Microsoft Entra ID のテナント
Microsoft Entra ID は、ユーザーやアプリなどのオブジェクトをテナントというグループに編成します。 テナントを使用することで、管理者は組織内のユーザーと、組織が所有するアプリに対してポリシーを設定して、セキュリティおよび運用ポリシーを満たすことができます。
アプリケーションにサインインできるユーザー
アプリを開発する場合、開発者は アプリを登録する際に、アプリをシングルテナントまたはマルチテナントとして構成できます。
- シングルテナント アプリは、それらが登録されているテナント (ホーム テナントとも呼ばれます) でのみ使用できます。
- マルチテナント アプリは、ホーム テナントと他のテナントの両方のユーザーが使用できます。
アプリケーションを登録するときに対象ユーザーを次のように設定することで、アプリケーションをシングルテナントまたはマルチテナントに構成できます。
| オーディエンス | シングル/マルチテナント | サインインできるユーザー |
|---|---|---|
| このディレクトリ内のアカウントのみ | シングル テナント | ディレクトリ内のすべてのユーザー アカウントとゲスト アカウントが、このアプリケーションまたは API を使用できます。 このオプションは、対象ユーザーが組織の内部ユーザーである場合に使用します。 |
| 任意の Microsoft Entra ディレクトリ内のアカウント | マルチテナント | Microsoft の職場または学校アカウントを持つすべてのユーザーとゲストが、このアプリケーションまたは API を使用できます。 これには、Microsoft 365 を使用する学校や企業が含まれます。 対象ユーザーが企業または教育機関の場合は、このオプションを使用します。 |
| 任意の Microsoft Entra ディレクトリ内のアカウントと個人用 Microsoft アカウント (Skype、Xbox、Outlook.com など) | マルチテナント | 職場または学校アカウントあるいは個人用 Microsoft アカウントを持つすべてのユーザーが、このアプリケーションまたは API を使用できます。 これには、Microsoft 365 を使用する学校と企業、および Xbox や Skype などのサービスへのサインインに使用されている個人用アカウントが含まれます。 最も広範な Microsoft アカウントを対象とする場合は、このオプションを使用します。 |
マルチテナント アプリのベスト プラクティス
IT 管理者がテナントで設定できる各種ポリシーの数が多いために、優れたマルチテナント アプリの作成が難しくなることがあります。 マルチテナント アプリを作成する場合は、次のベスト プラクティスに従ってください。
- 条件付きアクセス ポリシーが構成されているテナントでアプリをテストします。
- 最小限のユーザー アクセスの原則に従って、アプリでは実際に必要なアクセス許可だけを要求するようにします。
- アプリの一部として公開するアクセス許可の適切な名前と説明を提供します。 これにより、ユーザーと管理者があなたのアプリの API を使用するとき、何に同意しているか把握しやすくなります。 詳細については、アクセス許可ガイドのベスト プラクティスのセクションをご覧ください。
次のステップ
Microsoft Entra ID のテナントの詳細については、次を参照してください。