マルチテナント組織は、Microsoft Entra ID と Microsoft 365 の機能で、これを使用すると、組織が所有する Microsoft Entra テナントの境界を定義できます。 ディレクトリ内では、組織を表すテナント グループという形になります。 グループ内にあるテナントの各ペアは、B2B Collaboration を構成するために使用できるテナント間アクセス設定によって管理されます。
マルチテナント組織を使用する理由
マルチテナント組織の主な目的を次に示します。
- 組織に属するテナントの境界を定義する
- 新しい Microsoft Teams でテナント間のコラボレーションを行う
- Microsoft Viva Engage でテナント間のコラボレーションを行う
対象ユーザーについて
複数の Microsoft Entra テナントを所有し、Microsoft 365 における組織内のテナント間のコラボレーションを効率化する必要がある組織。
Microsoft Teams のマルチテナント組織の機能は、マルチテナント組織のテナント間で B2B Collaboration メンバー ユーザーが相互プロビジョニングされていることを前提として構築されています。
Viva Engage のマルチテナント組織の機能は、B2B Collaboration メンバー ユーザーがハブ テナントに一元的にプロビジョニングされていることを前提として構築されています。
このため、マルチテナント組織機能は、テナント間同期を使用するなど、B2B Collaboration ユーザー用の一括プロビジョニング エンジンの使用によって最も的確にデプロイできます。
メリット
マルチテナント組織の主な利点を次に示しています。
組織内と組織外のユーザーを区別する
Microsoft Entra ID では、マルチテナント組織内の外部ユーザーと、マルチテナント組織外の外部ユーザーを区別できます。 この区別により、組織内および組織外の外部ユーザーに対して異なるポリシーの適用が容易になります。
Microsoft Teams でのコラボレーション エクスペリエンスの向上
新しい Microsoft Teams では、マルチテナント組織のユーザーは、マルチテナント組織全体で接続されているすべてのテナントからのチャット、通話、会議開始の通知により、テナント間のコラボレーション エクスペリエンスの向上が期待できます。 よりシームレスかつ迅速なテナント切り替えが可能になります。 詳細については次を参照してください:
Viva Engage でのコラボレーション エクスペリエンスの向上
マルチテナント組織向けの Viva Engage を使用すると、複雑に分散している組織どうしが統合ネットワークとしてコミュニケーションをとることができます。 マルチテナント組織のコミュニティ、キャンペーン、イベントから分析にいたるまで、Viva Engage を使用すると、従業員とリーダーが自分たちのマルチテナント組織全体の参加の結合、共有、測定を行うための新たな方法が実現します。 詳細については次を参照してください:
マルチテナント組織のメンバー ユーザーとは
マルチテナント組織を定義する際に、外部ユーザー (B2B Collaboration ユーザー) は userType プロパティに基づいて次の方法でセグメント化されます。
- マルチテナント組織内の (別テナントに所属する) 外部メンバー
- マルチテナント組織内の (別テナントに所属する) 外部ゲスト
- 組織外の (別テナントに所属する) 外部メンバー
- 組織外の (別テナントに所属する) 外部ゲスト
こうして外部ユーザーをセグメント化すると、マルチテナント組織の組織内と組織外の外部ユーザーをより適切に区別できます。
マルチテナント組織内の外部メンバーは、マルチテナント組織メンバー ユーザーと呼ばれる場合があります。
Microsoft 365 のマルチテナント コラボレーション機能を利用すると、マルチテナント組織のメンバー ユーザーとのコラボレーションを行う際に、テナント境界を越えてシームレスなコラボレーション エクスペリエンスが得られます。
マルチテナント組織のしくみ
マルチテナント組織の機能を使用すると、テナント管理者間の招待/承認フローを通じて、組織が所有する Microsoft Entra テナントの境界を定義できます。 次のリストは、マルチテナント組織の基本的なライフサイクルを説明しています。
マルチテナント組織の定義
1 人のテナント管理者が、マルチテナント組織を複数テナントのグループとして定義します。 このテナントのグループは、リストされている各テナントがマルチテナント組織への参加手続きを行うまでは相互に作用しません。 目的は、リストされているすべてのテナント間で相互合意を形成することです。
マルチテナント組織への参加
