概要
テナント間同期 では、組織内のテナント間での Microsoft Entra B2B コラボレーション ユーザーとグループの作成、更新、削除が自動化されます。 これにより、ユーザーはアプリケーションにアクセスし、テナント間で共同作業を行いながら、組織を進化させることができます。
テナント間同期の主な目標は次のとおりです。
- マルチテナント組織のシームレスなコラボレーション
- マルチテナント組織における B2B コラボレーション ユーザーの自動ライフサイクル管理
- ユーザーが組織を離れたときの B2B アカウントの自動削除
テナント間同期を使用する理由
テナント間同期では、B2B コラボレーション ユーザーとグループの作成、更新、削除が自動化されます。 テナント間同期を使用して作成されたユーザーは、アプリが統合されているテナントに関係なく、Microsoft アプリケーション (Teams やSharePoint など) とMicrosoft以外のアプリケーション (ServiceNow、Adobe など) の両方にアクセスできます。
これらのユーザーは、Microsoft Entra 条件付きアクセス や クロステナント アクセス設定 など、Microsoft Entra ID のセキュリティ機能の恩恵を受け続けます。 これらは、Microsoft Entra エンタイトルメント管理などの機能によって管理できます。
次の図は、テナント間同期を使用して、ユーザーが組織内のテナント間でアプリケーションにアクセスできるようにする方法を示しています。
誰がテナント間同期を使用する必要があるか
複数のMicrosoft Entra テナントを所有し、組織内のテナント間アプリケーション アクセスを合理化する必要がある組織は、テナント間の同期の恩恵を受けることができます。
テナント間同期は組織間で使用できますが、これを行うと、追加のコンプライアンス責任が生じる可能性があります。 お客様は、欧州連合一般データ保護規則 (GDPR) を含む、該当するプライバシー、セキュリティ、規制の要件に従って使用することを保証する責任を負います。
Microsoftでは、テナント間の同期によるユーザーの同意の収集は容易ではありません。 お客様は、シナリオでユーザーの同意、データの最小化、またはその他のセーフガードが必要かどうかを評価する必要があります。 また、お客様は、組織全体の同期またはテナント間の同期を有効にする前に、法務チームまたはコンプライアンス チームに問い合わせてください。
メリット
テナント間同期を使用すると、次のことができます。
- 組織内で B2B コラボレーション ユーザーを自動的に作成し、カスタム スクリプトを作成して保守することなく、必要なアプリケーションにアクセスできるようにします。
- 招待メールを受け取らず、各テナントで同意プロンプトを受け入れなくても、ユーザーがリソースにアクセスできるようにすることで、ユーザー エクスペリエンスを向上させます。
- ユーザーが組織を離れたときに、そのユーザーを自動的に更新および削除する。
Teams と Microsoft 365
テナント間同期を使用して作成されたユーザーは、手動招待によって作成された B2B コラボレーション ユーザーと同じエクスペリエンスでMicrosoft Teamsやその他のMicrosoft 365 サービスにアクセスできます。 組織で共有チャネルを使用している場合は、Microsoft Entra ID でのプロビジョニングに関する既知の問題を参照してください。 さまざまなMicrosoft 365 サービスでは、member プロパティの userType 値を使用して、マルチテナント組織のユーザーに差別化されたエクスペリエンスを提供します。
プロパティ
テナント間同期を構成するときは、ソース テナントとターゲット テナントの間に信頼関係を定義します。 テナント間同期には、次の特性があります。
- これは、Microsoft Entra プロビジョニング エンジンに基づいています。
- これはソース テナントからのプッシュ プロセスであり、ターゲット テナントからのプル プロセスではありません。
- ソース テナントからの内部メンバーのプッシュのみがサポートされます。 ソース テナントからの外部ユーザーの同期はサポートされていない。
- 同期のスコープ内のユーザーは、ソース テナントで構成される。
- 属性マッピングは、ソース テナントで構成される。
- 拡張属性がサポートされている。
- ターゲット テナント管理者は、いつでも同期を停止できる。
次の表は、テナント間の同期の部分と、それらがどのテナントのために構成されているかを示しています。
| テナント | クロステナント アクセスの設定 |
自動引き換え | 同期設定 構成 |
スコープ内のユーザー |
|---|---|---|---|---|
ソース テナント |
✔️ | ✔️ | ✔️ | |
ターゲット テナント |
✔️ | ✔️ |
テナント間同期の設定
クロステナント同期設定は、ソース テナントの管理者がユーザーとグループをターゲット テナントに同期できるようにするための受信専用の組織設定です。 これらの設定は、この テナントへのユーザー同期を許可 し、ターゲット テナントで指定されている このテナントへのグループ同期を許可 するという名前のチェック ボックスです。 これらの設定は、手動の招待やMicrosoft Entraの特権管理など、他のプロセスを通じて作成されたB2B招待状には影響しません。
Microsoft Graphを使用してこれらの設定を構成するには、Update crossTenantIdentitySyncPolicyPartner API を参照してください。 詳しくは、「テナント間同期を構成する」をご覧ください。
自動引き換えの設定
自動引き換え設定は、招待を自動的に引き換える受信および送信の組織の信頼設定です。 この設定では、ユーザーがリソースまたはターゲット テナントに初めてアクセスする際に同意プロンプトを受け入れる必要はありません。 この設定は、[テナントで招待を自動的に引き換える]テナント名という名前のチェックボックスです。
この設定はさまざまなシナリオでどのように機能しますか?
