ご無沙汰しております!コーポレートIT部 IT企画推進課 小川です。

少し間が空いてしまいましたが、このブログも早いもので中盤に差し掛かってきました。前回はIntune導入で四苦八苦した話を書きましたが、無事、デバイス管理ができる状態になったので、今回は、いよいよID管理基盤をActive Directory(以下AD)からEntraIDに切り替えを行う話になります。

変更前の環境

弊社はゼロトラストのセキュリティモデルをベースに業務IT環境を整えており、シングルサインオン(以下SSO)を導入しています。以前のIdpはHENNGE Oneで、IDは、AD > HENNGE One > Googleの流れでプロビジョニングを行い、PCはADドメインに参加している環境でした。

ここからEntraIDをIdpとし、条件付きアクセスを取り入れた環境に切り替えていくことになります。
今回は、EntraIDへの切り替えまでの段取りを中心に情報をお届けしますので、これからEntraIDの導入をお考えの皆さんの参考になれば幸いです。

計画する

言うまでもなく、まずは計画を立てる必要があります。
大企業のように何千何万台というPCを管理している訳ではありませんが、それでも200台ほどのPCの環境に手を入れていくことになるため適当に実行する訳にはいきません。
ユーザー展開の分かり易さと問題が発生した際のサポートをスムーズに行えるようにするため、2ステップで進めることにしました。

まず、PCをADから切り離し、デバイスのAD依存を解消した後に、各クラウドサービスのIdpを切り替えていく流れです。

計画の骨子

  1. EntraID参加/登録の実施
    • 国内のWindows (AD切り離し、Entra参加)
    • 国内のMac (Jamf ProとIntuneの連携)
    • 国外のWindowsとMac (Entra参加ではなくEntra登録)
  1. IdpをHENNGE OneからEntraIDへ切り替え+条件付きアクセスの導入
    • Google Workspace
    • Google Workspace以外のサービス

また、国内のWindowsPCの台数が最も多いこともあり、Windowsユーザーを中心に各部から数名募り、トライアルを実施しました。

全体告知

EntraIDへの切り替えは、Windowsのログイン方法が変わることになるため、こっそり行う訳にもいきません。まずは定期的に開催される全社員が集まる朝礼の場で、切り替えの頭出しを行いました。

伝えるポイント

  • ログインIDが、ADアカウントからEntraID(メールアドレス)に変わること
  • 変更する理由と影響
  • 切り替えスケジュール
  • 各人にて必要な作業と時間の目安

特に変更理由の背景や目的はしっかりと伝えるように意識しました。

  • 一定の条件を満たした端末のみが会社のリソースにアクセスができる環境となり、セキュリティが向上することでより安心して業務を行ってもらえる
  • ゼロタッチキッティングの導入も見据え、場所を問わず、コーポレートIT部門の作業を介さずに、PCのキッティングが可能になる、つまりリモートワーク環境に適した運用が可能になる

業務効率が劇的に改善されるといった内容ではないので、ストレートに良さを感じてもらえることは難しいと思いますが、将来的にふとした瞬間にメリットを感じていただけるものと信じています。

スケジュールは、事前の準備作業も含めて4ヵ月間(国内のみ)で進めることにしました。

ログインIDが変わるということ

全体朝礼での頭出しも終わり、次は、具体的な切り替え手順の作成、先行トライを経て全ユーザーに切り替えを行ってもらう作業の本丸です。

ログインIDが変わるということはユーザープロファイルが新しく作成されることになります。つまり個人の業務環境がさらぴん(関西地方の方言で新品といった意味合い)になってしまうのです。

私が過去経験してきた会社であれば、これはなかなかのハードルで、その反発に対する十分に納得のいく説明やデータ移行ツールを用意する等しなければならなかったことだと思います。

しかし、弊社ではGoogle Workspaceを始めとした各種SaaSを活用し、業務はクラウド化しています。また、ブラウザのブックマーク等はChromeの同期ですぐに復元できます。一部どうしてもローカルで構築している環境は、再構築が必要になりますが、弊社従業員の理解や協力精神にいつも助けられ、スムーズな対応ができていることに感謝の念を隠せません。

そしてEntraIDへ

全体朝礼でのアナウンスからトライアルを経て、無事にWindowsのEntra参加は完了することができました。

Entra参加済のPCにコンプライアンスポリシーが問題なく適用されていることを確認し、1つ目の大きな壁を乗り越えることができました。

しかし、まだEntraIDへの道は続きます。
次回は、Macをどうやってコンプライアンスポリシーに準拠させ、条件付きアクセスができるようにするかという話になります。

最後に

前回まで募集しておりましたIT企画推進課のキャリア採用の募集は、無事に新メンバーを迎えることができましたので、終了させて頂きました。

また、弊社は10月が期初のため、2025年10月から第26期となります。今期は社内向けのEntraIDの勉強会や社外向けにこのブログシリーズを発信するという取り組みを行ってきました。
26期も何かやっていきたいと思っているのですが、このブログを書いているうちに、他の会社の情シス、コーポレートITはどんなことに悩みを抱え、どのような理想を追いかけているのだろうと考えるようになり、ざっくばらんに交流の場を持ってみたいと思うようになりました。

もし、ブログを読んで同じように交流してみたい!という方がいらっしゃいましたら、ぜひ、以下フォームからお問い合わせをいただけますでしょうか。
その際、「IT管理クエストブログを見て!」と記載していただけますと幸いです。
お問い合わせフォーム 

また、今後は、他社のコーポレートIT部門の皆さんとの情報交換等交流を行ってみたいという思いもありますので、このブログを読んで興味を持たれた方がいらっしゃいましたら、ぜひお声がけ頂ければと幸いです。

それでは、また次回にお会いしましょう!