こんにちは!市川です!
従業員が部署異動する際に、IT管理者が手動で既存のグループやチームから削除し新しい部署へと割り当てを切り替えるのは手間がかかります。特に複数人の異動時には、各部署への振り分けや割り当ての切り替え作業に労力と時間がかかり、作業漏れが発生することもあります。
そこで今回は、Microsoft Entra ID Governanceの新しい機能でもある「”ライフサイクルワークフロー”を活用して、従業員の部署異動のタイミングに合わせて特定のタスクを自動適用する方法」を紹介します。
これにより、従業員のグループメンバーシップが変更されたと同時に、グループやチームから該当の従業員を自動で削除します。 また、すべての新入社員に対して一貫したプロセスを適用することで作業漏れを防ぎ、組織に合わせたワークフローのアレンジも可能です。ぜひご参考ください!
・従来の異動プロセス
・ライフサイクルワークフローを活用した異動プロセス
◎ワークフローの活用シリーズ◎
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
・従業員の”入社”に合わせてタスクを自動適用する方法
「新入社員のオンボーディングを自動化する方法」
・従業員の”退職”に合わせてタスクを自動適用する方法
「従業員のオフボーディングを自動化する方法」
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
目次
- 1.ライフサイクルワークフローとは?
- 2.(事前準備) 詳細情報の入力
- 3.ワークフローの作成
- 4.グループメンバーシップの変更
- 5.異動タスクの実施
- 6.カタログとアクセスパッケージの作成
- -アクセス パッケージの作成
- -カタログの作成
- 7.ワークフローをすぐに手動で実行する方法
- 8.ワークフローの実行スケジュールを変更する方法
- ◎ワークフローの活用シリーズ紹介◎
1.ライフサイクルワークフローとは?
ライフサイクルワークフローとは、Microsoft Entra ID Governanceの新しい機能で、従業員の入社・異動・退職などに伴い発生するIT管理者側の手続きを自動で行う仕組みです。従業員のさまざまなライフサイクルに合わせて必要なタスクを自動適用することができ、IT管理者の手作業を減らし、一貫した管理が実現されます。
※前提として、Microsoft Entra ID Governance または Microsoft Entra Suiteのライセンスが必要です。
2.(事前準備) 詳細情報の入力
ライフサイクルワークフローを活用するにあたり、Entra IDに詳細情報を入力することがポイントとなります。ライフサイクルワークフローでは、この情報を基に「部署」「該当社員のマネージャーは誰か」など入手しフローを実行します。
1.Microsoft 365 管理センターを開き、管理センターの「ID」をクリックします。
2.「ユーザー」のタブより「すべてのユーザー」をクリックします。
3.ワークフローを適用させる、該当のユーザーをクリックします。
4.「プロパティ」をクリックします。
5.「ジョブ情報」横の「鉛筆マーク」をクリックします。
6.所属部署やマネージャーなどの情報を入力し「保存」をクリックします。
※ここで入力した情報を基にワークフローが実行されます。
7.「連絡先情報」横の「鉛筆マーク」をクリックします。
8.メールアドレスを入力し「保存」をクリックします。
9.詳細情報の入力が完了しました。
3.ワークフローの作成
ワークフローを作成します。部署異動のタイミングに合わせて特定のタスクが適用されるように、ワークフローを構成します。
1.Microsoft Entra 管理センターを開き、「Identity Governance」のタブより「ライフサイクル ワークフロー」をクリックします。
2.「ワークフローの作成」をクリックします。
3.ワークフローのテンプレートを使用します。「従業員グループ メンバーシップ変更」の「選択」をクリックします。
4.テンプレートでは、すでに従業員が異動したときのためのタスクや、設定が構成されています。どのような設定がされているのかを確認していきます。
