ライフサイクル ワークフローのユーザー アカウントの準備に関するチュートリアル

  • [アーティクル]

オンボーディングとオフボーディングのチュートリアルでは、ワークフローを実行するアカウントが必要です。 このセクションでは、それらのアカウントを準備する方法について説明します。以下の要件を満たすテスト アカウントを既に持っている場合は、オンボーディングとオフボーディングのチュートリアルに直接進むことができます。 オンボードのチュートリアルには 2 つのアカウントが必要です。1 つは新入社員用のアカウント、もう 1 つは新入社員のマネージャーとして機能するアカウントです。 新入社員アカウントには、次の属性を設定しておく必要があります。

  • employeeHireDate は today に設定する必要があります
  • department は sales に設定する必要があります
  • manager 属性を設定する必要があり、manager アカウントにはメールを受信するためのメールボックスが必要です

オフボード チュートリアルには、グループと Teams のメンバーシップを持つ 1 つのアカウントのみが必要ですが、このアカウントはチュートリアルの間に削除されます。

前提条件

この機能を使用するには、Microsoft Entra ID Governance または Microsoft Entra スイートのライセンスが必要です。 要件に適したライセンスを見つけるには、「Microsoft Entra ID ガバナンス ライセンスの基礎」をご覧ください。

  • Microsoft Entra テナント
  • Microsoft Entra テナントに対する適切なアクセス許可を持つ管理者アカウント。 このアカウントは、ユーザーとワークフローを作成するために使います。

開始する前に

ほとんどの場合、ユーザーは、オンプレミス ソリューション (Microsoft Entra Connect、Cloud sync など) から、または HR ソリューションを使って Microsoft Entra ID にプロビジョニングされます。 これらのユーザーには、作成時に属性と値が設定されます。 ユーザーをプロビジョニングするインフラストラクチャの設定については、このチュートリアルでは説明しません。 詳細については、「チュートリアル: Active Directory の基本的な環境」と「チュートリアル: 単一のフォレストを単一の Microsoft Entra テナントに統合する」を参照してください。

Microsoft Entra ID でユーザーを作成する

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

チュートリアルのライフサイクル ワークフローの実行に必要な 2 人のユーザーを簡単に作成するために、Graph エクスプローラーを使います。 1 人のユーザーは新入社員を、もう 1 人は新入社員のマネージャーを表します。

POST を編集して、<your tenant name here> の部分をお使いのテナント名に置き換える必要があります。 例: $UPN_manager = "bsimon@<your tenant name here>" を $UPN_manager = "bsimon@contoso.onmicrosoft.com" にします。

注意

従業員の入社日 (イベントからの日数) がワークフロー作成日よりも前の場合、ワークフローはトリガーされないことに注意してください。 設計上、employeeHiredate を未来に設定する必要があります。 このチュートリアルで使われる日付はスナップショットです。 そのため、この状況に対応するために、日付を適宜変更する必要があります。

まず、従業員の Melva Prince を作成します。

  1. 次に Graph エクスプローラーに移動します。
  2. テナントのユーザー管理者アカウントを使用して Graph エクスプローラーにサインインします。
  3. 上部にある [GET][POST] に変更し、ボックスに「https://graph.microsoft.com/v1.0/users/」を追加します。
  4. [要求本文] に次のコードを入力します。
  5. 次のコードの <your tenant here> を実際の Microsoft Entra テナントの値に置き換えます。
  6. [クエリの実行] 選びます
  7. 結果で返された ID をコピーします。 これは、後でマネージャーを割り当てるために使います。
{
  "accountEnabled": true,
  "displayName": "Melva Prince",
  "mailNickname": "mprince",
  "department": "sales",
  "mail": "mprince@<your tenant name here>",
  "employeeHireDate": "2022-04-15T22:10:00Z",
  "userPrincipalName": "mprince@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "<Generated Password>"
  }
}

Graph エクスプローラーで POST を使って Melva を作成するスクリーンショット。

次に Britta Simon を作成します。 このアカウントは、マネージャーとして使用されます。

  1. まだ Graph エクスプローラーを表示している状態です。
  2. 上部がまだ [POST] に設定され、「https://graph.microsoft.com/v1.0/users/」がボックスに入力されていることを確認します。
  3. [要求本文] に次のコードを入力します。
  4. 次のコードの <your tenant here> を実際の Microsoft Entra テナントの値に置き換えます。
  5. [クエリの実行] 選びます
  6. 結果で返された ID をコピーします。 この ID は、後でマネージャーを割り当てるために使います。 
    {
  "accountEnabled": true,
  "displayName": "Britta Simon",
  "mailNickname": "bsimon",
  "department": "sales",
  "mail": "bsimon@<your tenant name here>",
  "employeeHireDate": "2021-01-15T22:10:00Z",
  "userPrincipalName": "bsimon@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "<Generated Password>"
  }
}