招待対象としてリストされているテナントのテナント管理者は、マルチテナント組織に参加するためのアクションを実行します。 参加後は、マルチテナント組織に参加したすべてのテナント間で、マルチテナント組織間の関係が相互に確立されます。
マルチテナント組織からの離脱
リストされているテナントのテナント管理者は、いつでもマルチテナント組織から離脱できます。 マルチテナント組織を定義したテナント管理者は、リストされているテナントを追加および削除できますが、他のテナントを制御することはできません。
マルチテナント組織は、対等な立場のメンバーによるコラボレーションとして構築されます。 各テナント管理者は、自身が所属するテナントとマルチテナント組織におけるメンバーシップを管理します。
マルチテナント組織の例
次の図は、マルチテナント組織を形成する 3 つのテナント A、B、C を示しています。
| Tenant | 説明 |
|---|---|
| A | 管理者は、A、B、C で構成されるマルチテナント組織を表示できます。 また、B と C のテナント間アクセス設定も表示できます。 |
| B | 管理者は、A、B、C で構成されるマルチテナント組織を表示できます。 また、A と C のテナント間アクセス設定も表示できます。 |
| C | 管理者は、A、B、C で構成されるマルチテナント組織を表示できます。 また、A と B のテナント間アクセス設定も表示できます。 |
テナントのロールと状態
マルチテナント組織の管理を容易にするために、どのマルチテナント組織のテナントにもロールと状態が関連付けられています。
| テナントのロール | 説明 |
|---|---|
| 担当者 | 1 つのテナントがマルチテナント組織を作成します。 マルチテナント組織を作成したテナントには所有者のロールが付与されます。 所有者テナントの権限は、テナントを保留中状態に追加したり、マルチテナント組織からテナントを削除したりすることです。 また、所有者テナントは、マルチテナント組織の他のテナントのロールを変更できます。 |
| メンバー | 保留中のテナントをマルチテナント組織に追加した後、保留中のテナントの状態を "保留中" から "アクティブ" に変更するには、マルチテナント組織に参加する必要があります。 参加したテナントは、通常、メンバー ロールで開始されます。 メンバー テナントには、マルチテナント組織から離脱する権限があります。 |
| テナントの状態 | 説明 |
|---|---|
| 保留中 | 保留中のテナントは、まだマルチテナント組織に参加していません。 保留中のテナントは、マルチテナント組織の管理者のビューには表示されますが、まだマルチテナント組織の一部ではないため、マルチテナント組織のエンド ユーザーのビューには表示されません。 |
| アクティブです | 保留中のテナントをマルチテナント組織に追加した後、保留中のテナントの状態を "保留中" から "アクティブ" に変更するには、マルチテナント組織に参加する必要があります。 参加したテナントは、通常、メンバー ロールで開始されます。 メンバー テナントには、マルチテナント組織から離脱する権限があります。 |
クロステナント アクセス設定
管理者がリソースを適切に管理できることは、マルチテナント組織におけるコラボレーションの基本原則です。 テナント間アクセス設定は、テナント間の関係ごとに必要です。 テナント管理者は、必要に応じて、以下のポリシーを明示的に構成します。
テナント間アクセス パートナーの構成
詳細については、「B2B コラボレーションのためにテナント間アクセス設定を構成する」および「crossTenantAccessPolicyConfigurationPartner リソース型」を参照してください。
テナント間アクセスの ID 同期
詳細については、「テナント間同期を構成する」および「crossTenantIdentitySyncPolicyPartner リソース型」を参照してください。
テナント間アクセス設定のテンプレート
マルチテナント組織のパートナー テナントに適用される同種のテナント間アクセス設定のセットアップを容易にするために、各マルチテナント組織テナントの管理者は、オプションでマルチテナント組織専用のテナント間アクセス設定テンプレートを構成できます。 これらのテンプレートを使用することで、マルチテナント組織に新たに参加するパートナー テナントに適用されるテナント間アクセス設定を事前に構成できます。
制約
マルチテナント組織機能は、以下の制約を考慮して設計されています。
- 個々のテナントが作成または参加できるマルチテナント組織は、1 つだけです。
- クラウド ソリューション プロバイダー (CSP) と顧客テナントの間でマルチテナント組織を使用することはできません。
- マルチテナント組織には、少なくとも 1 つのアクティブな所有者テナントが必要です。