自動引き換え設定は、次の状況でテナント間同期、B2B コラボレーション、B2B 直接接続に適用されます。
- クロステナント同期を使用してターゲット テナントにユーザーを作成する場合。
- ユーザーが B2B コラボレーションを通じてリソース テナントに追加されたとき。
- ユーザーが B2B 直接接続を使用してリソース テナント内のリソースにアクセスする場合。
次の表は、これらのシナリオでこの設定を有効にしたときの動作を示しています。
| Item | テナント間同期 | B2B コラボレーション | B2B 直接接続 |
|---|---|---|---|
| 自動引き換えの設定 | 必須 | オプション | オプション |
| ユーザーが B2B コラボレーションの招待メールを受け取る | いいえ | いいえ | 適用なし |
| ユーザーは同意プロンプトに同意する必要がある | いいえ | いいえ | いいえ |
| ユーザーが B2B コラボレーションの通知メールを受け取る | いいえ | あり | 適用なし |
この設定は、アプリケーションの同意エクスペリエンスには影響しません。 詳細については、「Microsoft Entra ID でのアプリケーションの同意エクスペリエンス」を参照してください。
この設定は、Azure 商用や Azure Government など、さまざまな Microsoft クラウド環境の組織でサポートされています。 詳しくは、「テナント間同期を構成する」をご覧ください。
同意プロンプトが抑制されるのはいつですか?
自動引き換え設定では、ホーム/ソース テナント (送信) とリソース/ターゲット テナント (受信) の両方に対してこの設定を選択した場合にのみ、同意プロンプトと招待メールが抑制されます。
次の表は、テナント間アクセス設定のさまざまな組み合わせに対して自動引き換え設定が選択されている場合の、ソース テナント ユーザーに対する同意プロンプトの動作を示しています。
| ホーム/ソース テナント | リソース/ターゲット テナント | ソース テナント ユーザーに対する 同意プロンプトの動作 |
|---|---|---|
| アウトバウンド | インバウンド | |
|
|
抑制される |
|
|
|
抑制されない |
|
|
|
抑制されない |
|
|
|
抑制されない |
| インバウンド | アウトバウンド | |
|
|
|
抑制されない |
|
|
|
抑制されない |
|
|
|
抑制されない |
|
|
|
抑制されない |
Microsoft Graphを使用してこの設定を構成するには、Update crossTenantAccessPolicyConfigurationPartner API を参照してください。 詳しくは、「テナント間同期を構成する」をご覧ください。
ユーザーが自分が属しているテナントを知る方法
テナント間同期の場合、ユーザーはメールを受け取らないか、同意プロンプトを受け入れる必要があります。 ユーザーが自分が属しているテナントを確認するには、自分の [マイ アカウント] ページを開き、[組織] を選択できます。 Microsoft Entra 管理センターでは、ユーザーは portal 設定を開き、Directories + subscriptions を表示し、ディレクトリを切り替えることができます。
プライバシー情報など、詳細については、「外部ユーザーとして組織を脱退する」を参照してください。
作業を開始するための手順
テナント間同期の使用を開始する基本的な手順を次に示します。
手順 1: 組織内のテナントを構成する方法を定義する
テナント間同期により、コラボレーションを可能にする柔軟なソリューションが提供されますが、組織はそれぞれ異なります。 たとえば、中央テナント、サテライト テナント、またはテナントのメッシュがあるとします。 テナント間同期では、これらのトポロジのいずれもサポートされています。 詳しくは、「テナント間同期のトポロジ」をご覧ください。
手順 2: ターゲット テナントでテナント間同期を有効にする
ユーザーが作成されるターゲット テナントで、[ クロステナント アクセス設定 ] ウィンドウに移動します。 ここでは、それぞれのチェック ボックスをオンにして、テナント間同期と B2B の自動引き換え設定を有効にします。 詳しくは、「テナント間同期を構成する」をご覧ください。
手順 3: ソース テナントでテナント間同期を有効にする
任意のソース テナントで、[ クロステナント アクセス設定 ] ウィンドウに移動し、B2B 自動引き換え機能を有効にします。 次に、[ テナント間同期 ] ウィンドウを使用してテナント間同期ジョブを設定し、次のように指定します。
- 同期したいユーザーはどれですか?
