Microsoft Entra ID でのマルチテナント組織の機能
この記事では、マルチテナント組織のシナリオと、Microsoft Entra ID の関連機能の概要について説明します。
マルチテナント組織のシナリオとは
マルチテナント組織のシナリオが生じるのは、1 つの組織に Microsoft Entra ID のテナント インスタンスが複数ある場合です。 組織で複数のテナントを使用する主な理由は以下のとおりです。
- コングロマリット: 独立経営の複数の子会社または事業単位を含む組織。
- 合併と買収: 企業を合併または買収する組織。
- 売却活動: 売却では、ある組織がその事業の一部を分離して新しい組織を立ち上げるか、既存の組織に売却します。
- 複数のクラウド: コンプライアンスまたは規制上の必要性から複数のクラウド環境に展開する組織。
- 複数の地理的境界: 所在地に関するさまざま規制のために、複数の地理的な場所で事業を展開する組織。
- テスト テナントまたはステージング テナント: プライマリ テナントへのより広範なデプロイに先んじて、テストまたはステージングの目的で複数のテナントを必要とする組織。
- 部門または従業員が作成したテナント: 開発、テスト、または独立した統制のために部門または従業員がテナントを作成した組織。
Microsoft Entra テナントとは
"テナント" は Microsoft Entra ID のインスタンスです。ここには、ユーザー、グループ、デバイスなどの組織オブジェクトに加え、Microsoft 365 やサードパーティのアプリケーションなどのアプリケーション登録も含め、1 つの組織に関する情報があります。 テナントには、ディレクトリに登録されているアプリケーションなどのリソースのアクセス ポリシーとコンプライアンス ポリシーも含まれています。 テナントによって提供される主な機能には、ID 認証とリソース アクセス管理が含まれます。
Microsoft Entra の観点からは、テナントは ID およびアクセス管理のスコープを形成します。 たとえば、テナント管理者は、テナントの一部またはすべてのユーザーがアプリケーションを使用できるようにしたり、アプリケーションに対するアクセス ポリシーをテナントのユーザーに適用したりします。 さらに、テナントには、組織のメール ドメインや、その組織の従業員が使用する SharePoint URL など、エンド ユーザーのエクスペリエンスを決定付ける組織ブランディング データが含まれています。 Microsoft 365 の観点からは、テナントはコラボレーションとライセンスに関する既定の境界を形成します。 たとえば、Microsoft Teams または Microsoft Outlook のユーザーは、自らが属するテナントから他のユーザーを探して共同作業することが簡単にできますが、他のテナントのユーザーは探すことも見ることもできません。
テナントには特権的な組織データが含まれ、他のテナントから安全に分離されています。 さらに、テナントは、特定のリージョンまたはクラウドでデータが永続化され、処理されるように構成できます。これにより、組織では、データの所在地と処理に関するコンプライアンス要件を満たすためのメカニズムとしてテナントを使用できます。
マルチテナントの課題
組織が最近、新しい会社を買収したか、別の会社と合併したか、新しく立ち上げられた事業単位に基づいて再編された場合を考えます。 別々の ID 管理システムを使用している場合、異なるテナントのユーザーがリソースにアクセスしたり、共同作業したりするのに困難が伴う可能性があります。
次の図は、他のテナントのユーザーが、組織のテナント間でアプリケーションにアクセスできない可能性がある様子を示しています。
組織が進化するにつれて、IT チームも変化するニーズを満たせるように適応していく必要があります。 これには、多くの場合、既存のテナントとの統合や新しいテナントの立ち上げが含まれます。 ID インフラストラクチャの管理方式にかかわらず、ユーザーがシームレスにリソースにアクセスして共同作業ができることが重要です。 現在は、カスタム スクリプトまたはオンプレミス ソリューションを使用してテナントを集約し、テナント間のシームレスなエクスペリエンスを提供している可能性があります。
マルチテナント組織のマルチテナント機能
Microsoft Entra ID のマルチテナント組織は、マルチテナント機能のポートフォリオを備えており、これを使用して、複数のテナントを含む組織全体のユーザーと安全に対話し、テナント全体にそれらのユーザーを自動的にプロビジョニングし、管理できます。