- アクティブな各テナントには、すべてのアクティブなテナントに対するテナント間アクセス設定が必要です。
- アクティブなテナントは、マルチテナント組織から自分自身を削除することで、そこから離脱できます。
- マルチテナント組織は、唯一残っているアクティブな (所有者) テナントが離脱すると、削除されます。
制限
| リソース | 制限 | メモ |
|---|---|---|
| 所有者テナントを含め、最大数のアクティブなテナント | 100 | 所有者テナントは 100 を超える保留中のテナントを追加できますが、制限を超えると、マルチテナント組織に参加できなくなります。 この制限は、保留中のテナントがマルチテナント組織に参加する時点で適用されます。 この制限は、マルチテナント組織内のテナント数に固有のものです。 テナント間同期自体には適用されません。 この制限を引き上げるには、Microsoft Entra または Microsoft 365 管理センターでサポート要求を送信します。 |
始める
マルチテナント組織の使用を開始するための基本的な手順を次に示します。
ステップ 1: デプロイを計画する
詳細については、「Microsoft 365 でのマルチテナント組織の計画」および「マルチテナント組織の制限事項」を参照してください。
ステップ 2: マルチテナント組織を作成する
Microsoft 365 管理センター、Microsoft Graph PowerShell、または Microsoft Graph API を使用してマルチテナント組織を作成します。
- 最初のテナント (間もなく所有者となるテナント) がマルチテナント組織を作成します。
- 所有者テナントが 1 つ以上の参加者テナントを追加します。
Microsoft 365 管理センターを使用したマルチテナント組織の作成の詳細については、「Microsoft 365 管理センターを使用してマルチテナント組織の作成または参加を行う」を参照してください。
ステップ 3: マルチテナント組織に参加する
Microsoft 365 管理センター、Microsoft Graph PowerShell、または Microsoft Graph API を使用してマルチテナント組織に参加します。
- 参加者テナントは、所有者テナントのマルチテナント組織に参加するための参加要求を送信します。
- 非同期処理が完了されるまでに、最大で 2 時間かかることがあります。
これでマルチテナント組織が作成されます。 これにより、マルチテナント組織内の既存の外部メンバー ユーザーがマルチテナント組織のメンバーとして認識され、マルチテナント組織のアクティブなテナント間で、よりシームレスなコラボレーションが可能になります。
Microsoft 365 管理センターを使用したマルチテナント組織への参加の詳細については、「Microsoft 365 管理センターを使用してマルチテナント組織の作成または参加を行う」を参照してください。
ステップ 4: 外部メンバー ユーザーをプロビジョニングする
Microsoft 365 におけるマルチテナント組織のコラボレーションは、B2B コラボレーション メンバー ユーザーのプロビジョニングに依存しています。 ユースケースに応じて、次のうち 1 つ以上の方法を使用してユーザーをプロビジョニングできます。
- Microsoft 365 のマルチテナント組織のユーザーを同期する
- Microsoft Entra 管理センターでテナント間同期を構成する
- 既存の一括プロビジョニング エンジンを使用して外部メンバー ユーザーをプロビジョニングする
- Microsoft Entra 管理センターを使用して個々の外部メンバー ユーザーをプロビジョニングする
外部メンバー ユーザーのプロビジョニングの詳細については、「外部メンバー ユーザーをプロビジョニングするためのオプション」を参照してください。
ステップ 5: Microsoft 365 アプリケーションの要件を満たす
次のマルチテナント組織コラボレーション アプリケーションには、追加の要件がある可能性があります。
Microsoft 365 アプリケーションの要件が満たされると、従業員は、複数のテナントを含む組織全体でシームレスにコラボレーションを行うことができるようになります。
ライセンスの要件
マルチテナント組織の機能には、Microsoft Entra ID P1 ライセンスが必要です。 マルチテナント組織では、従業員 1 人につき Microsoft Entra ID P1 ライセンスが 1 つ必要です。 また、テナントごとに少なくとも 1 つの Microsoft Entra ID P1 ライセンスが必要です。 自分の要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。