5.「トリガーの詳細」では、以下のように設定されています。「次へ:スコープの構成」をクリックします。
——————————————————————————————————-
トリガーの種類:グループのメンバーシップの変更
操作:グループから削除済み
——————————————————————————————————–
※ここでは、「グループのメンバーが削除されたときにワークフローが実行される」というように設定されています。
6.「スコープの詳細」では、フローの対象となるグループを選択します。「グループの選択」をクリックします。
7.対象グループにチェックを入れ、「選択」をクリックします。
8.「次へ:タスクの確認」をクリックします。
9.「ワークフロー タスク」には、すでに3つのタスクが構成されています。
10.それでは1つずつ紹介していきます。まずは、「ユーザーのアクセス パッケージの割り当てを削除する」のタスクをクリックします。
11.タスクをクリックすると、構成の詳細が確認できます。「0アクセス パッケージが選択されました」をクリックします。
12.割り当てを削除するアクセス パッケージにチェックを入れ「選択」をクリックします。
※アクセス パッケージの詳細と作成方法はこちら
13.「保存」をクリックします。
14.次に、「選択した Teamsからユーザーを削除する」のタスクをクリックします。
15.「0チームが選択されました」をクリックします。
16.該当部署のチームなど、削除するチームにチェックを入れ「選択」をクリックします。
17.「保存」をクリックします。
18.次に、「ユーザーの移動をマネージャーに通知するメールを送信する」のタスクをクリックします。
19.このタスクは、従業員のプロファイルが変更されたことをマネージャーにメールで送信することができます。「CC 受信者」にほかのユーザーを含めることもできます。
※実行時には、目次2 手順6にて入力した情報が基になります。
20.「次へ:確認と作成」をクリックします。
21.「スケジュールの有効化」にチェックを入れ「作成」をクリックします。
22.ワークフローが正常に作成されました。
4.グループメンバーシップの変更
異動する従業員をワークフローの対象グループのメンバーから削除します。
1.対象グループを開き、「メンバー」をクリックします。
2.異動する従業員にチェックを入れ、「削除」をクリックします。
3.「はい」をクリックします。
4.メンバーが削除されました。
5.異動タスクの実施
ワークフロー結果を確認します。
<フローの実行>既定では、3時間ごとに実行されるようにスケジュールされていますが、最小1時間~最大24時間までの間隔で変更可能です。スケジュール方法はこちら
※フローを今すぐ実行させる方法はこちら
1.作成したタスクをクリックします。
2.「ワークフロー履歴」をクリックします。
3.ワークフローの実行結果が表示されます。
4.状態が「完了」となっていることが確認できます。合計タスク数の数字をクリックします。
5.3つのタスクがすべて正常に実行されたことがわかります。
6.それぞれのタスクが実行された結果を見ていきましょう。Microsoft Entra 管理センターで、該当のユーザーを開きます。
7.「グループ」を見ると、正常に「jiroyamada」のグループが削除されていることが確認できました。
8.「アプリケーション」を見ると、アクセス パッケージの割り当てが削除されたことが確認できました。
(削除前)
削除前は、BOXやSlackアプリが割り当てられていました。
9.Teamsのチーム「yjk365」のメンバーから「高橋 三郎」が削除されていることがわかります。
10.タスクが実行された結果、異動するユーザー「高橋 三郎」のマネージャー「山田 次郎」のOutlookにメールが届いていることが確認できました。
11.異動するユーザー「高橋 三郎」のOutlookには、リソースが終了したことを知らせるメールが届いていました。
6.カタログとアクセスパッケージの作成
目次3 手順12にて使用した、アクセス パッケージについて詳細と作成方法をご紹介します。
カタログとアクセス パッケージとは?