- 含めたい属性はどれですか。
- あらゆる変換。
Microsoft Entra IDを使用して サービスとしてのソフトウェア (SaaS) アプリケーションに ID をプロビジョニングユーザーにとって、このエクスペリエンスはおなじみです。 同期を構成したら、少数のユーザーでテストを開始し、必要なすべての属性で作成されていることを確認できます。 テストが完了したら、組織全体で同期とロールアウトを行うユーザーをすばやく追加できます。 詳しくは、「テナント間同期を構成する」をご覧ください。
ライセンスの要件
次の表に、シナリオに応じて必要なライセンスを示します。
| シナリオ | ソース テナント | ターゲット テナント |
|---|---|---|
| ユーザーのテナント間同期 (同じクラウド) | Microsoft Entra ID P1 ライセンス | 適用なし |
| グループのテナント間同期 (同じクラウド) | Microsoft Entra ID ガバナンスまたは Microsoft Entra スイート ライセンス | 適用なし |
| クラウド間同期 | Microsoft Entra ID ガバナンスまたは Microsoft Entra スイート ライセンス | 適用なし |
Source テナント: テナント間同期と同期する各ユーザーは、ホーム/ソース テナントに Microsoft Entra ID P1 ライセンスを持っている必要があります。 クラウド間同期と同期する各ユーザーは、ホーム/ソース テナントにMicrosoft Entra ID ガバナンスまたはMicrosoft Entra スイートライセンスを持っている必要があります。 詳細については、Microsoft Entra のプランと価格、および Microsoft Entra ID ガバナンス のライセンスの基礎を参照してください。
ターゲット テナント: ターゲット テナントでのテナント間同期またはクラウド間同期にはライセンスは必要ありません。 ただし、ターゲット テナントで使用している機能によっては、追加のライセンスが必要になる場合があります。 たとえば、外部 ID の課金を有効にし、外部ゲストをプロビジョニングしている顧客は、 Microsoft Entra 外部 ID の課金モデルに従って課金される場合があります。
よく寄せられる質問
クラウド
同じクラウド内で、テナント間同期はどこで使用できますか?
テナント間同期は、商用クラウドおよび Azure Government. 内でサポートされています。
テナント間同期は、21Vianet によって運営される Microsoft Azure クラウド内ではサポートされていません。
| 情報源 | 目標 | Azure portal のリンク ドメイン |
|---|---|---|
| Azure 商用 | Azure 商用 |
portal.azure.com -->portal.azure.com |
| Azure Government | Azure Government |
portal.azure.us -->portal.azure.us |
| 21Vianet (中国) | 21Vianet (中国) |
portal.azure.cn -->portal.azure.cn |
クラウド間同期はサポートされていますか?
はい。クロス クラウド同期 (パブリック クラウドから Azure Government など) がサポートされます。
Azure クラウド環境とMicrosoft 365 (GCC、GCC High) の関係については、Microsoft 365 統合を参照してください。
クラウド間同期でサポートされているクラウド ペアは何ですか?
