ライフサイクル ワークフローで同期されたオンプレミス ユーザーの管理
ライフサイクル ワークフローは、オンプレミスの Active Directory Domain Services (AD-DS) から Microsoft Entra に同期されるユーザー アカウントの ID ライフサイクルを管理します。 ライフサイクル ワークフローでは、Microsoft Entra にユーザー アカウントが存在することが不可欠ですが、ユーザー アカウントのワークフローと関連タスクの処理に関しては、アカウントがどのように作成されたか、またはライフサイクルに関連する変更がアカウントに対してどのように行われたかは重要ではありません。 Microsoft Entra Connect や MicrosoftCloud Sync で同期された変更だけでなく、HR ドリブン プロビジョニング、Microsoft Graph API、Microsoft Entra 管理ポータルなどのパスを介して行われたアカウントや変更もサポートされます。
この記事では、オンプレミスの Active Directory Domain Services (AD-DS) から Microsoft Entra に同期されたユーザー アカウント (以下、‘同期されたオンプレミス ユーザー’ といいます) にライフサイクル ワークフローを使用する場合に考慮すべき点について説明します。
同期されたオンプレミス ユーザーとのワークフロー実行条件
ライフサイクル ワークフローは、ワークフロー実行条件を満たしたユーザー アカウントに対して処理されます。 実行条件は、トリガーとスコープで構成されます。 トリガーは、ユーザー アカウントで発生するイベントを記述します。 スコープを使用することで、イベントの発生時にワークフローを開始する対象ユーザーを定義できます。
ワークフロー トリガー
次の表は、同期されたオンプレミス ユーザーで使用される場合、各ワークフロー トリガーで考慮すべき点を示しています。
| ワークフロー トリガー | 要件 |
|---|---|
| 属性の変更 (プレビュー) | 属性が同期されている限り、それ以上の構成は必要ありません。 同期された属性については、「Microsoft Entra クラウド同期での属性のマッピング」および「Microsoft Entra Connect Sync: ディレクトリ拡張機能」を参照してください。 オンプレミスの Active Directory に変更が行われた場合、ライフサイクル ワークフローから変更を取り込む前に、Microsoft Entra Cloud Sync または Microsoft Entra Connect Sync による同期を行う必要があります。 |
| グループ メンバーシップ ベース (プレビュー) | あらゆる種類のグループをサポートするため、それ以上の構成は必要ありません。 グループがオンプレミスの Active Directory に由来する場合は、Microsoft Entra に同期する必要があります。 Microsoft Entra Cloud Sync または Microsoft Entra Connect Sync は、ライフサイクル ワークフローから変更を取り込む前に同期を行う必要があります。 |
| オンデマンド | それ以上の構成は必要ありません。 |
| 時間ベース | employeeHireDate、employeeLeaveDateTime: これらの属性は使用する前に同期する必要があります。 このプロセスの詳細については、「ライフサイクル ワークフローの属性を同期する方法」を参照してください。 createdDateTime: これ以上の要件は必要ありません。 この日付は、ユーザー アカウントが Active Directory 内で作成された日ではなく、Microsoft Entra ID に同期された日です。 |
ワークフローのスコーピング
ワークフローのスコーピング機能内で使用されるユーザー属性については、選択された属性が既に同期されている場合、それ以上の構成は必要ありません。 同期された属性については、「Microsoft Entra クラウド同期での属性のマッピング」および「Microsoft Entra Connect Sync: ディレクトリ拡張機能」を参照してください。 オンプレミスの Active Directory に変更が行われた場合、ライフサイクル ワークフローから変更を取り込む前に、Microsoft Entra Cloud Sync または Microsoft Entra Connect Sync による同期を行う必要があります。
ワークフロー タスクと同期されたオンプレミス機能
すべてのライフサイクル ワークフロー タスクは、クラウドと同期されたオンプレミスの両方のユーザーに対して、この記事の後の特定のタスクに一覧表示されている制限を除いて、すぐに機能します。 すべてのライフサイクル ワークフロー タスクについて詳しくは、ライフサイクル ワークフローの組み込みタスクに関する記事をご覧ください。
グループのメンバーシップを管理するためのタスク
オンプレミスの Active Directory から Microsoft Entra に同期されたグループには、グループ メンバーシップを管理するライフサイクル ワークフロー タスクは使用できません。 ただし、Microsoft Entra ID Governance は、ライフサイクル ワークフロー内でサポートされているクラウドからのグループを使用して、オンプレミスの Active Directory (Kerberos) アプリケーション アクセスを管理するために使用できます。
ユーザー アカウントのタスク (プレビュー)
同期されたオンプレミス ユーザーと連携するために、ユーザー アカウントを有効化、無効化、および削除するライフサイクル ワークフロー タスクには、追加の構成が必要です。 オンプレミスの Active Directory でアクションを実行するタスクを構成する前に、次の前提条件を完了している必要があります。
- Microsoft Entra プロビジョニング エージェントが環境にインストールされている必要があります。 Microsoft Entra プロビジョニング エージェントのインストールに関する前提条件については、「クラウド プロビジョニング エージェントの要件」を参照してください。 Microsoft Entra プロビジョニング エージェントをインストールする段階的な手順については、「Microsoft Entra プロビジョニング エージェントをインストールする」を参照してください。 インストール中、“HR ドリブン プロビジョニング/Microsoft Entra Connect Sync” を “拡張機能の構成” として選択します。 クラウド同期構成など、プロビジョニング エージェントのその他の構成を追加する必要はありません。また、現時点で Microsoft Entra Connect Sync をユーザー同期に使用している場合でも、プロビジョニング エージェントをインストールできます。
Note
インストールされるプロビジョニング エージェントは、バージョン 1.1.1586.0 (2024 年 5 月 13 日リリース) 以上である必要があります。
プロビジョニング エージェントで使用するグループの管理されたサービス アカウント (gMSA) が、ユーザー アカウントに対する操作を実行するための適切なアクセス許可を持っていることを確認します。
ユーザー アカウントを削除するには、Active Directory のごみ箱を有効にする必要があります。 ごみ箱を有効にするための段階的な手順については、「Active Directory の段階的なごみ箱」を参照してください。
同期されたオンプレミス ユーザーのユーザー アカウント タスクを実行するようにフラグを設定する段階的な手順については、「ワークフローで同期されたオンプレミス ユーザーの管理 (プレビュー)」を参照してください。
次のステップ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示