これらのマルチテナント機能の一部では、一般的なテクノロジ スタックがビジネス ゲスト向けの Microsoft Entra 外部 ID および Microsoft Entra ID でのアプリ プロビジョニングと共有されているため、こうした他の分野への相互参照が頻繁に見つかる可能性があります。 Microsoft 365 for Enterprise では、マルチテナント機能を使用して、Microsoft Teams 内および Microsoft 365 アプリケーション全体でシームレスなマルチテナント コラボレーション エクスペリエンスを実現、または容易に実現できるようにします。
マルチテナント組織のニーズに対応する、マルチテナント機能セットを次に示します。
テナント間アクセス設定 - テナントが、組織内の他のテナントとの間での相互アクセスをどのように許可または禁止するかを管理します。 これらを使用して B2B Collaboration、B2B 直接接続、テナント間同期を管理し、また、組織の別のテナントが自分のマルチテナント組織に含まれることが認識されているかどうかを、これらが示します。
B2B 直接接続 - シームレスなコラボレーションを実現するために、別の Microsoft Entra テナントとの間で双方向の相互信頼関係を確立します。 B2B 直接接続ユーザーはディレクトリに表示されませんが、Teams 共有チャネル内でコラボレーションを行うために Teams で表示できます。
B2B Collaboration – 外部ユーザーにアプリケーション アクセスを提供して、コラボレーションを行います。 B2B Collaboration ユーザーはディレクトリに表示されます。 Microsoft Teams でのコラボレーションに利用できます (有効になっている場合)。 Microsoft 365 アプリケーション全体でも利用できます
テナント間同期 - 複数のテナントを含む組織全体で B2B Collaboration ユーザーの作成、更新、削除を自動化する同期サービスを提供します。 このサービスを使用すると、ターゲット テナントで Microsoft 365 ユーザー検索のスコープを設定できます。 このサービスは、テナント間アクセス設定の下のテナント間同期設定によって管理します。
Microsoft 365 マルチテナント ユーザー検索 - B2B Collaboration ユーザーとのコラボレーション。 B2B Collaboration ユーザーは、アドレス一覧に表示されていれば、Outlook で連絡先として使用できます。 ユーザーの種類が Member に昇格されると、B2B Collaboration メンバー ユーザーは、ほとんどの Microsoft 365 アプリケーションで使用できます。
マルチテナント組織 - 組織が所有する Microsoft Entra テナントの周囲に境界を定義し、招待と受け入れフローによって可能になります。 B2B メンバー プロビジョニングと組み合わせて、Microsoft Teams や Microsoft 365 アプリケーション (Microsoft Viva Engage など) でシームレスなコラボレーション エクスペリエンスを実現できます。 テナント間アクセス設定で、マルチテナント組織のテナントにフラグを提供します。
マルチテナント コラボレーション用の Microsoft 365 管理センター - マルチテナント組織を作成するための直感的な管理ポータル エクスペリエンスを提供します。 小規模なマルチテナント組織の場合はさらに、Microsoft Entra 管理センターを使用する代わりとして、ユーザーをマルチテナント組織のテナントに同期するためのシンプル エクスペリエンスを提供します。
以降のセクションで、これらの機能のそれぞれについて詳しく説明します。
クロステナント アクセス設定
Microsoft Entra テナント管理者が、常に自分のテナントスコープのリソースを管理することは、たとえ複数のテナントを含む組織内であっても、基本原則です。 そのため、テナント間の関係ごとにテナント間アクセス設定が必要であり、テナント管理者は、必要に応じてテナント間のアクセス関係を明示的に構成します。
次の図は、基本的なテナント間の受信と送信のアクセス設定機能を示しています。
詳細については、テナント間アクセスの概要を参照してください。
B2B 直接接続