Note

このコードの <your tenant name here> セクションを、実際の Microsoft Entra テナントに合わせて変更する必要があります。

ライフサイクル ワークフローの実行に必要な 2 人のユーザーを簡単に作成するもう 1 つの方法として、次の PowerShell スクリプトを使うこともできます。 1 人のユーザーは新入社員を、もう 1 人は新入社員のマネージャーを表します。

重要

このチュートリアルに必要な 2 人のユーザーを簡単に作成できる次の PowerShell スクリプトが用意されています。 これらのユーザーは、Microsoft Entra 管理センターでも作成できます。

この手順を作成するために、Azure にアクセスできるマシンに次の PowerShell スクリプトを保存します。

次に、スクリプトを編集して <your tenant name here> の部分をお使いのテナント名に置き換える必要があります。 例: $UPN_manager = "bsimon@<your tenant name here>" を $UPN_manager = "bsimon@contoso.onmicrosoft.com" にします。

このアクションは、$UPN_employee と $UPN_manager の両方に対して実行する必要があります。

スクリプトを編集したら、保存して次の手順を実行します。

  1. Microsoft Entra 管理センター にアクセスできるマシンから、管理者特権を使って Windows PowerShell コマンド プロンプトを開きます。
  2. 保存した PowerShell スクリプトの場所に移動し、実行します。
  3. PowerShell モジュールのインストール時にプロンプトが表示されたら、[すべてはい] を選びます。
  4. プロンプトが表示されたら、テナントのグローバル管理者で Microsoft Entra 管理センターにサインインします。
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables

$Displayname_employee = "Melva Prince"
$UPN_employee = "mprince<your tenant name here>"
$Name_employee = "mprince"
$Password_employee = "Pass1w0rd"
$EmployeeHireDate_employee = "04/10/2022"
$Department_employee = "Sales"
$Displayname_manager = "Britta Simon"
$Name_manager = "bsimon"
$Password_manager = "Pass1w0rd"
$Department = "Sales"
$UPN_manager = "bsimon@<your tenant name here>"

Install-Module -Name AzureAD
Connect-MgGraph -Confirm

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "<Password>"
New-MgUser -DisplayName $Displayname_manager  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_manager -AccountEnabled $true -MailNickName $Name_manager -Department $Department
New-MgUser -DisplayName $Displayname_employee  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_employee -AccountEnabled $true -MailNickName $Name_employee -Department $Department

Microsoft Entra ID に 1 人以上のユーザーが作成されたら、ライフサイクル ワークフローのチュートリアルに従ってワークフローを作成できます。

雇用前シナリオのその他の手順

Microsoft Entra 管理センターでライフサイクル ワークフローを使用して組織にユーザーをオンボーディングするチュートリアルと Microsoft Graph でライフサイクル ワークフローを使用して組織にユーザーをオンボーディングするチュートリアルのいずれかでテストするときに注意する必要がある他の手順があります。

Microsoft Entra 管理センターを使用してユーザー属性を編集する

雇用前オンボードのチュートリアルに必要な属性の一部は Microsoft Entra 管理センターに表示され、そこで設定することができます。

次のような属性です。

属性 説明 設定対象
mail 新入社員の一時的なアクセス パスをマネージャーに通知するために使います。 Manager
manager この属性はライフサイクル ワークフローに使用します Employee

このチュートリアルでは、mail 属性をマネージャー アカウントにのみ設定し、manager 属性を従業員アカウントに設定する必要があります。 次の手順に従います。

  1. Microsoft Entra 管理センターユーザー管理者以上でサインインしてください。
  2. >[ID]>[ユーザー]>[すべてのユーザー] を参照します。
  3. "Melva Prince" を選びます。
  4. 上部にある [編集] を選びます。
  5. マネージャーの下にある [変更] を選び、"Britta Simon" を選びます。
  6. 上部にある [保存] を選択します。
  7. ユーザーに戻り、"Britta Simon" を選びます。
  8. 上部にある [編集] を選びます。
  9. [メール] に有効なメール アドレスを入力します。
  10. [保存] を選択します。

employeeHireDate を編集します

employeeHireDate 属性は、Microsoft Entra ID の新しい属性です。 UI には表示されないので、Graph を使って更新する必要があります。 この属性を編集するには、Graph エクスプローラーを使用できます。