クラウド間同期では、次のクラウド ペアがサポートされます。
| 情報源 | 目標 | Azure portal のリンク ドメイン |
|---|---|---|
| Azure 商用 | Azure Government |
portal.azure.com -->portal.azure.us |
| Azure Government | Azure 商用 |
portal.azure.us -->portal.azure.com |
| Azure 商用 | 21Vianet によって運営される Azure (中国の Azure) |
portal.azure.com -->portal.azure.cn |
テナント間同期とクラウド間同期の違いは何ですか?
テナント間同期とクラウド間同期は、同じテクノロジを使用して構築され、基本的には同じです。 主な違いは、同期が同じクラウド内ではなくクラウド間で行われることです。
クラウド間同期には制限がありますか?
manager属性の同期は、現在、クラウド間同期ではサポートされていません。
マルチテナント組織の制限については、 マルチテナント組織に関する FAQ を参照してください。
外部メンバーに対する Microsoft 365 の制限事項については、 他の Microsoft 365 クラウド環境のゲストとの共同作業に関するページを参照してください。
既存の B2B ユーザー
テナント間同期では、既存の B2B ユーザーを管理できますか?
はい。 テナント間同期では、 alternativeSecurityIdentifier と呼ばれる内部属性を使用して、ソース テナント内の内部ユーザーとターゲット テナント内の外部ユーザーまたは B2B ユーザーを一意に照合します。 テナント間同期では、既存の B2B ユーザーを更新して、各ユーザーがアカウントを 1 つだけ持っていることを確認できます。
テナント間同期は、ソース テナント内の内部ユーザーとターゲット テナント内の内部ユーザー ( member 型と型 guestの両方) と一致させることはありません。
同期の間隔
テナント間同期はどのくらいの頻度で実行されますか?
同期間隔は現在、40 分間隔で開始するように固定されています。 同期期間は、スコープ内ユーザーの数によって異なります。 初期同期サイクルは、後の増分同期サイクルよりも大幅に時間がかかる可能性があります。
Scope
ターゲット テナントに同期される内容を制御するにはどうすればよいですか?
ソース テナントでは、構成ベースまたは属性ベースのフィルターを使用して、プロビジョニングするユーザーを制御できます。 また、同期するユーザー オブジェクトの属性を制御することもできます。 詳細については、「スコープ フィルターを使用してプロビジョニングするユーザーまたはグループのスコープを設定する」を参照してください。
ユーザーがソース テナントの同期のスコープから削除された場合、テナント間同期はターゲット テナント内でそれらを論理的に削除しますか?
はい。
オブジェクトの型
同期できるオブジェクトの種類は何ですか?
テナント間Microsoft Entraユーザーとセキュリティ グループを同期できます。 デバイスと連絡先は現在サポートされていません。
同期できるユーザーの種類
ソース テナントから内部メンバーを同期できます。 ソース テナントから内部ゲストを同期することはできません。
外部メンバー (既定) または外部ゲストとして、ユーザーをターゲット テナントに同期できます。
userType定義の詳細については、「B2B ゲスト ユーザーのプロパティの理解と管理」を参照してください。
既存の B2B コラボレーション ユーザーがいます。 彼らはどうなるでしょうか?
テナント間同期はユーザーと一致し、表示名の更新など、ユーザーに必要な更新を行います。 既定では、 userType は guest から member に更新されません。 このプロパティは、属性マッピングで構成できます。
属性
同期することができるユーザー属性は何ですか?
テナント間同期では、Microsoft Entra IDのユーザー オブジェクトで一般的に使用される属性 (displayName、userPrincipalName、ディレクトリ拡張属性など) を同期できます。
テナント間同期では、Azure 商用クラウドでの manager 属性のプロビジョニングがサポートされます。 マネージャーの同期は、現在、米国政府機関向けクラウドではサポートされていません。
manager属性をプロビジョニングするには、ユーザーとそのマネージャーの両方がテナント間同期のスコープ内にある必要があります。
既定のスキーマ/属性マッピングを使用して 2024 年 1 月より後に作成されたテナント間同期構成の場合:
-
manager属性は、属性マッピングに自動的に追加されます。 - マネージャーの更新プログラムは、変更を受けているユーザー (マネージャーの変更など) の増分サイクルに適用されます。 同期エンジンは、以前にプロビジョニングされたすべての既存のユーザーを自動的に更新するわけではありません。
- プロビジョニングの対象になっている既存のユーザーのマネージャーを更新するには、特定のユーザーに対してオンデマンド プロビジョニングを使用するか、再起動してすべてのユーザーに対してマネージャーをプロビジョニングします。
カスタム スキーマ/属性マッピングを使用して 2024 年 1 月より前に作成されたテナント間同期構成の場合 (たとえば、マッピングに属性を追加したり、既定のマッピングを変更したりしました)。
- 属性マッピングに
manager属性を追加する必要があります。 このアクションにより再起動がトリガーされ、プロビジョニングのスコープ内にあるすべてのユーザーが更新されます。 このプロセスは、ソース テナントのmanager属性とターゲット テナントのmanager属性の直接マッピングである必要があります。
ソース テナントでユーザーのマネージャーが削除され、ソース テナントに新しいマネージャーが割り当てられていない場合、 manager 属性はターゲット テナントで更新されません。
同期できない属性は何ですか?
