この記事では、マルチテナント組織のシナリオと、Microsoft Entra ID の関連機能の概要について説明します。
マルチテナント組織のシナリオとは
マルチテナント組織のシナリオが生じるのは、1 つの組織に Microsoft Entra ID のテナント インスタンスが複数ある場合です。 組織で複数のテナントを使用する主な理由は以下のとおりです。
- コングロマリット: 独立経営の複数の子会社または事業単位を含む組織。
- 合併と買収: 企業を合併または買収する組織。
- 売却活動: 売却では、ある組織がその事業の一部を分離して新しい組織を立ち上げるか、既存の組織に売却します。
- 複数のクラウド: 複数のクラウド環境で展開するために、コンプライアンスまたは規制要件を満たす必要がある組織。
- 複数の地理的境界: 複数の地理的地域で事業を展開し、異所在地に関するさまざま規制を適用する組織。
- テスト テナントまたはステージング テナント: プライマリ テナントへのより広範なデプロイに先んじて、テストまたはステージングの目的で複数のテナントを必要としている組織。
- 部門または従業員が作成したテナント: 開発、テスト、または分離した管理のために部門または従業員がテナントを作成した組織。
Microsoft Entra テナントとは
テナントは Microsoft Entra ID のインスタンスであり、ユーザー、グループ、デバイスなどの組織オブジェクトや、Microsoft 365、サードパーティ アプリケーションなどのアプリケーションの登録を含む、1 つの組織に関する情報がここに置かれます。 テナントには、ディレクトリに登録されているアプリケーションなどのリソースのアクセス ポリシーとコンプライアンス ポリシーも含まれています。 テナントによって提供される主な機能には、ID 認証とリソース アクセス管理が含まれます。
Microsoft Entra の観点からは、テナントは ID およびアクセス管理の範囲を形成するものです。 たとえば、テナント管理者は、テナントの一部またはすべてのユーザーがアプリケーションを使用できるようにしたり、アプリケーションに対するアクセス ポリシーをテナントのユーザーに適用したりします。 さらに、テナントには、組織のメール ドメインや、その組織の従業員が使用する SharePoint URL など、エンド ユーザーのエクスペリエンスを決定付ける組織ブランディング データが含まれています。 Microsoft 365 の観点からは、テナントはコラボレーションとライセンスに関する既定の境界を形成します。 たとえば、Microsoft Teams または Microsoft Outlook のユーザーは、自らが属するテナントから他のユーザーを探して共同作業することが簡単にできますが、他のテナントのユーザーは探すことも見ることもできません。
テナントには特権的な組織データが含まれ、他のテナントから安全に分離されています。 さらに、テナントは、特定のリージョンまたはクラウドでデータが永続化され、処理されるように構成できます。これにより、組織では、データの所在地と処理に関するコンプライアンス要件を満たすためのメカニズムとしてテナントを使用できます。
マルチテナントの課題
組織が最近、新しい会社を買収したか、別の会社と合併したか、新しく立ち上げられた事業単位に基づいて再編された場合を考えます。 別々の ID 管理システムを使用している場合、異なるテナントのユーザーがリソースにアクセスしたり、共同作業したりするのに困難が伴う可能性があります。
次の図は、他のテナントのユーザーが、組織のテナント間でアプリケーションにアクセスできない可能性がある様子を示しています。
組織が進化するにつれて、IT チームも変化するニーズを満たせるように適応していく必要があります。 これには、多くの場合、既存のテナントとの統合や新しいテナントの立ち上げが含まれます。 ID インフラストラクチャの管理方式にかかわらず、ユーザーがシームレスにリソースにアクセスして共同作業ができることが重要です。 現在は、カスタム スクリプトまたはオンプレミス ソリューションを使用してテナントを集約し、テナント間のシームレスなエクスペリエンスを提供している可能性があります。
マルチテナント組織のマルチテナント機能
Microsoft Entra ID のマルチテナント組織は、マルチテナント機能のポートフォリオを備え、これを使用することで、複数のテナントを含む組織全体のユーザーと安全に対話し、テナント全体にそれらのユーザーを自動的にプロビジョニングして管理できます。
これらのマルチテナント機能の一部では、一般的なテクノロジ スタックがビジネス ゲスト向けの Microsoft Entra 外部 ID および Microsoft Entra ID でのアプリのプロビジョニングと共有されているため、こうした他の領域への相互参照が頻繁に見られる場合があります。 Microsoft 365 for Enterprise では、マルチテナント機能を使用して、Microsoft Teams 内および Microsoft 365 アプリケーション全体でシームレスなマルチテナント コラボレーション エクスペリエンスを実現あるいは促すことができます。