複数のテナントにまたがるユーザーが Teams Connect 共有チャネルで共同作業できるようにするために、Microsoft Entra B2B 直接接続を使用できます。 B2B 直接接続は、Teams でのシームレスなコラボレーションのために他の Microsoft Entra テナントとの相互信頼関係を設定できるようにする、外部 ID の機能です。 信頼が確立されると、B2B 直接接続ユーザーは、ホーム テナントからの資格情報を使用してシングル サインオン アクセスできます。
複数のテナント間で B2B 直接接続を使用する上での主な制約を次に示します。
- 現時点では、B2B 直接接続は、Teams Connect 共有チャネルとのみ連携します。
詳細については、「B2B 直接接続の概要」をご覧ください。
B2B コラボレーション
ユーザーがテナント間で共同作業できるようにするために、Microsoft Entra B2B コラボレーションを使用できます。 B2B Collaboration は、自分の組織にゲスト ユーザーを招待してコラボレーションを行うことができるようにする、外部 ID 内の機能です。 招待を引き換えた、またはサインアップを完了した外部ユーザーは、テナントでユーザー オブジェクトとして表現されます。 B2B Collaboration を利用すると、テナントのデータに対するコントロールを維持したまま、テナントのアプリケーションとサービスを外部ユーザーと安全に共有できます。
複数のテナント間で B2B コラボレーションを使用する上での主な制約を次に示します。
- 管理者は、B2B 招待プロセスを使用してユーザーを招待するか、B2B コラボレーション招待マネージャーを使用してオンボード エクスペリエンスを構築する必要があります。
- 管理者がカスタム スクリプトを使用してユーザーを同期することが必要な場合があります。
- 自動引き換えの設定によっては、ユーザーは各テナントで同意プロンプトに同意し、引き換えプロセスに従うことが必要な場合があります。
詳細については、 B2B コラボレーションの概要 を参照してください。
テナント間同期
ユーザーがよりシームレスにテナント間でコラボレーションを行うことができるようにしたい場合は、Microsoft Entra ID のテナント間同期を使用できます。 テナント間同期は、Microsoft Entra ID 一方向同期サービスであり、組織のテナント間で B2B コラボレーション ユーザーの作成、更新、削除を自動化します。 テナント間同期は、B2B コラボレーション機能に基づいており、既存の B2B テナント間アクセス設定を利用します。 ユーザーは、ターゲット テナントで B2B コラボレーション ユーザー オブジェクトとして表されます。
テナント間同期を使用する主な利点を次に示します。
- 組織内で B2B コラボレーション ユーザーを自動的に作成し、必要なアプリケーションへのアクセスを付与します。カスタム スクリプトの作成や保守は不要です。
- ユーザー エクスペリエンスを向上させ、ユーザーが招待メールを受信したり、各テナントで同意プロンプトを受け入れることなく、リソースにアクセスできるようにする。
- ユーザーを自動的に更新し、組織を離れたユーザーを自動的に削除します。
複数のテナント間でのテナント間同期の使用に関する主な制約を次に示します。
- 同期されたユーザーは、他の B2B コラボレーション ユーザーと同じように、テナント間で Teams および Microsoft 365 を利用できます。
- グループ、デバイス、または連絡先は同期されません。
詳細については、「テナント間同期とは?」をご覧ください。
Microsoft 365 マルチテナントのユーザー検索
B2B Collaboration ユーザーは、よく知られている B2B Collaboration のゲスト ユーザー エクスペリエンスだけでなく、Microsoft 365 でコラボレーションを行うことができるようになりました。
マルチテナント組織のユーザー検索は、複数のテナント間でのユーザーの検索と検出を可能にするコラボレーション機能です。 B2B Collaboration ユーザーは、アドレス一覧に表示されていれば、Outlook で連絡先として使用できます。 アドレス一覧に表示されることに加え、さらにユーザーの種類が Member に昇格されると、B2B Collaboration のメンバー ユーザーは、ほとんどの Microsoft 365 アプリケーションで使用できます。
複数のテナント間で Microsoft 365 のユーザー検索を使用する主なベネフィットを次に示します。
- B2B Collaboration ユーザーを、Outlook でのコラボレーションに使用できます。 これを有効にするには、ホスト テナント内の Exchange Online メール ユーザーに対して true に設定した showInAddressList プロパティを使用するか、ソース テナントからテナント間同期を使用します。
