GitHub Enterprise Managed Users (EMU)とは?導入手順から制限事項まで徹底解説
GitHub Enterprise Cloud は多くの企業、とくに大規模組織や規制の厳しい業界で利用されています。そうした環境では、厳格な ID 管理やコンプライアンス要件に対応する必要があります。
その要求に応えるソリューションの1つが「GitHub Enterprise Managed Users (EMU)」です。
本記事では、このEMUの基本概念から、導入によってもたらされるメリットと制限事項、そして具体的な導入手順と運用上の注意点まで、必要な情報を網羅的に解説します。
Enterprise Managed Users (EMU)とは?
Enterprise Managed Users (EMU)とは、「企業のIDプロバイダー(IdP)を通じて、GitHubユーザーの認証とライフサイクルを一元管理する仕組み」です。従業員の入社から退社まで、GitHubアカウントの作成や無効化といった主なライフサイクル管理を、使い慣れたIdP(例: Microsoft Entra ID, Okta)から自動化できます。
EMUとは?(参考:The GitHub Blog)
IdPによるユーザー管理の中央集権化
通常のGitHub Enterprise Cloudでは、ユーザーは各自でGitHub.comのアカウントを作成し、そのアカウントが組織やEnterpriseに招待される形で管理されます。一方、EMU環境では、ユーザーアカウントはIdPによってSCIMプロビジョニング(自動作成)され、企業がユーザー名やプロフィール情報、組織・リポジトリへのアクセス権を一元的に管理します。
ユーザーはGitHubにパスワードを持つのではなく、会社のIdPでのシングルサインオン(SSO)を通じてのみGitHubにアクセスします。これにより、企業は認証ポリシーやアクセス権限をIdPで一元的に統制できるようになります。
対応しているIDプロバイダー(Entra ID, Oktaなど)
GitHubは、一部のIdPと提携し、設定が簡素化された「paved-path(舗装された道)」統合を提供しています。認証(SAML/OIDC)とプロビジョニング(SCIM)の両方で単一のパートナーIdPを利用することが強く推奨されています。
パートナーIdP | SAML認証 | OIDC認証 | SCIMプロビジョニング |
Entra ID | 対応 | 対応 | 対応 |
Okta | 対応 | 非対応 | 対応 |
PingFederate | 対応 | 非対応 | 対応 |
これら以外のIdPも利用可能ですが、SAML 2.0およびSCIM 2.0の仕様に準拠している必要があります。
通常のEnterprise Cloudとの違いと選択のポイント
EMUはすべての企業が選択する必要があるわけではなく、選択の最大のポイントは、「GitHubユーザーアカウントを企業で完全にコントロールする必要があるか」です。
従業員が個人の裁量で公開リポジトリでの活動(OSSへのコントリビュートなど)を行うことを許容する場合は、通常のEnterprise Cloudが適しています。逆に、従業員のGitHub上での活動を企業内のリポジトリに限定し、すべてのIDを企業ポリシーで厳格に管理したい場合は、EMUが最も有力な選択肢となります。
EMU導入のメリットと、知っておくべき「能力と制限」
EMUを導入することで得られる統制上のメリットと、その代わりにユーザーに課される様々な活動上の制限について、具体的に解説します。
メリット:セキュリティとコンプライアンスの強化
EMUの最大のメリットは、IdPによるユーザーライフサイクルと認証の一元管理によって、セキュリティとコンプライアンスを強化できる点です。
- ユーザーライフサイクルの自動化: 従業員の入退社や異動に合わせ、GitHubアカウントの作成・権限変更・停止がIdPと連動して自動的に行われます。
- 厳格な認証ポリシーの適用: IdPの多要素認証(MFA)や条件付きアクセスポリシー(CAP)をGitHubの認証にも強制できます。
- アクセスの可視化と統制: 誰が、いつ、どのリソースにアクセスしているかをIdPで一元的に監査できます。
制限事項:公開リポジトリでの活動や一部機能の利用制限
EMU環境のユーザー(Managed User)は、企業の管理しやすい形になります。最も大きな制限は、所属する企業の外にあるリポジトリに対して、書き込み権限を伴う操作を許可しないことができます。
具体的には、OSSプロジェクトを含む企業外リポジトリへのコードのプッシュ、IssueやPull Requestの作成、コメントやリアクション、スター付けやフォークといった操作を制限することが可能です。
機能 | EMU環境下での制限事項 |
GitHub Actions | ユーザーアカウントが所有する個人リポジトリでGitHubホストランナーは利用不可。 |
GitHub Codespaces | 企業が所有するリポジトリでのみ作成可能。個人リポジトリや公開テンプレートからは作成不可。 |
GitHub Copilot | Copilot Business/Enterpriseのライセンスが必要。Copilot Pro/Freeには登録不可。 |
GitHub Pages | 利用に制限あり。 |
リポジトリ管理 | ユーザー所有リポジトリはPrivateのみ作成可能。企業外のリポジトリのForkは不可。 |
