次の方法で共有


Microsoft 顧客契約の課金アカウントでテナントを管理する

この記事は、Microsoft 顧客契約の課金アカウントに関連付けられているテナントを把握し、管理するうえで役に立ちます。 この情報を使用することで、課金環境へのアクセスをセキュリティで保護しながら、テナントの管理、サブスクリプションの譲渡、課金所有権の管理を行うことができます。

テナントとは

テナントは組織のデジタル表現であり、Microsoft.com のようなドメインに主に関連付けられています。 これは Microsoft Entra ID を介して管理される環境であり、Azure のリソースや課金を管理するためのアクセス許可をユーザーに割り当てることができます。

各テナントは、他のテナントと区別され分離されています。 次のいずれかの方法を使用して、他のテナントのユーザーに課金アカウントへのアクセスを許可できます。

  • テナントにゲスト ユーザーを作成し、適切な課金ロールを割り当てる。
  • 他のテナントを自分のテナントに関連付け、適切な課金ロールを割り当てる。

関連付けられたテナントとは

関連付けられたテナントは、プライマリ課金テナントの課金アカウントにリンクされているテナントです。 Microsoft 365 サブスクリプションをこれらのテナントに移動できます。 また、関連付けられた課金テナントのユーザーに課金アカウント ロールを割り当てることもできます。 関連付けられたテナントの詳細については、「関連付けられた課金テナントを使用して複数のテナント間で課金を管理する」を参照してください。

テナントおよびサブスクリプションと課金アカウントの関係

Microsoft 顧客契約 (課金アカウント) を使用して、コストの追跡と課金の管理を行います。 各課金アカウントには、少なくとも 1 つの課金プロファイルがあります。 課金プロファイルを使用すると、請求書と支払方法を管理できます。 既定では、課金プロファイルごとに 1 つの請求書セクションが含まれています。 必要に応じて、さらに多くの請求書セクションを作成し、より細かなレベルでコストをグループ化、追跡、管理することもできます。

  • 課金アカウントは 1 つのプライマリ テナントに関連付けられます。 プライマリ テナントの一部であるユーザー、または関連付けられたテナントの一部であるユーザーは、適切な課金ロールが割り当てられている場合に、課金アカウントにアクセスできます。
  • 課金アカウントの新しい Azure サブスクリプションを作成する場合、それは自分のテナントまたはアクセス権を持つ他のテナントのいずれかに作成されます。 サブスクリプションの作成時にテナントを選択できます。
  • ただし、サブスクリプションは他のテナントに移動できます。 また、既存のサブスクリプションを他のテナントから自分の課金アカウントにリンクすることもできます。 この柔軟性により、1 つのテナントを通じて課金を一元管理しながら、ニーズに基づいて他のテナントにリソースとサブスクリプションを維持することができます。

次の図は、課金アカウントとサブスクリプションがどのようにテナントにリンクされているかを示しています。 Contoso が MCA を通じて課金管理を効率化したいと仮定します。 Contoso MCA 課金アカウントはテナント 1 に含まれ、Contoso PAYG アカウントはテナント 2 に含まれています。 課金所有権の譲渡を使用して、MCA 課金アカウントにサブスクリプションをリンクすることができます。 サブスクリプションとそのリソースは引き続きテナント 2 に関連付けられていますが、支払は MCA 課金アカウントを使用して行われます。

課金階層の例を示す図。

1 つの Microsoft 顧客契約で複数のテナントのサブスクリプションを管理する

課金所有者は、課金アカウントに対する適切なアクセス許可がある場合にサブスクリプションを作成できます。 既定では、Microsoft 顧客契約の下で作成された新しいサブスクリプションは、現在のユーザーのテナントに含まれます。 ユーザーがサブスクリプションを作成するためのアクセス権を持つテナントの一覧から、異なるテナントを選択できます。

  • 他のテナントのサブスクリプションを Microsoft 顧客契約の課金アカウントにリンクできます。 サブスクリプションの課金所有権を取得しても、請求の処理が変更されるだけです。 サービス テナントや Azure RBAC ロールには影響しません。

課金所有権の譲渡

課金所有権の譲渡で変更されるのは、1 つのサブスクリプションに対する請求書の段取りだけです。 サブスクリプションのユーザーとリソースの管理は変更されません。

課金所有権の譲渡では、次の 2 つの処理が実行されます。

  • サブスクリプションの元の課金所有権が削除されます。
  • サブスクリプションの課金所有権が、ターゲットの課金アカウントに "リンク" されます。ターゲットの課金アカウントは、異なるテナントまたはディレクトリに存在していてもかまいません。

課金所有権の譲渡は、次の要素には影響しません。

  • ユーザー
  • リソース
  • Azure RBAC アクセス許可

Microsoft 顧客契約テナントに対するロールをユーザーに割り当てる

課金所有者アクセス権を持つユーザーが MCA に対するロールをユーザーに割り当てる方法は 3 つあります

Microsoft 顧客契約テナントにゲスト ユーザーを追加する

Microsoft 顧客契約の課金テナントに追加されたユーザーが別のテナントの課金の責任を管理するためには、ゲストとして招待される必要があります。

だれかをゲストとして招待するには、自分の Microsoft Entra ドメインとは異なるドメインを含む、既存のメール アドレスをそのユーザーが持っている必要があります。 Microsoft Entra ID は、認証用のリンクを含むメールをそのゲスト ユーザーに送信します。

招待メールの例を示すスクリーンショット。

ユーザーを Microsoft 顧客契約テナントに追加する際に、そのユーザーが招待を承諾する必要があります。

[招待の承諾] リンクを選択すると、Azure での認証を求めるメッセージが表示されます。

Azure での認証を求めるメッセージを示すスクリーンショット。

次に、 [承諾] を選択します。

招待の承諾を求めるメッセージを示すスクリーンショット。

ユーザーが承諾すると、[コストの管理と請求] で Microsoft 顧客契約の課金アカウントを表示できるようになります。

課金アカウントの一覧にある Microsoft 顧客契約を示すスクリーンショット。

ゲスト ユーザーを招待するための認可は、お使いの Microsoft Entra の設定によって制御されます。 設定の値は、 [組織の関係] ページの [設定] に表示されます。 設定が選択されていることを確認します。選択されていないと、招待は失敗します。 詳細については、「ゲスト ユーザーのアクセス許可を制限する」を参照してください。

外部コラボレーションの設定を示すスクリーンショット。

重要

ゲスト ユーザーは Microsoft 顧客契約テナントにアクセスできるため、セキュリティ上の問題が生じる可能性があります。 詳細については、ゲスト ユーザーの既定のアクセス許可を制限する方法に関する記事をご覧ください。

Microsoft Entra テナント下で複数の Microsoft クラウド サービスを管理する

1 つの Microsoft Entra テナント下で、自分の組織用に複数のクラウド サービスを管理することができます。 すべての Microsoft のクラウド オファリングのユーザー アカウントは、Microsoft Entra テナント内に保存されます。そこには、ユーザー アカウントとグループが含まれます。 次のダイアグラムは、複数のサービスで、アカウントを含む共通の Microsoft Entra テナントを使用している組織の例を示しています。 サービスごとに、ユーザーがサービスを管理するための独自のポータル (青字) があります。

アカウントが含まれる共通の Microsoft Entra テナントを使用する複数のサービスを持つ組織の例を示す図。

次の記事を読んで、課金所有権を柔軟に管理し、Microsoft 顧客契約への安全なアクセスを確保する方法を確認してください。