Azure AD の新機能により ID プロビジョニングをよりシンプルに

Published: / Last update: / Contributors:
feedback 共有

こんにちは、Azure Identity サポート チームの中井です。

本記事は、2021 年 12 月 13 日に米国の Azure Active Directory Identity Blog で公開された Simplify your identity provisioning with these new Azure AD capabilities を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。


リモートワークの発展と導入が進む中、強固な ID とガバナンスの制御が ITの拡張性と柔軟なユーザー体験にとって重要です。本日、このようなご要望に対応するために、Azure Active Directory (Azure AD) の新機能とベスト プラクティスをご紹介します。これらのアップデートにより、Azure AD Connect クラウド同期を構成している状況でのクラウドからのパスワード ライトバックの実行、オンプレミス アプリケーションへのプロビジョニング、SCIM プロビジョニング エンドポイントの検証などが可能になります。

オンプレミスとクラウドを問わずパスワードのリセットが可能に

パスワード ライトバックにより、オンプレミスから同期しているユーザーがクラウド上でパスワードの変更を開始すると、ユーザーのオンプレミス Active Directory Domain Services (AD DS) 環境にリアルタイムにパスワードが書き戻されます。これにより、ユーザーは複数のパスワードの管理に悩まされることなく、クラウドとオンプレミスのアプリケーションをシームレスに行き来することができます。また、パスワードがどこで更新されても、クラウドとオンプレミスの間で同期状態を維持することが可能です。

現在パブリック プレビュー中の Azure AD Connect クラウド同期のパスワード ライトバック を用いることで、従来の Azure AD Connect からは到達できないドメインに存在するユーザーをパスワード ライトバックの対象とすることが可能となります。組織は、複数のネットワーク的に分断されたドメインから単一の Azure AD テナントにユーザーを同期し、Azure AD からこれらのユーザーのパスワードをリセットすることができます。

クラウドおよびオンプレミスのアプリケーションへのプロビジョニングをよりシンプルに

Microsoft Ignite において、SCIMSQLLDAP をサポートするオンプレミスアプリケーションへのプロビジョニングに関し、Azure AD でパブリック プレビューが利用可能となったことを 発表 しました。お客様は、monday.comMiroAsana などの人気のある SaaS アプリケーションと同じ方法で、オンプレミス アプリケーションへのプロビジョニングを管理することが可能です。さらにこの発表に加えて、今回、OpenLDAP などのサードパーティの LDAP ディレクトリにユーザーをプロビジョニングする機能を追加いたしました。

SCIM 規格に準拠したプロビジョニング エンドポイントの構築とテストをよりシンプルに

SCIM 検証ツールが限定でプレビュー開始となりました。これにより、パートナーや顧客は、エンドポイントが Azure AD SCIM クライアントと互換性があるかどうかを検証でき、Azure AD アプリケーション ギャラリーへの登録に要する時間を短縮することができます。手順 に従い新しいアプリケーションの構築が完了しましたら、こちらの リンク よりプレビューへの招待をリクエストできます。

Azure AD Connect 同期を最新バージョンへアップグレードして今後に備える

Azure AD Connect 同期のレガシー バージョン (v1.x) は、SQL Server 2012 や ADAL などのコンポーネントに依存していますが、これらは来年に廃止される予定です。そのため、すべてのお客様は同期処理のサポートが中断されないよう、Azure AD Connect sync v2.0 へアップグレードいただくか、Azure AD Connect クラウド同期 への切り替えをご検討いただく必要がございます。Azure AD Connect 同期 v1.x のバージョンは、2022 年 8 月 30 日をもちまして廃止されます。

IT に関する計画の予測が容易となるよう、弊社では Azure AD Connect 同期のバージョンについて一貫した廃止サイクルを確立しています。今後は、新バージョンがリリースされてから 18 カ月後に各バージョンを廃止する予定です。

プロビジョニング ロジックに日付の比較を使用する

属性マッピング を用いることにより、対象のシステムに書き込む前にデータを制御および変換することができます。皆様からのフィードバックに基づき、新しい組み込み日付関数 Now(), DateAdd(), DateDiff() を追加し、日付を比較したり、日付時刻の値に基づくきめ細かい属性プロビジョニングを定義できるようにいたしました。ユーザーのプロビジョニング フローの他の関数とネストしたり組み合わせることで、以下のようなシナリオを実装できます。

  • ユーザー タイプに基づいて、SaaS アプリケーションまたはオンプレミス アプリケーションのユーザー アカウントの有効期限を、 現在のプロビジョニング時刻から “X” 日後に設定する。
  • 現在の日付と人事的な採用日の間隔の差を求め、それをアカウントの有効化/データフロー ロジックの決定に使用する。

いつも通り、皆様のご意見をお聞かせください。コメントをお寄せいただくか、aka.ms/AzureADFeedback までお気軽にご連絡ください。

※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。