その他 | Gistの作成不可。個人プロフィールのカスタマイズ不可。 |
EMUの料金体系
EMUは、個別の追加料金が発生するオプションではなく、「GitHub Enterprise Cloud」プランに含まれる機能の一つです。
したがって、コストの基本は GitHub Enterprise Cloud のライセンス料金となり、執筆時点では 1ユーザーあたり月額21ドルが目安となります。
最終的なコストは、組織の規模や契約条件によって変動するため、弊社にお気軽にご相談ください。
※2025年12月時点の価格です。料金体系は今後変更される可能性があるため、最新の情報はGitHubの公式サイトをご覧ください。
EMUの導入手順
ここでは、EMU環境を構築するための全体像を整理し、事前準備からIdP連携・チーム同期までの流れを、6つの主要なステップに分けて順を追って解説します。
Step 1: EMUが有効なEnterpriseアカウントの作成
まず、通常のEnterpriseアカウントとは異なる、EMUが有効化された専用のEnterpriseアカウントを新規に作成する必要があります。これはGitHub Enterprise Cloudのトライアルを通じて申し込むことができます。
Step 2: 「セットアップユーザー」の作成と保護
Enterpriseアカウントが作成されると、初期設定を行うための特別な管理者アカウント、「セットアップユーザー」の招待メールが届きます。このユーザーのユーザー名は、企業のショートコードに_adminが付与されたもの(例: fabrikam_admin)になります。
このユーザーは、認証やプロビジョニング設定の核となるため、以下の点に厳重に注意してください。
- パスワードと2FA(二要素認証)を設定し、回復コードを安全な場所に保管する。
- このアカウントの認証情報は、企業のパスワード管理ツールなどで厳重に管理する。
Step 3: SCIMプロビジョニング用のPersonal Access Token作成
セットアップユーザーでGitHubにサインインし、プロビジョニング設定に使用するPersonal Access Token (classic)を作成します。このトークンにはscim:enterpriseスコープが必要で、有効期限は無期限に設定する必要があります。
Step 4: 認証方法の選択と設定(OIDC vs SAML)
メンバーがGitHubにサインインする方法を決定し、設定します。
- Entra IDを利用する場合: OpenID Connect (OIDC)またはSAMLを選択できます。条件付きアクセスポリシー(CAP)が利用できるOIDCが推奨されます。
- OktaやPingFederateなど他のIdPを利用する場合: SAMLを選択する必要があります。
Step 5: SCIMプロビジョニングの設定
次に、IdPがGitHub上にユーザーアカウントを自動的に作成・管理するためのSCIMプロビジョニングを設定します。これにより、IdP側でユーザーを追加・変更すると、その内容がGitHubに反映されるようになります。
Step 6: IdPグループとGitHubチームの同期
最後に、IdPで管理しているセキュリティグループと、GitHubのチームを同期させます。これにより、「開発部」グループに所属するユーザーは自動的にGitHubの「Developers」チームに追加され、適切なリポジトリへのアクセス権が付与される、といった運用が可能になります。
EMUを導入する企業は、従業員がこれら複数のアカウントを円滑に使い分けられるよう、Gitのユーザー設定やGit Credential Manager、GitHub CLIなどの利用方法を社内ガイドとして共有しておくと運用上望ましいでしょう。
ブラウザのアカウントスイッチャー機能や、リポジトリごとのGit設定(ユーザー名・メールアドレス・認証情報の切り替え)を正しく理解してもらうことで、「誤ったアカウントでPushしてしまう」といった事故も防止しやすくなります。
まとめ
この記事では、GitHub Enterprise Managed Users (EMU)の基本概念から導入手順、そして運用上の注意点までを解説しました。
EMUは、ユーザーアカウントのライフサイクルと認証を企業のIDプロバイダーで一元管理できるようにすることで、高いレベルのセキュリティとコンプライアンス強化を実現します。その一方で、Managed Userがコードのコントリビュートやコメントなどのコラボレーションを行える範囲は、企業内のPrivate/Internalリポジトリと自分のPrivateリポジトリにほぼ限定されるという制約も伴います。
すべての企業に必要なものではありませんが、厳格なID管理と監査要件が求められる大規模組織にとって、EMUはGitHubを安全に、かつ大規模に活用するための有力な選択肢となり得ます。特に、金融・医療・公共セクターなど、一般に高いガバナンスが求められる領域では、IdPとGitHubを密接に連携させたアカウント管理基盤として検討する価値が高いと言えるでしょう。
東京エレクトロンデバイスは、GitHub Enterprise Cloudの導入・運用支援を行っております。
Enterprise Managed Users (EMU)の導入計画や、自社のセキュリティ要件に最適なID管理戦略の策定についてもお手伝いできますので、ぜひお気軽にご相談ください。
