケーションについては、既存のステップ バイ ステップ ガイダンスを使用して自動プロビジョニングを設定します。SaaS アプリケーションを Microsoft Entra ID と統合するためのTutorials に関するページを参照してください。 次のビデオでは、SalesForce の自動ユーザー プロビジョニングの設定方法が示されます。

SCIM 2.0 をサポートする他のアプリケーションについては、「SCIM エンドポイントの構築とユーザー プロビジョニングの構成」の手順に従ってください。

次の手順

  • Last updated on