クロステナント同期を使用して、写真、カスタム セキュリティ属性、ディレクトリの外部のユーザー属性などの属性を同期することはできません。
ユーザー属性をソースまたは管理する場所を制御できますか?
テナント間同期では、権限のソースを直接制御することはできません。 ユーザーとその属性は、ソース テナントで権限があると見なされます。
ユーザーの権限ソース制御を属性レベルに進化させる、並列の権限ソース ワークストリームがあります。 ソースのユーザー オブジェクトには、最終的に複数の基になるソースが反映される場合があります。 テナント間プロセスの場合、この状況はソース テナントの値として引き続き、ターゲット テナントへの同期プロセスに対して信頼できるものとして扱われます (一部が別の場所で発生した場合でも)。 現在、同期プロセスの権限ソースを元に戻すことはサポートされていません。
テナント間同期では、オブジェクト レベルでのみ権限のソースがサポートされます。 ユーザーのすべての属性は、資格情報を含め、同じソースから取得する必要があります。 同期されたオブジェクトの権限ソースまたはフェデレーションの方向を逆にすることはできません。
ターゲット テナントで同期されたユーザーの属性を変更するとどうなりますか?
テナント間同期では、ターゲットの変更に対してクエリは実行されません。 ソース テナント内の同期されたユーザーに変更を加えない場合、ターゲット テナントで行ったユーザー属性の変更は保持されます。 ソース テナント内のユーザーに変更を加えた場合、次の同期サイクル中に、ターゲット テナント内のユーザーがソース テナントのユーザーと一致するように更新されます。
ターゲット テナントは、同期された特定のホーム/ソース テナント ユーザーのサインインを手動でブロックできますか?
ソース テナント内の同期されたユーザーに変更を加えない場合、ターゲット テナントでのサインインをブロックする設定は保持されます。 ソース テナント内のユーザーに対して変更が検出された場合、クロステナント同期では、ターゲット テナントでのサインインがブロックされているユーザーが再び有効になります。
グループ同期
Important
グループ同期は現在プレビュー段階です。 この情報は、リリース前に大幅に変更される可能性があるプレリリース製品に関連しています。 Microsoft は、ここに記載されている情報に関して、明示または黙示を問わず、一切の保証を行いません。
グループの同期はサポートされていますか?
はい。テナント間同期では、ターゲット テナントにセキュリティ グループを作成できます。 この機能は現在プレビューの段階です。
グループが同期されると、同期のスコープ内にあるグループのすべてのメンバーが同期されます。 詳しくは、「テナント間同期を構成する」をご覧ください。
ターゲット テナントにグループが既に存在する場合はどうなりますか。
(テナント間同期の外部で作成された) ターゲット テナントにグループが存在する場合、テナント間同期では更新されません。
サポートされているグループの種類は何ですか?
| サポート | 情報源 | 目標 |
|---|---|---|
| サポートされている | セキュリティ グループ (静的および動的) Microsoft 365 グループ |
セキュリティ グループ (静的) |
| サポートしていません | その他のグループの種類は次のとおりです。次に例を示します。 - メールが有効なセキュリティ グループ - 共有メールボックス - 動的配布グループ - 配布グループ |
その他のグループの種類は次のとおりです。次に例を示します。 - Microsoft 365 グループ - メールが有効なセキュリティ グループ - 共有メールボックス - 動的配布グループ - 配布グループ |
グループの同期にはどのような制限がありますか?