マルチテナント組織のニーズに対応する、マルチテナント機能セットを次に示します。
テナント間アクセス設定 - テナントが、組織内の他のテナントとの間での相互アクセスをどのように許可または禁止するかを管理します。 この設定は、B2B Collaboration、B2B 直接接続、テナント間同期を管理し、また、組織の別のテナントが自分のマルチテナント組織に含まれることが認識されているかどうかを示すものです。
B2B 直接接続 - シームレスなコラボレーションを実現するために、別の Microsoft Entra テナントとの間で双方向の相互信頼関係を確立します。 B2B 直接接続ユーザーはディレクトリに表示されませんが、Teams 共有チャネル内でコラボレーションを行うために Teams では表示されます。
B2B Collaboration – 外部ユーザーにアプリケーション アクセスを提供して、コラボレーションを行います。 B2B Collaboration ユーザーはディレクトリに表示されます。 Microsoft Teams でのコラボレーションに使用できます (有効になっている場合)。 Microsoft 365 アプリケーション全体でも使用できます。
テナント間同期は、組織のテナント間で B2B コラボレーション ユーザーの作成、更新、削除を自動化する同期サービスです。 このサービスを使用すると、ターゲット テナントで Microsoft 365 ユーザー検索の範囲を設定できます。 このサービスは、テナント間アクセス設定の下のテナント間同期設定で管理されます。
Microsoft 365 マルチテナント ユーザー検索 - B2B Collaboration ユーザーとのコラボレーション。 B2B Collaboration ユーザーは、アドレス一覧に表示されていれば、Outlook で連絡先として使用できます。 ユーザーの種類が「メンバー」に昇格されると、B2B Collaboration メンバー ユーザーは、ほとんどの Microsoft 365 アプリケーションでコラボレーション可能となります。
マルチテナント組織 - 組織が所有する Microsoft Entra テナントの境界を定義し、招待と受け入れフローによって円滑に機能させます。 B2B メンバー プロビジョニングと組み合わせて、Microsoft Teams や Microsoft 365 アプリケーション (Microsoft Viva Engage など) でシームレスなコラボレーション エクスペリエンスを実現できます。 テナント間アクセス設定では、マルチテナント組織のテナントにフラグを設定します。
マルチテナント コラボレーション用の Microsoft 365 管理センター - マルチテナント組織を作成するための直感的な管理ポータル エクスペリエンスを提供します。 小規模なマルチテナント組織の場合はさらに、Microsoft Entra 管理センターを使用する代わりに、ユーザーをマルチテナント組織のテナントに同期するためのシンプル エクスペリエンスが提供されています。
次のセクションで、各機能について詳しく説明します。
クロステナント アクセス設定
複数のテナントを含む組織内であっても、Microsoft Entra テナント管理者が常に自分のテナントスコープのリソースを管理することは、基本原則です。 そのため、テナント間アクセス設定はテナント間の関係ごとに必要となり、テナント管理者は、必要に応じてテナント間のアクセス関係を明示的に構成します。
次の図は、基本的なクロステナント アクセスの受信と送信の設定機能を示しています。
詳しくは、テナント間アクセスの概要に関するページをご覧ください。
B2B 直接接続
複数のテナントにまたがるユーザーが Teams Connect 共有チャネルで共同作業できるようにするには、Microsoft Entra B2B 直接接続を使用できます。 B2B 直接接続は、Teams でのシームレスなコラボレーションのために他の Microsoft Entra テナントとの相互の信頼関係を設定できるようにする外部 ID の機能です。 信頼が確立されると、B2B 直接接続ユーザーは、ホーム テナントからの資格情報を使用してシングル サインオン アクセスできます。
複数のテナント間で B2B 直接接続を使用する上での主な制約を次に示します。
- 現時点では、B2B 直接接続は、Teams Connect 共有チャネルとのみ連携します。
詳細については、「B2B 直接接続の概要」をご覧ください。
B2B コラボレーション
ユーザーがテナント間で共同作業できるようにするには、Microsoft Entra B2B Collaboration を使用できます。 B2B Collaboration は、自分の組織にゲスト ユーザーを招待して共同作業を行えるようにする外部 の機能です。 招待を引き換えた、またはサインアップを完了した外部ユーザーは、テナントでユーザー オブジェクトとして表現されます。 B2B Collaboration によって、自分のテナントのデータに対するコントロールを維持したまま、自分のテナントのアプリケーションとサービスを外部ユーザーと安全に共有できます。
