メタディスクリプション: 新入社員のアカウント作成・デバイス準備・アクセス権設定を自動化する方法を解説。SCIMプロビジョニング、ゼロタッチ展開、SaaS管理プラットフォームの活用まで、情シスの工数を削減する実践手順を紹介。

導入

新入社員が入社するたびに、情シス担当者はメールアカウントの作成、SaaSアカウントの発行、PCのキッティング、アクセス権の設定を繰り返しています。4月の一括入社では数十名分の対応が重なり、通常業務が止まる情シスチームは珍しくありません。

この業務の多くは自動化できます。HRシステムへの登録をトリガーに、Microsoft 365やSlackのアカウント作成からSaaSライセンスの割り当て、デバイスのゼロタッチセットアップまで、一連の作業をシステムが自動で完了させる仕組みが実用段階に入っています。

本記事では、オンボーディングのIT業務を自動化する具体的な方法を、SCIMプロビジョニング・ゼロタッチ展開・SaaS管理プラットフォームの3つの切り口から解説します。入退社対応の工数を削減したい情シス担当者の方が対象です。

オンボーディング IT 自動化とは｜情シスが手動でやっている業務を整理する

オンボーディングのIT自動化とは、新入社員の受け入れに伴う情シス業務（アカウント作成・権限設定・デバイス準備）を、人手を介さずシステムが実行する仕組みを指します。手動の繰り返し作業をシステムに委ねることで、対応漏れと工数の両方を同時に解消できます。

情シスがオンボーディングで担う業務の全体像

入社時に情シスが対応する業務は、アカウント・デバイス・権限・セキュリティの4領域に分類できます。

アカウント管理では、業務用メールアカウントの作成、社内システムへのアカウント登録、SaaS各種のアカウント発行、VPNや社内ネットワークのアクセス権付与を行います。デバイス管理では、PCやスマートフォンの調達とキッティング、MDMへの登録、業務アプリのインストールと設定を担当します。アクセス権管理では、所属部門・役職に応じたロールベースアクセス制御の設定や、共有フォルダ・グループウェアの権限付与を行います。セキュリティ対応では、多要素認証の登録案内、情報セキュリティ研修の受講手配、セキュリティポリシーへの同意取得を実施します。

これだけの業務を入社のたびに漏れなくこなすには、仕組み化が前提になります。

なぜオンボーディング業務は自動化しにくいのか

自動化が進まない最大の原因は、HRシステム・IDシステム・SaaS各種がバラバラに存在し、互いに連携されていないことです。

人事部門が管理する入社情報（氏名・所属・入社日・役職）は、情シスが管理するアカウントシステムとリアルタイムで結びついていないケースがほとんどです。そのため、情シスは入社情報を人事から受け取り、各システムに手動で入力することになります。SaaSが10〜20種類に及ぶ企業では、この繰り返し入力の工数が積み上がります。

手動対応が続くとどうなるか

手動対応が常態化すると、対応漏れ・遅延・属人化の3つが繰り返し発生します。

入社当日にアカウントが用意されていない、特定のSaaSへのアクセスが付与されないまま業務が始まる、といった状況は新入社員の立ち上がりを遅らせます。情シスの担当者が変わるたびに手順が変わり、品質がバラつく問題も起きやすく、年間数十名規模の採用がある企業ほど負担が大きくなります。

オンボーディング IT 自動化の3つのアプローチ

オンボーディングのIT業務を自動化するには、アカウント・デバイス・ワークフローの3つの領域ごとに異なるアプローチが必要です。どの領域から着手するかによって、必要なツールと整備期間が変わります。

アプローチ①：SCIMによるアカウント自動プロビジョニング

SCIMは、IdPとSaaSサービス間でユーザー情報を自動同期するプロトコルです。IdPにユーザーを登録するだけで、SCIM連携が設定された全SaaSのアカウントが自動作成されます。

