社内で案件ごとに2週間サイクルで振り返りをやっていたのだが、メンバーの入れ替わりによって参加者が変わったときに振り返りの週間が滅びてしまった。
そんな日々が続き、学んだことの共有や改善を話す場が失われたことに気がついた。
大きくない会社なので、全員で振り返りをやることも考えたが、どうしても日程調整の面倒さがある。
そこで、各種の会議の終わり5分程度を使ってこまめに振り返りをやるようにしてみた。
日程調整でウッとなる必要ないし、今話していた内容をベースにして話が進むので記憶が新しいし、各自の新たな発見に触れられたりできたので今のところ体験が良い気がしている。
男性が妊娠して入院するという夢だった。取引先のマネージャーも入院の書類を書いていて、〇〇さんも入院ですか~とか言っていた。コロナ禍になる前のような様子で、家族がお見舞いに来てくれて、そして生まれて、父子同室で生まれたての子供を横に置き、なんだかほっこりと温かい気持ちになるというのを体験した。不思議な夢だった
最近ではヒヤマケンタロウの妊娠という作品があるらしいし、昔はジュニアという映画でシュワちゃんが妊娠している役をやっていたらしい。
Microsoft Graphを使い始める記事はいくつも出てくるのですが、込み入った使い方をしようとすると急に情報が少なくなる印象があるので、この記事を書いてみることにしました。
使い始める際の情報はこれらを見るとよいです
Microsoft Graph を使ってみた! – Livestyleクラウドサービス
Microsoft Graphを使うにあたって、シンプルなタスクであればわりとすぐに使うことができます。Linuxなどからcurlでコマンドライン経由で使えます。また、ワークフローに組み込んで、入ってきたデータに対してユーザーのグループ移動とかはシュッと作ることができます。userPrincipalNameを使ってidを取得して、そのユーザーのidと所属させたいグループのidの情報を渡してあげるだけです。curlで実行する際には、末尾の $ref が変数として認識されてしまわないようにシングルクォートで囲う必要があることに注意が必要です。
トークン取得処理 (xxxxx.onmicrosoft.comのxxxxxにはお使いのテナント名が入ります)
TOKEN=`curl -d "client_id=xxxxxxxxxxxxxx" -d "scope=https%3A%2F%2Fgraph.microsoft.com%2F.default" -d client_secret=xxxxxxxx -d "grant_type=client_credentials" -H "Content-Type: application/x-www-form-urlencoded" -X POST https://login.microsoftonline.com/xxxxx.onmicrosoft.com/oauth2/v2.0/token | jq -r .access_token`
userPrincipalNameを使ってidを取得する処理
curl -H "Authorization: $TOKEN" -H "Content-Type: application/json" https://graph.microsoft.com/v1.0/users/<userPrincipalName>
グループへメンバーを追加する処理
curl -D- -XPOST -H "Authorization: $TOKEN" -H "Content-Type: application/json" -d '{"@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/<user id>"}' 'https://graph.microsoft.com/v1.0/groups/<group id>/members/$ref'
仕事でMicrosoft 365のライセンス回りの棚卸しを行う必要がでてきました。ユーザー数 x ライセンス割り当て情報の数で、シンプルなタスクよりも扱う情報量が急に増えることになりました。 最初はMicrosoft GraphのHTTP APIを使い、AzureADのユーザー情報をJSONに出力して、jqを用いてライセンス割り当て状況に応じてグループ分けを行ってみました。ユーザー一覧のJSONファイルを手元に持つことになるうえに、jqでの検索が遅いという問題が出てきました。
では何かMicrosoft GraphのSDKを使おうとなり、私が使い慣れているRubyのSDKを検討したのですが、RubyのSDKは"Microsoft Graph Ruby client library is not actively supported"となっており悲しみにくれました。
