目次

2. 従業員マスタを連携する

Yasuhiro Miyoshi Updated by Yasuhiro Miyoshi

従業員マスタを設定することで、従業員の退職やゲストアカウントかどうかを簡単に判別することができるようになります。

連携にはマネーフォワードMEのアカウントアグリゲーションを応用しており、各SaaSに影響を及ぼすことなく、安全に連携することができます。

Google Workspace

連携方法
💡 この設定にはGoogle orkspaceの特権管理者権限が必要です

Google Workspaceと連携し、従業員のステータスを取得します。

設定 > 組織 > 従業員マスター設定から設定が可能です。

指定後、初期処理が終わるとアカウント一覧に退職ラベルや、従業員ラベルが付きます。

 

Google Workspaceをクリックし、Sign in with Google をクリックします。

Googleのログイン画面が表示されます(*1)ので、特権管理者権限のアカウントでログインします。

下の図のようにアクセス権を選択する画面が表示されます。全ての項目にチェックを入れたのち、Continueをクリックします。

 

従業員マスタ連携後のラベリング条件
  • 自社従業員と判定する為のドメイン名を取得します。ドメイン名にはサブドメイン、エイリアスドメインも含まれます。
  • SaaS側にGoogle Workspaceにないメールアドレスが見つかった場合、ドメインを元に従業員と判定しています。
  • Google Workspaceから取得したユーザーオブジェクトは「従業員」ラベルが付与されます。
  • Google Workspaceから取得したグループオブジェクトは「システム」ラベルが付与されます。
  • 従業員マスタのドメイン以外で登録したドメインのオブジェクトはすべて、「社外」ラベルが付与されます。
  • 従業員ラベルが付いたIDのうち、削除済の場合は退職ラベルも合わせて付与されます。
  • 従業員ラベルが付いたIDのうち、停止中の場合は休職ラベルも合わせて付与されます。
  • 何らかの事情でメールアドレスが取得できない場合、またはサービス側で無効状態のユーザーを同期すると、「不明」ラベルが付与されます。
  • Google Workspaceは削除してから一定期間はIDが残り、その後完全に消えます。残っている間は退職ラベルを付与してデータを取得していますが、完全に消えたあとはGoogle Workspaceの詳細画面のアカウント一覧からも消えます。

     

AzureAD, Microsoft365

連携方法
💡 この設定にはAzureAD 又は Microsoft365のグローバル管理者権限が必要です

AzureAD, Office365と連携し、従業員のステータスを取得します。

 

設定 > 組織 > 従業員マスター設定から設定が可能です。

指定後、初期処理が終わるとアカウント一覧に退職ラベルや、従業員ラベルが付きます。

既に連携済みのワークスペースがある場合は選択して 連携する のボタンを押すと完了です。

連携していないワークスペースと連携する場合は 新しいワークスペースを連携する を押して、 連携する を押してください。通常の連携フローに移りますので AzureAD の連携手順を元に連携を成功させてください。

     

従業員マスタ連携後のラベリング条件
  • 自社従業員と判定する為のドメイン名を取得します。ドメイン名にはサブドメインも含まれます。ただしAzureのテナント自体が別の場合は取得できません。連携したユーザーのプライマリーテナントだけのデータが取得されます。
  • SaaS側にAzureAD, Microsoft 365にないメールアドレスが見つかった場合、ドメインを元に「従業員」かどうか判定しています。
  • AzureAD/Microsoft 365から取得したユーザーオブジェクトは「従業員」ラベルが付与されます。
  • AzureAD, Microsoft 365から取得したユーザーオブジェクトの内、次のオブジェクトには「システム」ラベルが付与されます。
    • グループアドレスオブジェクト
    • リソースオブジェクト(会議室等)
    • 共有メールボックスオブジェクト(*画像)
    • AzureADとOn-premise ADをつなぐ為のコネクターアカウント (On-Premises Directory Synchronization Service Account )
  • 従業員ラベルが付いたIDのうち、アカウント停止(無効)中のアカウントは退職ラベルも合わせて付与されます。
  • 従業員ラベルが付いたIDのうち、ログインDisable(サインイン不許可)のアカウントは休職ラベルも合わせて付与されます。
  • 従業員マスタのドメイン以外で登録したドメインのオブジェクトはすべて、社外ラベルが付与されます。

  (自社テナントにゲストで招待したアカウントも「社外」となります)

  • 何らかの事情でメールアドレスが取得できない場合、またはサービス側で無効状態のユーザーを同期すると、「不明」ラベルが付与されます。
  • AzureAD, Microsoft365は削除するとPrincipleIDが変化し、別のユーザーとして見えてしまうため、削除済ユーザーは取得してません。AzureAD, Microsoft365のサービス詳細画面のアカウント一覧からも消えます。
ライセンスが付与されていないが残存しているアカウントは従業員ラベル(課金対象)となりますので、課金対象外とし たい場合、ログインの無効化(Disable)、あるいはアカウントの削除を推奨します