Microsoft Entra IDやGoogle WorkspaceといったIdPに新入社員の情報を登録すると、Slack・Zoom・Salesforce・Jiraなど連携済みのSaaSにアカウントが一括で作成されます。手動でアカウントを1つずつ作成する作業がなくなり、入社当日から必要なシステムにアクセスできる状態が整います。

設定の大まかな流れは次のとおりです。まずIdP側でSCIMプロビジョニングを有効化し、連携するSaaSのプロビジョニング設定でエンドポイントURLとAPIトークンを取得します。次にIdP側でSCIMの同期対象グループと属性マッピングを設定し、テストアカウントで動作確認してから本番適用します。

SCIM連携は退職時のアカウント削除にも同じ仕組みが使えます。入社と退社の両方の工数を一度の設定投資で削減できる点が、このアプローチの強みです。

アカウント プロビジョニングとは

アプローチ②：MDMによるデバイスのゼロタッチ展開

ゼロタッチ展開とは、IT担当者が物理的にPCを操作しなくても、新入社員がデバイスの電源を入れた時点から業務に必要なアプリ・設定・ポリシーが自動適用される仕組みです。

Windowsの場合はWindows Autopilot、macOSの場合はApple Business ManagerのDEPを活用します。デバイスのシリアル番号をIntuneやJamfに事前登録しておくと、新入社員がWi-Fiに接続した瞬間にMDMへの自動登録が始まり、部門・役職に応じたアプリと設定が自動で適用されます。

設定手順の概要は次のとおりです。Windows Autopilotの場合、ハードウェアハッシュをIntuneにアップロードしてデプロイプロファイルを作成し、対象デバイスに割り当てます。Apple DEPの場合、Apple Business ManagerでJamfなどのMDMを認証し、購入デバイスをDEP対象に設定したうえで、Jamf側で設定プロファイルとアプリを定義します。

ゼロタッチ展開が機能すれば、1台あたり数時間かかっていたキッティング作業がなくなります。デバイスをリモートワーク社員に直送しても、情シスが遠隔から設定を完了できます。

アプローチ③：HRシステムと連携したライフサイクルワークフロー自動化

Microsoft Entra ID Governanceのライフサイクルワークフロー機能を活用すると、入社日を起点にした自動化フローを設定できます。

「入社日の3日前にアカウントを有効化してウェルカムメールを送信する」「入社当日にM365ライセンスを付与してチームに追加する」といったタスクを、タイムライン条件に基づいて自動実行します。Power Automateと組み合わせることで、HRシステムの入社情報登録をトリガーとしたSlack通知やオンボーディングチェックリストの自動生成も実現します。

このアプローチが機能すると、人事が入社情報を登録した瞬間から情シスのアカウント作成・権限付与フローが動き出します。情シスへの手動連絡も不要になります。

従業員ITライフサイクルとは

SCIMプロビジョニングの詳細手順｜主要SaaSの設定ポイント

SCIMによるアカウント自動プロビジョニングは、IdPと対象SaaSの組み合わせによって設定手順が異なります。Microsoft Entra IDとGoogle Workspaceのそれぞれの設定ポイントを整理します。

Microsoft 365（Entra ID）でのSCIM連携設定

Microsoft Entra IDでのSCIM連携は、エンタープライズアプリケーションギャラリーから対象SaaSを選択し、プロビジョニング設定でエンドポイントURLとトークンを入力することで完成します。

連携完了後は、Entra IDのグループにユーザーを追加するだけで、対象SaaSに自動でアカウントが作成されます。役職・部門をベースにした動的グループを設定することで、入社情報の登録と同時にロールに応じたSaaSアカウントが付与される状態になります。同期の頻度はデフォルトで40分ごとで、緊急時は手動で即時同期を実行できます。Slack・Zoom・Salesforce・Jira・GitHub・Dropboxなど、主要SaaSのほとんどがSCIMに対応しています。