現在、ロールの割り当て可能なグループの作成はサポートされていません。
ネストされたグループはサポートされていません。
テナント間同期では、Microsoft 365 グループ、配布グループ、メールが有効なセキュリティ グループ、配布リストは作成されません。
同期スコープは、 割り当てられたユーザーとグループのみを同期するように設定する必要があります。 グループ同期が有効になっている場合、[ すべてのユーザーの同期 ] オプションはサポートされていません。
中国でのAzure商用、Azure Government、Azureなどのクラウド環境間でのグループの同期はサポートされていません。
ターゲット テナント内のグループに対する変更は、自動的にはオーバーライドされません。 これらは、ソース テナント内のグループに変更がある場合にのみオーバーライドされます。
たとえば、グループがテナント A からテナント B に同期され、管理者がテナント B のグループに変更を加えた場合、その変更はテナント B に保持されます。同期エンジンは、ターゲット テナント内のグループに加えられた変更を検出しないため、変更をオーバーライドしません。
クロステナント同期の外部でグループが作成された場合、グループはテナント間同期には含まれません。
構造体
複数のテナント間でメッシュを同期できますか?
テナント間同期は、単一方向のピアツーピア同期として構成されます。つまり、同期は、1 つのソースと 1 つのターゲット テナントの間で構成されます。 1 つのソースから複数のターゲット、および複数のソースから 1 つのターゲットに同期するように、テナント間同期の複数のインスタンスを構成できます。 ただし、ソースとターゲットの間に存在できる同期インスタンスは 1 つだけです。
テナント間同期では、ホーム/ソース テナントの内部にいるユーザーのみが同期されます。 この制限により、ユーザーが同じテナントに書き戻されるループを作成できなくなります。
複数のトポロジがサポートされています。 詳しくは、「テナント間同期のトポロジ」をご覧ください。
組織間 (マルチテナント組織の外部) でテナント間同期を使用できますか?
プライバシー上の理由から、テナント間同期は組織内で使用することを目的としています。 組織間で B2B コラボレーション ユーザーを招待するために エンタイトルメント管理 を使用することを検討してください。
テナント間同期を使用して、あるテナントから別のテナントにユーザーを移行できますか?
その必要はありません。 同期されたユーザーの認証にはソース テナントが必要であるため、テナント間同期は移行ツールではありません。 さらに、テナントの移行では、SharePointやOneDrive データなどのユーザー データを移行する必要があります。
B2B コラボレーション
テナント間同期では、B2B コラボレーションの現在の制限は解決されますか?
テナント間同期は既存の B2B コラボレーション テクノロジに基づいて構築されているため、既存の制限が適用されます。 例を次に示します (ただし、これらに限定されません)。
| アプリまたはサービス | 制限事項 |
|---|---|
| Power BI | Power BIでの UserTypeMember の値のサポートは現在プレビュー段階です。 詳細については、「Microsoft Entra B2B で外部ゲスト ユーザーに Power BI コンテンツを配布する」を参照してください。 |
| Azure Virtual Desktop | 制限事項については、Azure Virtual Desktop の前提条件を参照してください。 |
| Microsoft Teams | 制限事項については、「他のMicrosoft 365クラウド環境からのゲストとの連携を参照してください。 |
B2B 直接接続
テナント間同期は B2B 直接接続にどのように関連しますか?
B2B 直接接続 は、 Teams Connect 共有チャネルに必要な基になる ID テクノロジです。
B2B 直接接続とテナント間同期は、共存するように設計されています。 テナント間のシナリオを幅広くカバーするために、両方を有効にすることができます。
Microsoft アプリケーションと Microsoft 以外のアプリケーションの両方を含む、他のすべてのテナント間アプリケーション アクセス シナリオでは、B2B コラボレーションをお勧めします。
マルチテナント組織でテナント間同期を使用する必要がある範囲を特定しようとしています。 Teams Connect を超えて B2B 直接接続のサポートを拡張する予定はありますか?
B2B 直接接続のサポートを、Teams Connect 共有チャネルを超えて拡張する予定はありません。
Microsoft 365
テナント間同期は、アプリアクセスのためのテナント間Microsoft 365ユーザー エクスペリエンスを強化しますか?
テナント間同期では、各テナントでの初めての B2B 同意プロンプトと引き換えプロセスを抑制することで、ユーザー エクスペリエンスを向上させる機能が使用されます。
同期されたユーザーには、他の B2B コラボレーション ユーザーが使用できる同じテナント間Microsoft 365 エクスペリエンスがあります。
テナント間同期を使用すると、Microsoft 365でユーザー検索シナリオを有効にできますか?
