![エンタープライズIT [COLUMNS]](https://ent.iij.ad.jp/wp-content/themes/liquid-smart-child/img/logo.svg){kind=logo}
リモートアクセスVPNのリプレ…
#14 Boxのアカウント管理をMicrosoft Entra IDで一元化。そのメリットと次なる一手とは
IIJでは、Boxのアカウント管理にMicrosoft Entra ID(旧称:Azure Active Directory、以下Entra ID)を利用しています。運用に至るまでには様々な工夫をし、先を見据えた展開も構想しています。Boxの運用を支えるIIJの情シスに話を聞きました。
- 目次
Boxとかんたん・セキュアにデータ連携
~IIJクラウドデータプラットフォームサービス~サービスを見る
~IIJクラウドデータプラットフォームサービス~サービスを見る
登場人物
IIJ 情シス
増子 勝一朗
IIJグループのBox導入プロジェクトを推進
IIJ 情シス
長谷川 誠
Boxの企画運用を担当。
アカウント管理やIIJグループ間の運営を推進
(聞き手) IIJマーケティング担当 狩野
Boxアカウント管理を自動化し、SSOも実現
Boxのユーザが増えると、そのアカウント管理が大変になります。IIJはEntra IDと連携したアカウント管理を行っていますね。
増子
IIJ本社でBoxの利用を開始したんですが、その時のユーザ数が約4,000名でした。人事異動や組織変更のたびにアカウントの追加や更新を手作業で行うのは大変なので、人事マスタと連携させる方法を考えました。
長谷川
IIJは社内ドメイン環境にActive Directory(以下、AD)を利用しています。人事マスタはADと連携し、ADはEntra IDと連携しています。
Microsoft 365の認証はADと連携して、Entra IDで行っています。このEntra IDを活用して、SSOも実現しています。
既にクラウドサービスの認証の仕組みがあるので、BoxでもEntra IDを使うのが自然な流れと判断しました。
Entra ID以外の選択肢は考えましたか?
長谷川
ADサーバと同期させる方法もありますが、Entra IDもADサーバとの同期をベースにしているので、結局は同じことなんです。
IIJ本社以外に、グループ会社へのBoxの横展開も考えていたので、Entra IDの方が何かと都合もいいんです。認証の仕組みはグループ会社も同じですからね。グループ展開とその後の管理がやりやすい、という点も選定理由の1つです。
フリーアカウントがネックで、Entra IDとの直接連携ができない!?
Entra IDとBoxの連携は、どのように行っていますか。
長谷川
Entra ID自体にBoxとの連携機能があるんですが、検証してみたら、不具合が発生する可能性があることが分かりました。
どんな不具合ですか?
長谷川
Boxは、無料で利用できる個人用のフリーアカウントを持つことができます。社内には会社としてBoxを導入する以前から、フリーアカウントを利用しているユーザが多数います。
既にフリーアカウントを持っている人は、会社のアカウントへの移行が必要なんですが、移行をEntra IDの仕組みでやろうとすると、エラーになってしまいます。エラーが一定数を超えると、Entra IDとBoxの同期が止まってしまいます。復旧させるまで新しいユーザの追加やグループメンバーの更新ができなくなるので、業務への影響が非常に大きいんです。
増子
これでは安定して運用できないので、Entra IDとBoxの連携にはサードパーティ製のツールを使って、同期停止のリスクを回避しています。
そんな問題があったんですね。でも、その問題に対処し、今は安定的に運用しているわけですよね。Entra IDと連携させたことで、運用上どんなメリットを実感していますか?
増子
アカウント連携しないと、Boxのアカウントの追加や更新を人手で行わなければならないんです。Entra IDではアカウント情報を自動で同期してくれるので、人的作業が不要になります。その分、工数が削減できますし、入力ミスの心配もありません。
長谷川
既存のSSOの仕組みを継承できたので、認証情報を1つで賄えるのもメリットです。情シス側の管理も楽ですし、BoxもSSOでログインできるので、ユーザのメリットも大きいですね。
Boxルールに合わせて、フォルダ構成や権限を変更
Boxは最上位のフォルダに与えた権限が、その配下のフォルダにも引き継がれる「ウォータフォール型」と呼ばれる考え方を採用しています。既存のWindowsファイルサーバの権限設定とは、考え方が違いますよね。Boxのフォルダ構成や権限設定はどうしたんですか?