Google Workspaceでの管理とSCIM連携

Google Workspaceを中心にSaaSを管理している場合、Google Cloud DirectoryをSCIMのIdPとして活用できます。

Google管理コンソールでユーザーを作成・組織に配置すると、SCIMでプロビジョニング設定したSaaSにアカウントが自動作成されます。部門別のグループを組織単位（OU）で管理し、OUごとにアクセスできるSaaSを定義しておくと、部門に応じた権限設定が入社と同時に完了します。Google WorkspaceはMicrosoft Entra IDとのフェデレーション設定も可能で、一方をメインのIdPにしながら他方とSCIM同期させる構成も取れます。

SSO未連携SaaSの個別対応

SCIMに対応していないSaaSに対しては、個別の管理画面からアカウントを手動作成する必要があります。この手動作業の穴を埋める手段として、SaaS管理プラットフォームが活用されます。

プラットフォームが社内で使われているSaaSを可視化し、手動対応が必要なSaaSを洗い出したうえで、一括アカウント発行や招待送付を効率化します。未対応SaaSの数を定期的に確認しながら、SCIM対応SaaSへの移行を段階的に進めることで、自動化のカバレッジを高めていくことができます。

ゼロタッチ展開の実践｜Windows Autopilot・Apple DEPの設定概要

ゼロタッチ展開の具体的な設定フローを、WindowsとmacOS別に整理します。いずれも初期設定に一定の工数がかかりますが、一度整備すれば以降の入社対応にかかるキッティング工数はゼロになります。

Windows Autopilot の設定フロー

Windows AutopilotはMicrosoft Intuneと連携してデバイスのゼロタッチセットアップを実現するサービスです。IT担当者がPCを一台ずつ手元で操作する必要がなくなります。

設定の流れは次のとおりです。まずデバイスのハードウェアハッシュをCSVで取得してIntuneにアップロードします。次にAutopilotデプロイプロファイルを作成し、ユーザードリブン（ユーザーがセットアップを進める）またはセルフデプロイ（完全自動でAzure ADに参加）のモードを選択します。デバイスをプロファイルに割り当てておけば、新入社員がデバイスを起動してWi-Fiに接続した時点でIntuneから設定とアプリが自動配信されます。情シスが手元でPCを操作する時間がゼロになり、デバイスをリモートワーク社員に直送しても入社当日から業務に使える状態が整います。

Apple DEP（Device Enrollment Program）の設定フロー

macOSデバイスのゼロタッチ展開は、Apple Business ManagerとJamf Proなどのモバイルデバイス管理ツールを組み合わせて実現します。

Apple Business Managerでデバイスを購入すると、そのデバイスが自動的にABMに登録されます。ABMでMDMをサーバーとして認証し、デバイスをMDMに割り当てます。MDM側で設定プロファイルとインストールするアプリを定義しておくと、新入社員がMacに電源を入れてセットアップ画面を進めるだけで、企業のMDM管理下に自動的に入り業務用の設定とアプリが適用されます。IT担当者がMacを物理的に操作する工数はゼロになり、遠隔地の新入社員へのデバイス手配も問題なく進めることができます。

MDMで自動適用できるポリシーとアプリ

MDMのゼロタッチ展開で自動適用できる主な設定を挙げると、次のとおりです。

• パスワードポリシーとスクリーンロックの設定
• Microsoft 365・Slack・Zoomなどの業務用アプリの自動インストール
• 企業Wi-FiとVPNの接続設定
• 証明書の配布
• BitLockerやFileVaultによるディスク暗号化の強制
• OSアップデートの強制適用

これらを一度テンプレートとして定義しておけば、次の入社からは追加設定なしに同じ状態のデバイスが用意されます。

オンボーディング自動化を支援するSaaS管理プラットフォームの活用

SCIMとMDMを個別に設定するだけでは、SaaSとデバイスの管理が分散したままになります。SaaS管理プラットフォームを中心に据えることで、アカウント・デバイス・アクセス権の自動化を一元的に管理できます。