注意

従業員の入社日 (イベントからの日数) がワークフロー作成日よりも前の場合、ワークフローはトリガーされないことに注意してください。 設計上、employeeHireDate を現在より後の日付に設定する必要があります。 このチュートリアルで使われる日付はスナップショットです。 そのため、この状況に対応するために、日付を適宜変更する必要があります。

このためには、ユーザー Melva Prince のオブジェクト ID を取得する必要があります。

  1. Microsoft Entra 管理センターユーザー管理者以上でサインインしてください。

  2. >[ID]>[ユーザー]>[すべてのユーザー] を参照します。

  3. "Melva Prince" を選びます。

  4. [オブジェクト ID] の横にあるコピー記号を選びます。

  5. 次に Graph エクスプローラーに移動します。

  6. テナントのグローバル管理者アカウントで Graph エクスプローラーにサインインします。

  7. 上部にある [GET][PATCH] に変更し、ボックスに「https://graph.microsoft.com/v1.0/users/<id>」を追加します。 「<id>」を先ほどコピーした値に置き換えます。

  8. [要求本文] に以下をコピーして、[クエリの実行] を選びます。

    {
"employeeHireDate": "2022-04-15T22:10:00Z"
}

    PATCH employeeHireDate のスクリーンショット。

  9. PATCHGET に戻し、v1.0beta にして変更を検証します。 [クエリの実行] を選択します。 設定された Melva の属性を確認できます。
    GET employeeHireDate のスクリーンショット。

従業員アカウントの manager 属性を編集する

manager 属性はメール通知タスクに使います マネージャーに新しい従業員の一時的なパスワードをメールで送信します。 次の手順に従って、Microsoft Entra ユーザーに manager 属性の値が設定されていることを確認します。

  1. まだ Graph エクスプローラーを表示している状態です。

  2. 上部がまだ [PUT] に設定され、「https://graph.microsoft.com/v1.0/users/<id>/manager/$ref」がボックスに入力されていることを確認します。 「<id>」を Melva Prince の ID に変更します。

  3. [要求本文] に次のコードをコピーします。

  4. 次のコードの「<managerid>」を Britta Simons の ID の値に置き換えます。

  5. [クエリの実行] 選びます

    {
  "@odata.id": "https://graph.microsoft.com/v1.0/users/<managerid>"
}

    Graph エクスプローラーでマネージャーを追加するスクリーンショット。

  6. 次に、[PUT][GET] に変更することで、マネージャーが正しく設定されたことを確認できます。

  7. https://graph.microsoft.com/v1.0/users/<id>/manager/」がボックスに入力されていることを確認します。 「<id>」はまだ Melva Prince のものです。

  8. [クエリの実行] を選択します。 その応答では Britta Simon が返されるはずです。

    Graph エクスプローラーでマネージャーを取得するスクリーンショット。

Graph API でユーザーのマネージャー情報を更新する方法については、マネージャーの割り当てのドキュメントを参照してください。 この属性は、Azure 管理センターで設定することもできます。 詳細については、プロファイル情報の追加または変更に関する記事を参照してください。

一時アクセス パス (TAP) の有効化

一時アクセス パス は、管理者が発行する期限付のパスであり、強力な認証要件を満たすものです。

このシナリオでは、Microsoft Entra ID のこの機能を使って、新入社員のための一時的なアクセス パスを生成します。 これはその従業員のマネージャーにメールで送信されます。

この機能を使うには、Microsoft Entra テナントでこの機能を有効にする必要があります。 この機能を有効にするには、以下の手順を実行します。

  1. 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
  2. [保護]>[認証方法]>[一時アクセス パス] の参照
  3. [はい] を選んでポリシーを有効にし、Britta Simons を追加し、ポリシーが適用されているユーザーと、[全般] の設定を選びます。

退職者シナリオに関する考慮事項

Microsoft Entra 管理センター チュートリアルまたは Microsoft Graph で Lifecycle ワークフローを使用して組織からオフボーディングするユーザーのチュートリアルをテストするときに、注意する必要がある追加の手順があります。

グループと Teams のチーム メンバーシップをユーザーに設定する

退職者シナリオのチュートリアルを始める前に、グループと Teams メンバーシップを持つユーザーが必要です。

次のステップ