リソースを管理するために使われます。
カタログ:会社の中で使うアプリやグループなどをまとめて管理するためのもの。
アクセスパッケージ:カタログの中のリソースにアクセスするための権限をまとめて管理するためのもの。
アクセス パッケージの作成
1.Microsoft Entra 管理センターを開き、「Identity Governance」のタブより「エンタイトルメント管理」をクリックします。
2.「アクセス パッケージ」をクリックします。
3.「新しいアクセス パッケージ」をクリックします。
4.任意の名前と説明を入力し、「カタログ」を選択します。「新しいカタログの作成」をクリックするとカタログの作成が可能です。
※カタログの作成方法はこちら
5.「次へ:リソース ロール」をクリックします。
6.「グループとチーム」をクリックします。
7.含めるグループにチェックを入れ、「選択」をクリックします。
※カタログにないすべてのグループやチームを選択する場合は、緑枠にチェックを入れてください。
8.ロールのプルダウンから、「Owner (管理者) 」または「Member (メンバー) 」を選択します。
※Ownerは”リソースの管理者”、Memberは”リソースを使う人”となります。
9.「アプリケーション」をクリックします。
10.含めるアプリにチェックを入れ、「選択」をクリックします。
11.ロールのプルダウンから、「User (ユーザー) 」または「msiam_access (管理者) 」を選択します。
※ Userは”アプリの利用者”、 msiam_accessは”アプリの管理者”となります。
12.「SharePoint サイト」をクリックします。
13.含めるサイトをクリックし、「選択」をクリックします。
14.ロールのプルダウンから、「メンバー」「閲覧者」「所有者」のいずれかを選択します。
15.「Microsoft Entra ロール (プレビュー) 」をクリックします。
16.含めるロールをクリックし、「選択」をクリックします。
17.ロールのプルダウンから、「Active Member」または「Eligible Member」を選択します。
※Active Memberは”すぐにロールを使える人”、Eligible Memberは”ロールを使うために認証などの手続きが必要な人”となります。
18.「次:要求」をクリックします。
19.アクセス権を要求できるユーザー単位を設定します。
※今回は「ディレクトリ内のユーザーとグループ」の「すべてのメンバー (ゲスト除く) 」に絞ります。
20.承認の要求有無などの設定をし「次へ:要求元情報」をクリックします。
21.「次:ライフサイクル」をクリックします。
22.アクセス レビューなどの設定をし「次へ:ルール」をクリックします。
23.「次へ:確認および作成」をクリックします。
24.「作成」をクリックします。
25.アクセス パッケージが正常に作成されました。
カタログの作成
1.Microsoft Entra 管理センターを開き、「Identity Governance」のタブより「エンタイトルメント管理」をクリックします。
2.「カタログ」をクリックします。
3.「新しいカタログ」をクリックします。
4.任意の名前と説明を入力し、「作成」をクリックします。
5.カタログが正常に作成されました。新しく作成した「カタログ」をクリックします。
6.「リソース」をクリックします。
7.「リソースを追加します」をクリックします。
8.カタログ内に含めるリソースを追加していきます。
※リソースの追加手順は目次6 手順6~を参考ください。
7.ワークフローをすぐに手動で実行する方法
ワークフローの実行は、既定では3時間ごとに実行されるようにスケジュールされていますが、最小1時間~最大24時間までの間隔で変更可能です。※スケジュール方法はこちら
ここでは、ワークフローをすぐに実行する方法を説明します。
1.すぐに実行させたいワークフローにチェックを入れ、「オンデマンドで実行」をクリックします。
2.「ユーザーの選択」をクリックします。
3.実行させるユーザーにチェックを入れ、「選択」をクリックします。
4.「ワークフローの実行」をクリックします。
5.ワークフローがオンデマンドで実行され、処理が開始されました。
8.ワークフローの実行スケジュールを変更する方法
ワークフローの実行は、既定では3時間ごとに実行されるようにスケジュールされています。※フローを今すぐ実行させる方法はこちら
ここでは、既定の実行スケジュールを変更する方法を説明します。
1.ライフサイクル ワークフローを開き、「ワークフロー設定の表示」をクリックします。
2.「ワークフロー スケジュール」にて、最小1時間~最大24時間までの間隔で実行スケジュールの変更が可能です。変更が完了したら「保存」をクリックします。
3.設定が正常に反映され、ワークフロー スケジュールが変更されました。
◎ワークフローの活用シリーズ紹介◎
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
・「新入社員のオンボーディングを自動化する方法」
新入社員の「入社日」、または「入社○日前」などに合わせて特定のフローを実行できます。
・「従業員のオフボーディングを自動化する方法」
従業員の「退職日当日」、または「退職日○日前・○日後」などに合わせて特定のフローを実行できます。※「属性変更」や「グループメンバー削除」に合わせることも可能です。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
その他お困りごとも動画で解説!