SaaS管理プラットフォームでできること

SaaS管理プラットフォームは、人事システム・IdP・SaaS各種・デバイス管理を一元的につなぐ基盤として機能します。入社情報の登録をトリガーとして、役職・部門に応じたSaaSアカウントの自動発行、デバイス管理ツールとの連携、アクセス権設定の自動化が一連のフローとして実行されます。

個別のSCIM設定とMDM設定を別々に管理するのではなく、プラットフォーム上でオンボーディングテンプレートを作成・管理することで、入社時の対応が標準化されます。シャドーITの可視化機能を持つプラットフォームでは、新入社員が個人的に登録したSaaSも検出できるため、セキュリティポリシーの徹底にも貢献します。

ジョーシスのプラットフォームによるオンボーディング自動化

ジョーシスのプラットフォームでは、入社情報の登録をトリガーにSaaSアカウントの自動発行とデバイス管理の連携を実現する機能を提供しています。350種類以上のSaaSとの連携に対応しており、スケジュールベースでのアカウント一括発行も可能です。

入社前にアカウント発行を予約設定しておくと、入社当日からすべてのシステムにアクセスできる状態が整います。専任の情シス担当者が不在でデバイス管理台帳と実態に差異が生じていた企業が、ジョーシスのプラットフォームを導入することで情シス業務全体を約30%削減した事例があります。

入社 IT管理 チェックリスト

ロールベースアクセス制御（RBAC）の自動設定

自動化を機能させるには、ロールと権限の定義が前提になります。部門・役職ごとに付与すべきSaaSと権限レベルをあらかじめ定義し、入社情報の部門・役職フィールドと連動してアカウントと権限が自動設定される仕組みを作ります。

入社後に個別のアクセス申請が来るたびに都度対応するのではなく、ロールテンプレートを整備することで、入社時点で適切な権限が付与された状態を実現できます。最小権限の原則に基づいて業務に必要な最小限のアクセス権だけを付与する設計にすることで、セキュリティリスクも低減します。

オンボーディング IT 自動化でよくある課題と対処法

自動化を導入しても、運用上の課題が残ることがあります。発生頻度の高い問題と、その具体的な対処法を整理します。

HRシステムとITシステムの連携が取れない

最も多い課題は、人事部門が管理する HRシステムと情シスが管理するIdP（Entra IDやGoogle Workspace）の間にリアルタイム連携がない状態です。

対処法は2つあります。HRシステムがAPIやSCIMエクスポートに対応している場合はHRシステムとIdPを直接連携させます。対応していない場合は、人事が入社情報をCSVで出力し一括インポートする運用に切り替えるか、SaaS管理プラットフォームをHRシステムとIdPの橋渡しとして活用します。どちらの方法を選ぶにしても、入社情報の連携ルールと頻度を人事と情シスの間で事前に合意しておくことが重要です。

SCIMが未対応のSaaSへの対応

SCIM連携に対応していないSaaSに対してはアカウント作成を手動で行う必要があり、このSaaSの数が多いと自動化の効果が薄れます。

まずSCIMに対応しているSaaSへの移行を優先的に検討することが有効です。移行が難しい場合は、ZapierやMakeといったiPaaSを使った準自動化で対応する方法もあります。SaaS管理プラットフォームの一覧管理画面で未対応SaaSを可視化し、手動作業の発生箇所を明確にしておくことで、改善の優先順位が立てやすくなります。

オンボーディング用テンプレートの未整備

ロールベースのテンプレートが整備されていないと、入社のたびに「この人には何を付与すべきか」を都度確認する作業が発生します。

部門・役職ごとのSaaSリストとアクセス権レベルを一度しっかり整理することが先決です。テンプレートを整備してしまえば、以降の入社対応はテンプレート適用だけで完了します。年1回の棚卸しでテンプレートをアップデートし、使われなくなったSaaSや追加されたSaaSを反映させることで、テンプレートの精度を維持できます。