- アドレス一覧に既に表示されている B2B Collaboration ユーザーは、Member に設定した userType プロパティ (ホスト テナントの Microsoft Entra 管理センターで管理します) を使用するか、ソース テナントからテナント間同期を使用すると、ほとんどの Microsoft 365 アプリケーションでコラボレーションに使用できます。
複数のテナント間で Microsoft 365 のユーザー検索を使用する場合の主な制約を次に示します。
- ほとんどの Microsoft 365 アプリケーションでのコラボレーションの場合、B2B Collaboration ユーザーをアドレス一覧に表示し、さらにユーザーの種類を Member に設定する必要があります。
- アドレス一覧のその他の制約については、マルチテナント組織でのグローバル アドレス一覧の制限を参照してください。
詳細については、Microsoft 365 マルチテナントのユーザー検索に関する記事を参照してください。
マルチテナント組織
マルチテナント組織は、Microsoft Entra ID と Microsoft 365 の機能であり、これを使用して、組織が所有する Microsoft Entra テナントの周囲に境界を定義できます。 ディレクトリ内では、組織を表すテナント グループの形式をとります。 グループ内にあるテナントの各ペアは、B2B Collaboration を構成するために使用できるテナント間アクセス設定によって管理されます。
マルチテナント組織の主な利点を次に示します。
- 組織内と組織外のユーザーを区別する
- 新しい Microsoft Teams でのコラボレーション エクスペリエンスの向上
- Viva Engage でのコラボレーション エクスペリエンスの向上
マルチテナント組織を使用する場合の主な制約を次に示します。
- マルチテナント組織に含まれるテナントに既に B2B Collaboration メンバー ユーザーが存在する場合、それらのユーザーは、マルチテナント組織の作成時に直ちにマルチテナント組織のメンバーになります。 そのため、マルチテナント組織のエクスペリエンスを含むアプリケーションでは、既存の B2B Collaboration メンバー ユーザーをマルチテナント組織のユーザーとして認識します。
- 向上した Microsoft Teams のコラボレーションは、B2B Collaboration メンバー ユーザーの相互プロビジョニングに依存します。
- 向上した Viva Engage のコラボレーションは、B2B Collaboration メンバーの一元的プロビジョニングに依存します。
- その他の制約については、「マルチテナント組織の制限事項」を参照してください。
詳細については、「Microsoft Entra ID でのマルチテナント組織とは」を参照してください。
マルチテナント コラボレーション用の Microsoft 365 管理センター
マルチテナント コラボレーション用の Microsoft 365 管理センターでは、マルチテナント組織を作成するための直感的な管理ポータル エクスペリエンスを提供します。
- Microsoft 365 管理センターでマルチテナント組織を作成する。
Microsoft では、マルチテナント組織の作成後に、従業員をマルチテナント組織の隣接するテナントに大規模にプロビジョニングするための方法を 2 つ用意しています。
- 複雑な ID トポロジを持つエンタープライズ組織の場合は、Microsoft Entra ID のテナント間同期を使用することをお勧めします。 テナント間同期は詳細に構成でき、これを使用すると、どのようなマルチハブ、マルチスポークの ID トポロジでもプロビジョニングできます。
- 従業員をすべてのテナントにプロビジョニングする小規模なマルチテナント組織の場合は、Microsoft 365 管理センターに留まって、マルチテナント組織の複数のテナントにユーザーを同時に同期することをお勧めします。
独自の大規模なユーザー プロビジョニング エンジンを既にお持ちの場合は、引き続きその独自のエンジンを使用して従業員のライフサイクルを管理しながら、新しいマルチテナント組織のベネフィットを享受できます。
Microsoft 365 管理センターを使用してマルチテナント組織を作成し、従業員をプロビジョニングする場合の主なベネフィットを次に示します。