はい。テナント間同期では、Microsoft 365 でユーザーの検索を有効にすることができます。
showInAddressList属性がターゲット テナントのユーザーに対してTrueに設定されていることを確認します。
showInAddressList属性は、テナント間同期のTrueで既定でに設定されます。
テナント間同期では、B2B コラボレーション ユーザーが作成され、連絡先は作成されません。
チーム
テナント間同期によって、現在の Teams エクスペリエンスが強化されますか?
同期されたユーザーには、他の B2B コラボレーション ユーザーが使用できるのと同じテナント間Microsoft 365 エクスペリエンスがあります。
統合
ターゲット テナント内のユーザーがソース テナントに戻るためにサポートされているフェデレーション オプションは何ですか?
テナント間同期によって、ソース テナント内の内部ユーザーごとにフェデレーション外部ユーザー (B2B でよく使用される) がターゲットに作成されます。
テナント間同期では、内部ユーザーの同期がサポートされます。 このサポートには、ドメイン フェデレーション (
テナント間同期では SCIM が使用されますか?
その必要はありません。 現在、Microsoft Entra IDは、SCIM サーバーではなく、クロスドメイン ID 管理 (SCIM) クライアントのシステムをサポートしています。 詳細については、「Microsoft Entra ID との SCIM 同期」を参照してください。
Deprovisioning
テナント間同期では、ユーザーのプロビジョニング解除はサポートされていますか?
はい。 ソース テナントで次のアクションが発生すると、ユーザーはターゲット テナントで 論理的に削除されます 。
- ソース テナント内のユーザーを削除します。
- テナント間同期構成からユーザーの割り当てを解除します。
- テナント間同期構成に割り当てられているグループからユーザーを削除します。
- テナント間同期構成で定義されているスコープ フィルター条件を満たさないように、ユーザーの属性が変更されます。
ユーザーがソース テナント (accountEnabled = false) でのサインインをブロックされている場合、ユーザーはターゲットへのサインインをブロックされます。 このアクションは削除ではなく、 accountEnabled プロパティの更新です。
このシナリオでは、ユーザーはターゲット テナントから論理的に削除されません。
- ユーザーをグループに追加し、ソース テナントのテナント間同期構成に割り当てます。
- ユーザーをオンデマンドでプロビジョニングするか、増分サイクルを通じてプロビジョニングします。
- ユーザーの
accountEnabledの状態をソース テナントでfalseに更新します。 - ユーザーをオンデマンドでプロビジョニングするか、増分サイクルを通じてプロビジョニングします。
accountEnabledの状態は、ターゲット テナントのfalseに変わります。 - ソース テナントのグループからユーザーを削除します。
テナント間同期はユーザーの復元をサポートしていますか?
はい。 ソース テナント内のユーザーが復元され、アプリに再割り当てされ、論理的な削除から 30 日以内に再度スコープ条件を満たしている場合、ユーザーはターゲット テナントに復元されます。
IT 管理者は、ターゲット テナントでユーザーを手動で直接 復元 することもできます。
現在テナント間同期のスコープ内にあるすべてのユーザーをプロビジョニング解除するにはどうすればよいですか?
テナント間同期構成からすべてのユーザーとグループの割り当てを解除します。 このアクションにより、割り当てられていないすべてのユーザーが、直接またはグループ メンバーシップを通じて、後続の同期サイクルでプロビジョニング解除されます。 ターゲット テナントは、プロビジョニング解除が完了するまで同期の受信ポリシーを有効にしておく必要があります。
スコープが [ すべてのユーザーの同期] に設定されている場合は、割 り当てられたユーザーとグループのみを同期するように変更する必要があります。 テナント間同期では、ユーザーが自動的に論理的に削除されます。 ユーザーは 30 日後に自動的にハード削除されるか、ターゲット テナントから直接ユーザーをハード削除することを選択できます。
同期関係が切断された場合、以前にテナント間同期によって管理されていた外部ユーザーはターゲット テナントで削除されますか?
その必要はありません。 関係が切断された場合 (たとえば、テナント間同期ポリシーが削除された場合)、テナント間同期によって以前に管理されていた外部ユーザーは変更されません。