Microsoft Entra ID でのマルチテナント組織とは
マルチテナント組織は、Microsoft Entra ID と Microsoft 365 の機能であり、これを使用すると組織内にテナント グループを形成できます。 グループ内にあるテナントの各ペアは、B2B またはテナント間同期を構成するために使用できるテナント間アクセス設定によって管理されます。
マルチテナント組織を使用する理由
マルチテナント組織の主な目的を次に示します。
- 組織に属するテナントのグループを定義する
- 新しい Microsoft Teams でテナント間で共同作業を行う
- Microsoft 365 ユーザー検索を通じてて、テナント全体のユーザー プロファイルの検索と検出を有効にする
対象ユーザーについて
複数の Microsoft Entra テナントを所有し、Microsoft 365 における組織内のテナント間のコラボレーションを効率化する必要がある組織。
マルチテナント組織の機能は、マルチテナント組織のテナント間で B2B メンバー ユーザーが相互プロビジョニングされていることを前提として構築されています。
そのため、マルチテナント組織の機能は、Microsoft Entra のテナント間同期または外部 ID 用の代替一括プロビジョニング エンジンの同時使用を前提としています。
メリット
マルチテナント組織の主な利点を次に示します。
組織内と組織外のユーザーを区別する
Microsoft Entra ID では、マルチテナント組織内の外部ユーザーと、マルチテナント組織外の外部ユーザーを区別できます。 この区別により、組織内および組織外の外部ユーザーに対して異なるポリシーの適用が容易になります。
Microsoft Teams でのコラボレーション エクスペリエンスの向上
新しい Microsoft Teams では、マルチテナント組織のユーザーは、マルチテナント組織全体で接続されているすべてのテナントからのチャット、通話、会議開始の通知により、テナント間のコラボレーション エクスペリエンスの向上が期待できます。 テナントの切り替えは、よりシームレスで高速です。 詳細については、「マルチテナント組織向けの Microsoft Teams でのよりシームレスなコラボレーションの発表」および「Microsoft Teams: 新しいアーキテクチャの利点」を参照してください。
テナント間でのユーザー検索エクスペリエンスの向上
Microsoft 365 サービス全体において、マルチテナント組織のユーザー検索エクスペリエンスは、複数のテナント間でのユーザーの検索と検出を可能にするコラボレーション機能です。 有効にすると、ユーザーはテナントのグローバル アドレス リストで、同期されたユーザー プロファイルを検索して検出し、対応するユーザー カードを表示できるようになります。 詳細については、「Microsoft 365 マルチテナント組織のユーザー検索」を参照してください。
マルチテナント組織のしくみ
マルチテナント組織機能を使用すると、組織内にテナント グループを形成できます。 次のリストは、マルチテナント組織の基本的なライフサイクルを説明しています。
マルチテナント組織を定義する
1 人のテナント管理者が、マルチテナント組織をテナントのグループとして定義します。 テナントのグループ化は、リストされた各テナントがマルチテナント組織に参加するアクションを起こすまでは相互的ではありません。 目的は、リストされているすべてのテナント間の相互同意です。
マルチテナント組織に参加する
リストされたテナントのテナント管理者は、マルチテナント組織に参加するためのアクションを実行します。 参加後のマルチテナント組織の関係は、マルチテナント組織に参加したすべてのテナント間で相互的になります。
マルチテナント組織を離脱する
リストされたテナントのテナント管理者は、いつでもマルチテナント組織を離脱できます。 マルチテナント組織を定義したテナント管理者は、リストされたテナントを追加および削除できますが、他のテナントは制御しません。
マルチテナント組織は対等なコラボレーションとして確立されます。 各テナント管理者は、自分のテナントとマルチテナント組織のメンバーシップを常に制御します。
クロステナント アクセス設定
管理者がリソースを把握しておくことは、マルチテナント組織のコラボレーションの基本原則です。 テナント間アクセス設定は、テナント間の関係ごとに必要です。 テナント管理者は、必要に応じて、次のポリシーを明示的に構成します。
テナント間アクセス パートナーの構成
詳細については、「B2B コラボレーションのためにテナント間アクセス設定を構成する」および「crossTenantAccessPolicyConfigurationPartner リソースの種類」を参照してください。
テナント間アクセス ID の同期
詳細については、「テナント間同期を構成する」および「crossTenantIdentitySyncPolicyPartner リソースの種類」を参照してください。
マルチテナント組織の例
次の図は、マルチテナント組織を形成する 3 つのテナント A、B、および C を示しています。
| テナント | 説明 |
|---|---|
| A | 管理者には、A、B、C で構成されるマルチテナント組織が表示されます。 また、B と C のテナント間アクセス設定も表示されます。 |
| B | 管理者には、A、B、C で構成されるマルチテナント組織が表示されます。 また、A と C のテナント間アクセス設定も表示されます。 |
| C | 管理者には、A、B、C で構成されるマルチテナント組織が表示されます。 また、A と B のテナント間アクセス設定も表示されます。 |
テナント間アクセス設定のテンプレート
マルチテナント組織のパートナー テナントに適用される同種のテナント間アクセス設定のセットアップを容易にするために、各マルチテナント組織テナントの管理者は、オプションでマルチテナント組織専用のテナント間アクセス設定テンプレートを構成できます。 これらのテンプレートを使用すると、マルチテナント組織に新しく参加するパートナー テナントに適用されるテナント間アクセス設定を事前に構成できます。
テナントのロールと状態
マルチテナント組織の管理を容易にするために、特定のマルチテナント組織のテナントにはロールと状態が関連付けられています。
| テナントのロール | 説明 |
|---|---|