- Microsoft 365 管理センターには、マルチテナント組織を作成するためのグラフィカル ユーザー エクスペリエンスが用意されています。
- Microsoft 365 管理センターでは、B2B Collaboration の招待の自動引き換え用にテナントを事前に構成します。
- Microsoft 365 管理センターでは、受信ユーザー同期用にテナントを事前に構成します。ただし、テナント間同期の使用はオプションのままです。
- Microsoft 365 管理センターを使用すると、マルチテナント組織の複数のテナントに従業員を簡単にプロビジョニングできます。
Microsoft 365 管理センターを使用してマルチテナント組織を作成する、または従業員をプロビジョニングする場合の、主な制約を次に示します。
- Microsoft Entra 管理センターでテナント間同期を使用しようとしている場合でも、Microsoft 365 管理センターでは、テナント間同期ジョブを事前に構成しますが、開始はしません。
- マルチハブ、マルチスポーク システムなどの複雑な ID トポロジは、Microsoft Entra 管理ポータルでテナント間同期を使用すると、より適切にプロビジョニングされます。
詳細については、Microsoft 365 マルチテナント コラボレーションに関する記事を参照してください。
マルチテナント機能の比較
組織のニーズに応じて、B2B 直接接続、B2B コラボレーション、テナント間同期、マルチテナント組織の機能を自由に組み合わせて使用できます。 B2B 直接接続と B2B コラボレーションが独立した機能である一方、テナント間同期とマルチテナント組織の機能は互いに独立していますが、どちらも基になる B2B コラボレーションに依存しています。
次の表では、それぞれの機能を比較しています。 さまざまな外部 ID シナリオの詳細については、「外部 ID 機能セットの比較」を参照してください。
| B2B 直接接続 (組織間の外部または内部) |
B2B コラボレーション (組織間の外部または内部) |
テナント間同期 (組織内部) |
マルチテナント組織 (組織内部) |
|
|---|---|---|---|---|
| 目的 | ユーザーは、外部テナントでホストされている Teams Connect 共有チャネルにアクセスできます。 | ユーザーは、外部テナントでホストされているアプリ/リソースに、通常は制限付きのゲスト権限でアクセスできます。 自動引き換えの設定によっては、ユーザーは各テナントで同意プロンプトに同意することが必要な場合があります。 | ユーザーは、異なるテナントでホストされている場合でも、同じ組織全体のアプリ/リソースにシームレスにアクセスできます。 | ユーザーは、新しい Teams と Viva Engage で、マルチテナント組織全体においてよりシームレスにコラボレーションを行うことができます。 |
| Value | Teams Connect 共有チャネル内でのみ外部コラボレーションを有効にします。 B2B ユーザーを管理する必要がないため、管理者にとってより便利です。 | 外部コラボレーションを可能にします。 B2B コラボレーション ユーザーを管理することで、管理者の制御と監視を強化します。 管理者は、これらの外部ユーザーが持つアクセスを、ユーザーのアプリ/リソースに制限できます。 | 組織のテナント間でのコラボレーションを有効にします。 管理者は、組織内のアプリやリソースへの継続的なアクセスを確保するために、テナント間でユーザーを手動で招待および同期する必要はありません。 | 組織のテナント間でのコラボレーションを有効にします。 管理者は、テナント間アクセス設定を使用して、引き続きすべての構成を行うことができます。 オプションのテナント間アクセス テンプレートを使用すると、テナント間アクセス設定を事前に構成できます。 |
| 主な管理者のワークフロー | テナント間アクセスを構成し、外部ユーザーが自分のホーム テナントの資格情報を使用してテナントに受信アクセスできるようにします。 | B2B 招待プロセスを使用して外部ユーザーをリソース テナントに追加するか、B2B コラボレーション招待マネージャーを使用して独自のオンボード エクスペリエンスを構築します。 | B2B コラボレーション ユーザーとして複数のテナント間でユーザーを同期するようにテナント間同期エンジンを構成します。 | マルチテナント組織を作成し、テナントを追加 (招待) し、マルチテナント組織に参加します。 既存の B2B Collaboration ユーザーを使用するか、テナント間同期を使用して B2B Collaboration ユーザーをプロビジョニングします。 |