複数のテナント間で B2B コラボレーションを使用する上での主な制約を次に示します。
- 管理者は、B2B 招待プロセスを使用してユーザーを招待するか、B2B コラボレーション招待マネージャーを使用してオンボード エクスペリエンスを構築する必要があります。
- 管理者がカスタム スクリプトを使用してユーザーを同期することが必要な場合があります。
- 自動引き換えの設定によっては、ユーザーは各テナントで同意プロンプトに同意し、引き換えプロセスに従うことが必要な場合があります。
詳細については、「B2B コラボレーションの概要」を参照してください。
テナント間同期
ユーザーがよりシームレスにテナント間で共同作業できるようにしたい場合は、Microsoft Entra ID のテナント間同期を使用できます。 テナント間同期は、Microsoft Entra ID の一方向同期サービスであり、組織のテナント間で B2B コラボレーション ユーザーの作成、更新、削除を自動化します。 テナント間同期は、B2B コラボレーション機能に基づいており、既存の B2B テナント間アクセス設定を利用します。 ユーザーは、ターゲット テナントで B2B コラボレーション ユーザー オブジェクトとして表されます。
テナント間同期を使用する主な利点を次に示します。
- 組織内で B2B コラボレーション ユーザーを自動的に作成し、必要なアプリケーションへのアクセスを付与します。カスタム スクリプトの作成や保守は不要です。
- ユーザー エクスペリエンスを向上させ、ユーザーが招待メールを受信したり、各テナントで同意プロンプトを受け入れることなく、リソースにアクセスできるようにする。
- ユーザーが組織を離れたときに、そのユーザーを自動的に更新および削除する。
複数のテナント間でのテナント間同期の使用に関する主な制約を次に示します。
- 同期されたユーザーは、他の B2B コラボレーション ユーザーと同じように、テナント間で Teams および Microsoft 365 を利用できます。
- グループ、デバイス、または連絡先は同期されません。
詳しくは、「テナント間同期とは」をご覧ください。
Microsoft 365 マルチテナントのユーザー検索
B2B Collaboration ユーザーは、広く認知されている B2B Collaboration のゲスト ユーザー エクスペリエンスだけでなく、Microsoft 365 でコラボレーションを行うことができるようになりました。
マルチテナント組織のユーザー検索は、複数のテナント間でのユーザーの検索と検出を可能にするコラボレーション機能です。 B2B Collaboration ユーザーは、アドレス一覧に表示されていれば、Outlook で連絡先として使用できます。 アドレス一覧に表示されることに加え、ユーザーの種類が「メンバー」に昇格されると B2B Collaboration のメンバー ユーザーは、ほとんどの Microsoft 365 アプリケーションでコラボレーションできるようになります。
複数のテナント全体にわたって Microsoft 365 のユーザー検索を使用する主な利点を次に示しています。
- B2B Collaboration ユーザーを、Outlook でコラボレーションできるようにすることができます。 これを有効にするには、ホスト テナント内の Exchange Online メール ユーザーに対して true に設定した showInAddressList プロパティを使用するか、ソース テナントからテナント間同期を使用します。
- 「メンバー」に設定した userType プロパティ (ホスト テナントの Microsoft Entra 管理センターで管理) を使用するか、ソース テナントからテナント間同期を使用することで、アドレス一覧に既に表示されている B2B Collaboration ユーザーを、ほとんどの Microsoft 365 アプリケーションでコラボレーションできるようにできます。
複数のテナント全体にわたって Microsoft 365 のユーザー検索を使用する主な制約を次に示しています。
- ほとんどの Microsoft 365 アプリケーションでのコラボレーションの場合、B2B Collaboration ユーザーは、アドレス一覧に表示され、さらにユーザーの種類が「メンバー」に設定されている必要があります。
- アドレス一覧のその他の制約については、マルチテナント組織でのグローバル アドレス一覧の制限に関する記事を参照してください。
詳細については、Microsoft 365 マルチテナントのユーザー検索に関する記事を参照してください。
マルチテナント組織
マルチテナント組織は、Microsoft Entra ID と Microsoft 365 の機能で、これを使用すると、組織が所有する Microsoft Entra テナントの境界を定義できます。 ディレクトリ内では、組織を表すテナント グループの形式をとります。 グループ内にあるテナントの各ペアは、B2B Collaboration を構成するために使用できるテナント間アクセス設定によって管理されます。