長谷川
各部署にBoxのルールに準拠してもらうことをお願いし、フォルダの構成を見直しました。
既存のファイルサーバだったら、例えば、部単位のフォルダはその部のメンバーだけ、その下に課単位のフォルダを作れば、その課のメンバーだけがアクセスできる階層を組むことができます。親フォルダ、子フォルダはそれぞれ別の権限を設定できるわけです。
でも、Boxはそうではなくて、親フォルダの権限が子フォルダにも適用されていく仕様です。ファイルサーバ上にある子フォルダの権限を継承したい場合は、親フォルダと同じ階層に移行してもらうようにしました。フォルダの再構成は情シス側で実施しました。
フォルダ内のデータ移行も情シスが行ったんですか?
長谷川
IIJ本社の分はそうですね。グループ会社については、現在2社にBoxを展開しているんですが、グループ会社のA社は自社でデータ移行を行う方針です。そのための移行ツールはこちらから提供しました。
B社は、もともと脱PPAP対策としてBoxを導入していたので、データ移行は次期フェーズで予定しています。
フォルダの構成や権限の見直しが必要になるというのは、現場にとって結構インパクトがあるように思います。すんなり受け入れてもらえましたか?
長谷川
ウェビナーで説明会を開いて、事前にアナウンスしました。「Boxの仕様がそうなら」と、意外にすんなり受け入れてもらえましたよ。ファイルサーバのフォルダを整理して「これでお願いします」と提示してくれた部署もあったくらいです。
増子
抵抗が少なかったのは、Boxに移行しない、という選択肢も用意したからだと思います。例えば、Excelのマクロを使って複数ファイルを参照するような作りになっているものは、ファイルサーバでは動くけど、Boxでは動かないものもあります。ファイルサーバに残さざるを得ないケースがあることも、事前に想定していました。
新規フォルダはMicrosoft Formsから申請すれば、ユーザが作成できるそうですね。
長谷川
ユーザからの申請を、自動で読み取ってフォルダを作成する仕組みを作りました。Microsoft Forms、Power Automate、Microsoft Listsを使って、ユーザからの申請をまとめています。BoxのAPIを利用したバッチと連携して、フォルダの作成を自動化しています。
これがないと、申請を情シスが受け取って、手作業でフォルダを作成しなければなりません。申請からフォルダ作成までの作業が手離れして、運用が効率化されました。
ほかにも運用面で工夫したことはありますか?
長谷川
パートナーさんや業務委託先が利用する外部アカウントの有効期限を設け、以降は使えなくなるようにしました。定期的に棚卸しをしてもらうためです。
使われていないアカウントが放置されていると、悪用されるリスクがあり、セキュリティの問題があります。業務上、必要な場合は、申請すれば有効期限が延長されます。
Boxのアカウント管理について、注意点があれば教えてください。
長谷川
従業員の増減に伴う日々のアカウント追加・削除は手動では限界があるので、何らかのマスター情報と自動連携することが必須だと思います。
また、フリーアカウントの保持は、自動化の成否にも影響するので、各従業員が保持しているフリーアカウントを企業アカウントに移行させる取り組みが重要だと感じました。
Entra IDとBox連携の新たな“救世主”に期待
アカウント管理や権限設定に関して、今後改善していきたい点はありますか。
長谷川
Entra IDとBoxの連携部分の見直しを考えています。今はサードパーティ製のツールを使っていますが、サーバの運用が大変なことや、カスタマイズできないことに課題を感じています。今後はIIJクラウドデータプラットフォームサービスへの置き換えを検討しています。
このサービスは、多様なシステムやデータをつなぐクラウド型のデータハブです。その機能の1つとして、Boxと連携するアダプターが既に提供されているので、これを利用すれば現行のツールを使わずに連携できるようになります。
増子
様々なワークフローをローコード/ノーコードで作る機能もあるので、アカウントのプロビジョニングの自動化などにも使えそうです。これから具体的な検証を始める予定です。実現すれば、アカウント管理を今まで以上に効率化できると期待しています。
(マンガ制作:ad-manga.com)
Boxとかんたん・セキュアにデータ連携
~IIJクラウドデータプラットフォームサービス~サービスを見る
~IIJクラウドデータプラットフォームサービス~サービスを見る