| 信頼レベル | 中程度の信頼。 B2B 直接接続ユーザーの追跡はそれほど容易ではなく、外部組織との間で一定レベルの信頼が必要です。 | 低から中程度の信頼。 ユーザー オブジェクトを容易に追跡でき、詳細な制御を使用して管理できます。 | 高い信頼。 すべてのテナントは同じ組織の一部であり、ユーザーは通常、すべてのアプリ/リソースへのメンバー アクセスを許可されます。 | 高い信頼。 すべてのテナントは同じ組織の一部であり、ユーザーは通常、すべてのアプリ/リソースへのメンバー アクセスを許可されます。 |
| ユーザーに対する影響 | ユーザーは自分のホーム テナントの資格情報を使用してリソース テナントにアクセスします。 ユーザー オブジェクトはリソース テナントに作成されません。 | 外部ユーザーは B2B コラボレーション ユーザーとしてテナントに追加されます。 | 同じ組織内で、ユーザーは B2B コラボレーション ユーザーとして自分のホーム テナントからリソース テナントに同期されます。 | 同じマルチテナント組織内では、B2B コラボレーション ユーザー (特にメンバー ユーザー) は、Microsoft 365 全体で強化されたシームレスなコラボレーションの恩恵を受けることができます。 |
| ユーザーの種類 | B2B 直接接続ユーザー - 該当なし |
B2B コラボレーション ユーザー - 外部メンバー - 外部ゲスト (既定) |
B2B コラボレーション ユーザー - 外部メンバー (既定) - 外部ゲスト |
B2B コラボレーション ユーザー - 外部メンバー (既定) - 外部ゲスト |
次の図は、B2B 直接接続、B2B コラボレーション、テナント間同期の機能を組み合わせて使用する方法を示しています。
用語
マルチテナント組織シナリオに関連する Microsoft Entra 機能をより深く理解するには、次の用語リストを参照してください。
| 任期 | 定義 |
|---|---|
| テナント | Microsoft Entra ID のインスタンス。 |
| 組織 | ビジネス階層の最上位レベル。 |
| マルチテナント組織 | Microsoft Entra ID の複数のインスタンスに加えて、それらのインスタンスを Microsoft Entra ID でグループ化する機能を持つ組織。 |
| テナント間 | マルチテナント組織を作成したテナント。 |
| 所有者テナント | 所有者ロールを持つテナント。 最初は、作成者テナントです。 |
| 追加されたテナント | 所有者テナントによって追加されたテナント。 |
| 参加者テナント | マルチテナント組織に参加しているテナント。 |
| 参加要求 | 参加者テナントまたは追加されたテナントによって、マルチテナント組織に参加するための参加要求が送信されます。 |
| 保留中のテナント | 所有者によって追加されたが、まだ参加していないテナント。 |
| アクティブなテナント | マルチテナント組織を作成または参加したテナント。 |
| メンバー テナント | メンバー ロールを持つテナント。 ほとんどの参加者テナントはメンバーとして開始します。 |
| マルチテナント組織のテナント | マルチテナント組織のアクティブなテナント。保留中ではありません。 |
| テナント間同期 | 組織のテナント間で B2B コラボレーション ユーザーの作成、更新、削除を自動化する、Microsoft Entra ID の一方向同期サービス。 |
| テナント間アクセス設定 | 特定の Microsoft Entra 組織のコラボレーションを管理するための設定。 |
| テナント間アクセス設定テンプレート | マルチテナント組織に新しく参加するパートナー テナントに適用されるテナント間アクセス設定を事前構成するためのオプションのテンプレート。 |
| 組織の設定 | 特定の Microsoft Entra 組織のテナント間アクセス設定。 |
| configuration | テナント間同期に必要な設定 (ターゲット テナント、ユーザー スコープ、属性マッピングなど) を含む、Microsoft Entra ID のアプリケーションと基になるサービス プリンシパル。 |
| プロビジョニング | 境界を越えてオブジェクトを自動的に作成または同期するプロセス。 |
| 自動引き換え | 新しく作成されたユーザーが招待メールを受信せず、ターゲット テナントに追加されたときに同意プロンプトを受け入れる必要もないように、招待を自動的に引き換えるための B2B 設定。 |