大学の研究室にいたころや、就職したての頃はJavaを少し書いていましたが、Javaで書く気持ちになれず、JavaScriptは得意ではないし、などと考えた結局 .NET で実装してみることにしました。意外とできましたが苦労はありました。
Microsoft GraphをC#から使ううえで、どの認証ライブラリを使えばいいのか自信を持てませんでした。結局のところ、 Azure.IdentityとMicrosoft.Graphを組み合わせて使うことでうまくいきました。
またMicrosoft Graphは複数の認証方法をサポートしていますが、ドキュメントを読んでどの方法を使えばいいのか判断するのに苦労しました。
これを使えばよいことがわかりました learn.microsoft.com
最初にこのページを見ると、大変そうだしどれを使ったらいいかわからないので、そっとタブを閉じたくなってきます learn.microsoft.com
ライセンスの棚卸しをしたいので、各ユーザーが使用しているライセンスを特定する必要があります。ここも苦労しました。EMS E3やE5などライセンスの種類がありますが、これらのライセンスはSkuIDが付与されています。最初はSkuIDで特定できることもわかりませんでしたし、下記ページを見つけられていなかったので、なんだこれはとなりました。以下ページ覚えておくと便利です。URLが変わってしまうかもしれないですが。 learn.microsoft.com
ユーザー情報にライセンス割り当ての属性(LicenseAssignmentStates)がありますが、ユーザーは複数のライセンスを持つ可能性があるうえに、SkuIDで識別されているので、よく使うSkuIDをハードコーディングする必要がありました。(今思えば別ファイルに切り出しておいても良かったかもしれないですね。
ライセンス割り当て方法に実は複数の種類があり、直接付与とグループによる割り当てがあります。LicenseAssignmentStatesのassignedByGroupというプロパティで取得することができます。AzureADの画面で、直接ライセンスを割り当ててしまうと直接となります。管理の観点からは、グループでのライセンス割り当てが望ましいので、これらを区別する必要がありました。そのため、各ライセンスが直接割り当てされているユーザーリストや、グループにより各ライセンスが割り当てられているユーザーリストを作成して棚卸しをしました。
最後に紛らわしい話題だけどAD Graphは非推奨になっています。Microsoft Graphは便利なので廃止されないで残ってほしいです。
面倒なので背景をすっ飛ばすけどGoogle WorkspaceのユーザーをAzureADにもっていきたいことありますよね。Google WorkspaceでエクスポートしたCSVをAzureADでインポートするだけですが、だけと言うには面倒なCSVのフォーマット変換処理が必要です。そのCSVフォーマット変換スクリプトをRubyでチャッと書きました。
プログラミングができる人ならば、この処理はパッと書けると思うのでブログにするつもりはなかったのですが、情シス界隈でこれからプログラミングを学んでいこうという人とかのニッチな困りがあるかもしれないと思って書くことにしました。
Google WorkspaceからエクスポートしたCSVを各行ごとに処理し、AzureADのCSVインポートフォーマットに変更していくだけの適当なスクリプトを書きました。各自のパスワードをバラバラに作れるようにはできていないし、jobTitleやdepartmentは入ってないこと前提になっているし、usageLocationもJapan決め打ちでとてもアレだけどGoogle Workspaceに情報が入っていればそれを使うようにしてあげればいいですね。
ちなみに、Google WorkspaceのCSVフォーマットか、AzureADのCSVフォーマットのどちらかが変更されると使えません。
このスクリプトの動作には、Google WorkspaceからエクスポートしてきたCSVと、AzureADのCSVインポートをしようとしたときのCSVテンプレートをダウンロードしてazuread_header.csvという名前で保存しておく必要があります。
CSVのヘッダーと、データが別の2ファイルから1つのCSVファイルを作る方法は以下の記事のyancyaさんによる技を使いました。
かけだし経営者として、経営って何なのだろうと考えたところ「会社存続と運営の無限責任を負っている」というのが自分的にはしっくりくると思うようになった。
最終的な責任を負う立場ですね、というのはわかっていたのだが、この表現がしっくりきてからは従業員のときとの違いがじわじわとわかってきたと感じている。これは楽ではないぞ、と思ったので気が引き締まる思いだ