入社日直前・当日の変更への対応

入社日が変更になったり、所属部門が直前に変わったりするケースは避けられません。自動化フローのトリガー条件に入社日と部門情報が含まれている場合、変更への対応が遅れるとアカウント設定にズレが生じます。

自動化フローに「入社日変更時に再実行する」条件を組み込んでおくこと、変更が生じた場合の情シスへの通知フローを人事との間で整備しておくことで、この問題を最小化できます。

オンボーディング IT 自動化の導入ロードマップ

自動化の全体像を一度に整備しようとすると規模が大きくなり、導入が難航します。3つのステップに分けて段階的に進めることが現実的です。

STEP 1：IdPの一元化とSCIM連携の整備（1〜3ヶ月）

まず全社のIdPをMicrosoft Entra IDまたはGoogle Workspaceに一本化し、主要SaaSとのSSO連携を設定します。その後、SCIMプロビジョニングに対応するSaaSから順番に連携を設定していきます。入社・退社の両方でSCIMが機能することを確認してから次のステップに進んでください。

このステップで解消できる問題は、アカウント作成・削除の手動作業、パスワード管理の煩雑さ、主要SaaSへのアクセス漏れです。

STEP 2：MDMとゼロタッチ展開の整備（2〜3ヶ月）

IntuneやJamfを導入またはフル活用し、デバイスのゼロタッチ展開を整備します。Windows AutopilotまたはApple DEPの設定と、部門別の設定プロファイルを定義します。既存のキッティング手順と並行して試験運用し、問題がなければ全社展開に切り替えましょう。

PCキッティング工数とリモート社員へのデバイス設定対応が、このステップで解消されます。

STEP 3：SaaS管理プラットフォームによる統合管理（3〜6ヶ月）

SaaS管理プラットフォームを導入し、HRシステムとの連携・ロールベーステンプレートの整備・オンボーディングフローの自動化を設定します。自動化のカバレッジを可視化しながら、手動対応が残っている領域を継続的に改善していきます。

このステップを完了すると、入社情報の登録から業務開始準備まで、情シスの手動作業がほぼなくなった状態が実現します。

オフボーディング IT 自動化

まとめ

オンボーディングのIT自動化は、SCIMによるアカウント自動プロビジョニング、MDMによるゼロタッチ展開、HRシステムと連携したライフサイクルワークフローの3つのアプローチで実現できます。

手動作業が多い領域から着手し、段階的にカバレッジを広げていくことが現実的な進め方です。STEP 1でIdPとSCIMを整備し、STEP 2でデバイスのゼロタッチ展開を整備し、STEP 3でSaaS管理プラットフォームによる統合管理を実現するロードマップが、自社の規模に合わせた出発点になります。

4月の一括入社でも工数が変わらない体制を作るには、入社情報の登録から業務開始まで自動で進む仕組みが前提になります。ツールと設定の整備を一度完了させてしまえば、次の入社から効果が継続します。

ジョーシスのプラットフォームでオンボーディングを自動化する

ジョーシスのプラットフォームなら、入社情報の登録をトリガーに350種類以上のSaaSアカウントを一括発行し、デバイス管理と一元的に対応できます。4月の一括入社でも工数を変えない体制を、無料デモでご確認ください。

参考資料

• Microsoft Learn「初出勤日前に従業員のオンボーディングタスクをMicrosoft Entra管理センターを使って自動化する」
• yjk365「新入社員のオンボーディングを自動化する方法（Entra ID Governance）」
• サイバネット「増大するアカウントプロビジョニングの負担。集中化・自動化できる基盤の確立が不可欠に」（OneLogin）
• BTNコンサルティング「社員入退社のIT対応チェックリスト｜オンボーディング・オフボーディングの実務」
• IBM「オンボーディング自動化」