  

SmartHR

連携方法

SmartHRと連携し、従業員のステータスを取得します。

設定 > 組織 > 従業員マスター設定から設定が可能です。指定後、初期処理が終わるとアカウント一覧に退職ラベルや、従業員ラベルが付きます。

 

SmartHRとの連携手順については、次のSmartHRとの連携手順をご覧ください。

SmartHRとの連携手順

 

従業員マスタ連携後のラベリング条件

同期対象はSmartHRのメールアドレスアカウント、および、従業員リストに存在するアカウントです。

メールアドレスアカウントのメールアドレスと従業員リストのアカウントが紐付いている場合、一人の従業員にマージします。

その状態で、

  • SmartHRの「従業員リスト」に存在するアカウントは、「従業員」ラベルが付与されます。
  • 従業員ラベルが付いたアカウントのうち、SmartHRの在籍状況が「休職中」もしくは「退職済」のアカウントは、「休職」もしくは退職ラベルも合わせて付与されます。
  • 何らかの事情でメールアドレスが取得できない場合、またはサービス側で無効状態のユーザーを同期すると、「不明」ラベルが付与されます。
・SmartHRの従業員リストに紐付いていない、「メールアドレスアカウント」のアカウントは「社外」ラベルが付与されます。
・メールアドレスがいずれにも存在しないアカウントは同期対象外となります。SmartHRのアカウントを取得する場合、メールアドレスの設定が必要になります。

 

SmartHRのロールについて

IT管理クラウドでは次のアカウントについて、CrewもしくはUserと表現しています。

  • Smart HRの「従業員リスト」に存在するアカウント:Crew
  • Smart HRの「メールアドレスアカウント」に存在するアカウント:User

 

Okta

連携方法

Oktaと連携し、従業員のステータスを取得します。

設定 > 組織 > 従業員マスター設定から設定が可能です。指定後、初期処理が終わるとアカウント一覧に退職ラベルや、従業員ラベルが付きます。

Oktaとの連携手順については、次のOktaとの連携手順をご覧ください。

Oktaとの連携手順

 

従業員マスタ連携後のラベリング条件
  • メールアドレスがある、Oktaに存在するアカウントは「従業員」ラベルが付与されます。(ドメインによる区別はありません)
  • メールアドレスがある、Oktaに存在しないアカウントは「社外」ラベルが付与されます。
  • ステータスが「Suspended」のアカウントは休職」ラベルが付与されます。
  • ステータスが「Deactivated」のアカウントは退職」ラベルが付与されます。
  • 何らかの事情でメールアドレスが取得できない場合、またはサービス側で無効状態のユーザーを同期すると、「不明」ラベルが付与されます。

  

Onelogin

連携方法

Oneloginと連携し、従業員のステータスを取得します。

設定 > 組織 > 従業員マスター設定から設定が可能です。指定後、初期処理が終わるとアカウント一覧に退職ラベルや、従業員ラベルが付きます。

Oneloginとの連携手順については、次のOneloginとの連携手順をご覧ください。

Oneloginとの連携手順

  

従業員マスタ連携後のラベリング条件
  • メールアドレスがある、Oneloginに存在する「Active」のアカウントに対して「従業員」ラベルが付与されます。(ドメインによる区別はありません)
  • メールアドレスがある、Oneloginに存在しないアカウントに対して「社外」ラベルが付与されます。
  • ステータスが「Inactive」のアカウントは休職」ラベルが付与されます。
  • 何らかの事情でメールアドレスが取得できない場合、またはサービス側で無効状態のユーザーを同期すると、「不明」ラベルが付与されます。
退職」ラベルは現在のところ付与されません。退職アカウントについては一度ステータスをInactiveに変更いただき、休職アカウントに対して各SaaSのアカウントを削除ください。SaaSのアカウントを削除後、Oneloginのアカウントを削除ください。

従業員マスター指定の早見表(参考)

従業員マスタには、普段メールの送受信を行うサービスを指定するのがオススメです。グループアドレスなども管理対象に含めることができるためです。また、SmartHRなどその他の従業員マスタはいずれのメールサービスもご利用でない場合に指定することをオススメしています。複数のサービスを保有している場合、以下の早見表で従業員マスターに指定するサービスをご確認ください。(○は利用中のサービス)

Google Workspace

AzureAD

Microsoft365

その他の従業員マスタ

連携すべきサービスは?

-

メール送受信するサービスを指定

・Gmail → Google Workspaceを指定

・AzureAD/Microsoft365 → AzureADを指定

-

-

メール送受信するサービスを指定

-

-

メール送受信するサービスを指定

-

-

-

Google Workspaceを指定

-

-

AzureADを指定

-

-

-

AzureADを指定

-

-

-

Microsoft365を指定

-

-

-

その他の従業員マスタを指定

 

この記事はお役に立ちましたでしょうか?

1. アカウントの作成と初期設定

3. コストマスタと連携する

お問い合わせ