| 所有者 | 1 つのテナントがマルチテナント組織を作成します。 テナントを作成するマルチテナント組織は、所有者のロールを受け取ります。 所有者テナントの権限は、テナントを保留中状態に追加したり、マルチテナント組織からテナントを削除したりすることです。 また、所有者テナントは、他のマルチテナント組織テナントのロールを変更できます。 |
| メンバー | 保留中のテナントをマルチテナント組織に追加した後、保留中のテナントはマルチテナント組織に参加して、状態を保留中からアクティブに切り替える必要があります。 参加したテナントは、通常、メンバー ロールで開始されます。 すべてのメンバー テナントには、マルチテナント組織を離脱する権限があります。 |
| テナントの状態 | 説明 |
|---|---|
| 保留中 | 保留中のテナントはまだマルチテナント組織に参加していません。 保留中のテナントは、管理者のマルチテナント組織のビューに一覧表示されますが、まだマルチテナント組織の一部ではないため、エンド ユーザーのマルチテナント組織のビューには表示されません。 |
| アクティブです | 保留中のテナントをマルチテナント組織に追加した後、保留中のテナントはマルチテナント組織に参加して、状態を保留中からアクティブに切り替える必要があります。 参加したテナントは、通常、メンバー ロールで開始されます。 すべてのメンバー テナントには、マルチテナント組織を離脱する権限があります。 |
制約
マルチテナント組織の機能は、次の制約のもとに設計されています。
- 特定のテナントは、単一のマルチテナント組織のみを作成または参加できます。
- マルチテナント組織には、少なくとも 1 つのアクティブな所有者テナントが必要です。
- アクティブな各テナントには、すべてのアクティブなテナントに対するテナント間アクセス設定が必要です。
- アクティブなテナントは、マルチテナント組織から自分自身を削除することで、そこから離脱できます。
- マルチテナント組織は、唯一残っているアクティブな (所有者) テナントが離脱すると削除されます。
制限
| リソース | 制限 | メモ |
|---|---|---|
| 所有者テナントを含め、最大数のアクティブなテナント | 100 | 所有者テナントは 100 を超える保留中のテナントを追加できますが、制限を超えると、マルチテナント組織に参加できなくなります。 この制限は、保留中のテナントがマルチテナント組織に参加する時点で適用されます。 この制限は、マルチテナント組織内のテナント数に固有です。 テナント間同期自体には適用されません。 この制限を引き上げるには、Microsoft Entra または Microsoft 365 管理センターでサポート リクエストを送信します。 Microsoft Graph API では、既定の 100 テナントの制限は、参加時にのみ適用されます。 Microsoft 365 管理センターでは、マルチテナント組織の作成時と参加時に既定の制限が適用されます。 |
外部ユーザーのセグメント化
マルチテナント組織を定義し、userType の Microsoft Entra ユーザー プロパティに基づいてピボットすることにより、外部 ID は次のようにセグメント化されます。
- マルチテナント組織内の外部メンバー
- マルチテナント組織内の外部ゲスト
- 組織外の外部メンバー
- 組織外の外部ゲスト
マルチテナント組織を定義した結果、この外部ユーザーのセグメント化により、管理者は組織内および組織外の外部ユーザーをより適切に区別できるようになります。
マルチテナント組織内の外部メンバーは、マルチテナント組織メンバーと呼ばれます。
Microsoft 365 のマルチテナント コラボレーション機能は、マルチテナント組織のメンバー ユーザーと共同作業するときに、テナント境界を越えてシームレスなコラボレーション エクスペリエンスを提供することを目的としています。
Microsoft 365 管理センターとテナント間同期の選択
Microsoft Entra テナント間同期を使用したことがなく、同じユーザー セットがすべてのマルチテナント組織テナントに共有される共同作業ユーザー セット トポロジを確立する場合は、Microsoft 365 管理センターのユーザー共有機能を使用できます。
既に Microsoft Entra テナント間同期を使用している場合は、さまざまなマルチハブ マルチスポーク トポロジに対して、Microsoft 365 管理センターの共有ユーザー機能を使用する必要はありません。 代わりに、既存の Microsoft Entra テナント間同期ジョブを引き続き使用できます。
作業の開始
マルチテナント組織の使用を開始するための基本的な手順を次に示します。
手順 1: 展開を計画する
詳細については、「Microsoft 365 でマルチテナント組織を計画する」を参照してください。
手順 2: マルチテナント組織を作成する
Microsoft 365 管理センター、Microsoft Graph PowerShell、または Microsoft Graph API を使用してマルチテナント組織を作成します。
- 最初のテナント (間もなく所有者テナントになる) はマルチテナント組織を作成します。
- 所有者テナントは 1 つ以上の参加者テナントを追加します。
手順 3: マルチテナント組織に参加する
Microsoft 365 管理センター、Microsoft Graph PowerShell、または Microsoft Graph API を使用してマルチテナント組織に参加します。
- 参加者テナントは、所有者テナントのマルチテナント組織に参加するための参加要求を送信します。
- 非同期処理を許可するために、最大 2 時間待ちます。
マルチテナント組織が形成されます。
手順 4: ユーザーを同期する
ユースケースに応じて、次のいずれかの方法を使用してユーザーを同期できます。
- Microsoft 365 のマルチテナント組織のユーザーを同期する
- テナント間同期を構成する
- PowerShell または Microsoft Graph API を使用してテナント間同期を構成する
- 代替一括プロビジョニング エンジン
ライセンス要件
マルチテナント組織の機能には、Microsoft Entra ID P1 ライセンスが必要です。 マルチテナント組織ごとに、従業員ごとに 1 つの Microsoft Entra ID P1 ライセンスのみが必要です。 また、テナントごとに少なくとも 1 つの Microsoft Entra ID P1 ライセンスが必要です。 自分の要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。