#14　Boxのアカウント管理をMicrosoft Entra IDで一元化。そのメリットと次なる一手とは

増子

IIJ本社でBoxの利用を開始したんですが、その時のユーザ数が約4,000名でした。人事異動や組織変更のたびにアカウントの追加や更新を手作業で行うのは大変なので、人事マスタと連携させる方法を考えました。

長谷川

IIJは社内ドメイン環境にActive Directory（以下、AD）を利用しています。人事マスタはADと連携し、ADはEntra IDと連携しています。 Microsoft 365の認証はADと連携して、Entra IDで行っています。このEntra IDを活用して、SSOも実現しています。
既にクラウドサービスの認証の仕組みがあるので、BoxでもEntra IDを使うのが自然な流れと判断しました。

長谷川

ADサーバと同期させる方法もありますが、Entra IDもADサーバとの同期をベースにしているので、結局は同じことなんです。
IIJ本社以外に、グループ会社へのBoxの横展開も考えていたので、Entra IDの方が何かと都合もいいんです。認証の仕組みはグループ会社も同じですからね。グループ展開とその後の管理がやりやすい、という点も選定理由の1つです。

長谷川

Entra ID自体にBoxとの連携機能があるんですが、検証してみたら、不具合が発生する可能性があることが分かりました。

長谷川

Boxは、無料で利用できる個人用のフリーアカウントを持つことができます。社内には会社としてBoxを導入する以前から、フリーアカウントを利用しているユーザが多数います。
既にフリーアカウントを持っている人は、会社のアカウントへの移行が必要なんですが、移行をEntra IDの仕組みでやろうとすると、エラーになってしまいます。エラーが一定数を超えると、Entra IDとBoxの同期が止まってしまいます。復旧させるまで新しいユーザの追加やグループメンバーの更新ができなくなるので、業務への影響が非常に大きいんです。

増子

これでは安定して運用できないので、Entra IDとBoxの連携にはサードパーティ製のツールを使って、同期停止のリスクを回避しています。

増子

アカウント連携しないと、Boxのアカウントの追加や更新を人手で行わなければならないんです。Entra IDではアカウント情報を自動で同期してくれるので、人的作業が不要になります。その分、工数が削減できますし、入力ミスの心配もありません。

長谷川

既存のSSOの仕組みを継承できたので、認証情報を1つで賄えるのもメリットです。情シス側の管理も楽ですし、BoxもSSOでログインできるので、ユーザのメリットも大きいですね。

長谷川

各部署にBoxのルールに準拠してもらうことをお願いし、フォルダの構成を見直しました。
既存のファイルサーバだったら、例えば、部単位のフォルダはその部のメンバーだけ、その下に課単位のフォルダを作れば、その課のメンバーだけがアクセスできる階層を組むことができます。親フォルダ、子フォルダはそれぞれ別の権限を設定できるわけです。
でも、Boxはそうではなくて、親フォルダの権限が子フォルダにも適用されていく仕様です。ファイルサーバ上にある子フォルダの権限を継承したい場合は、親フォルダと同じ階層に移行してもらうようにしました。フォルダの再構成は情シス側で実施しました。

長谷川

IIJ本社の分はそうですね。グループ会社については、現在2社にBoxを展開しているんですが、グループ会社のA社は自社でデータ移行を行う方針です。そのための移行ツールはこちらから提供しました。
B社は、もともと脱PPAP対策としてBoxを導入していたので、データ移行は次期フェーズで予定しています。

長谷川

ウェビナーで説明会を開いて、事前にアナウンスしました。「Boxの仕様がそうなら」と、意外にすんなり受け入れてもらえましたよ。ファイルサーバのフォルダを整理して「これでお願いします」と提示してくれた部署もあったくらいです。

増子

抵抗が少なかったのは、Boxに移行しない、という選択肢も用意したからだと思います。例えば、Excelのマクロを使って複数ファイルを参照するような作りになっているものは、ファイルサーバでは動くけど、Boxでは動かないものもあります。ファイルサーバに残さざるを得ないケースがあることも、事前に想定していました。

長谷川

ユーザからの申請を、自動で読み取ってフォルダを作成する仕組みを作りました。Microsoft Forms、Power Automate、Microsoft Listsを使って、ユーザからの申請をまとめています。BoxのAPIを利用したバッチと連携して、フォルダの作成を自動化しています。 これがないと、申請を情シスが受け取って、手作業でフォルダを作成しなければなりません。申請からフォルダ作成までの作業が手離れして、運用が効率化されました。

長谷川

パートナーさんや業務委託先が利用する外部アカウントの有効期限を設け、以降は使えなくなるようにしました。定期的に棚卸しをしてもらうためです。
使われていないアカウントが放置されていると、悪用されるリスクがあり、セキュリティの問題があります。業務上、必要な場合は、申請すれば有効期限が延長されます。

長谷川

従業員の増減に伴う日々のアカウント追加・削除は手動では限界があるので、何らかのマスター情報と自動連携することが必須だと思います。
また、フリーアカウントの保持は、自動化の成否にも影響するので、各従業員が保持しているフリーアカウントを企業アカウントに移行させる取り組みが重要だと感じました。

長谷川

Entra IDとBoxの連携部分の見直しを考えています。今はサードパーティ製のツールを使っていますが、サーバの運用が大変なことや、カスタマイズできないことに課題を感じています。今後はIIJクラウドデータプラットフォームサービスへの置き換えを検討しています。
このサービスは、多様なシステムやデータをつなぐクラウド型のデータハブです。その機能の1つとして、Boxと連携するアダプターが既に提供されているので、これを利用すれば現行のツールを使わずに連携できるようになります。

増子

様々なワークフローをローコード/ノーコードで作る機能もあるので、アカウントのプロビジョニングの自動化などにも使えそうです。これから具体的な検証を始める予定です。実現すれば、アカウント管理を今まで以上に効率化できると期待しています。