マルチテナント組織の主な利点を次に示しています。
- 組織内と組織外のユーザーを区別する
- 新しい Microsoft Teams でのコラボレーション エクスペリエンスの向上
- Viva Engage でのコラボレーション エクスペリエンスの向上
マルチテナント組織を使用する場合の主な制約を次に示しています。
- マルチテナント組織に含まれるテナントに既に B2B Collaboration メンバー ユーザーが存在する場合、それらのユーザーは、マルチテナント組織が作成されると直ぐにマルチテナント組織のメンバーになります。 そのため、マルチテナント組織のエクスペリエンスを提供するアプリケーションでは、既存の B2B Collaboration メンバー ユーザーがマルチテナント組織のユーザーとして認識されます。
- 向上した Microsoft Teams のコラボレーションは、B2B Collaboration メンバー ユーザーの相互プロビジョニングに依存します。
- 向上した Viva Engage のコラボレーションは、B2B Collaboration メンバーの一元的なプロビジョニングに依存します。
- その他の制約については、「マルチテナント組織の制限事項」を参照してください。
詳細については、「Microsoft Entra ID でのマルチテナント組織とは」を参照してください。
マルチテナント コラボレーション用の Microsoft 365 管理センター
マルチテナント コラボレーション用の Microsoft 365 管理センターは、マルチテナント組織を作成するための直感的な管理ポータル エクスペリエンスを提供します。
- Microsoft 365 管理センターでマルチテナント組織を作成します。
Microsoft では、マルチテナント組織の作成後に、従業員をマルチテナント組織の隣接するテナントに大規模にプロビジョニングするための方法を 2 つ用意しています。
- 複雑な ID トポロジを持つエンタープライズ組織の場合は、Microsoft Entra ID のテナント間同期を使用することをお勧めします。 テナント間同期は詳細に構成でき、これを使用すると、どのようなマルチハブ、マルチスポークの ID トポロジでもプロビジョニングできます。
- 従業員をすべてのテナントにプロビジョニングする小規模なマルチテナント組織の場合は、Microsoft 365 管理センターに留まって、マルチテナント組織の複数のテナントにユーザーを同時に同期することをお勧めします。
独自の大規模なユーザー プロビジョニング エンジンを既にお持ちの場合は、引き続きその独自のエンジンを使用して従業員のライフサイクルを管理しながら、新しいマルチテナント組織の利点を享受できます。
Microsoft 365 管理センターを使用してマルチテナント組織を作成し、従業員をプロビジョニングする場合の主な利点を次に示しています。
- Microsoft 365 管理センターでは、マルチテナント組織を作成するためのグラフィカル ユーザー エクスペリエンスが提供されています。
- Microsoft 365 管理センターでは、B2B Collaboration の招待の自動引き換え用にテナントが事前に構成されます。
- Microsoft 365 管理センターでは、受信ユーザー同期用にテナントを事前に構成します。ただし、テナント間同期の使用はオプションのままです。
- Microsoft 365 管理センターを使用すると、マルチテナント組織の複数のテナントに従業員を簡単にプロビジョニングできます。
Microsoft 365 管理センターを使用してマルチテナント組織を作成する、または従業員をプロビジョニングする場合の、主な制約を次に示しています。
- Microsoft Entra 管理センターでのテナント間同期の使用が意図されている場合でも、Microsoft 365 管理センターでは、テナント間同期ジョブが事前に構成されますが、ジョブは開始されません。
- マルチハブやマルチスポーク システムなどの複雑な ID トポロジは、Microsoft Entra 管理ポータルでテナント間同期を使用すると、より適切にプロビジョニングされます。
詳細については、Microsoft 365 マルチテナントのコラボレーションに関する記事を参照してください。
マルチテナント機能の比較
組織のニーズに応じて、B2B 直接接続、B2B コラボレーション、テナント間同期、マルチテナント組織機能を自由に組み合わせて使用できます。 B2B 直接接続と B2B コラボレーションが独立した機能である一方、テナント間同期とマルチテナント組織機能は互いに独立していますが、どちらも基になる B2B Collaboration に依存しています。
次の表では、それぞれの機能を比較しています。 さまざまな外部 ID シナリオの詳細については、「外部 ID 機能セットの比較」を参照してください。
| B2B 直接接続 (組織間の外部または内部) |
B2B コラボレーション (組織間の外部または内部) |
テナント間同期 (組織内部) |
マルチテナント組織 (組織内部) |
|
|---|---|---|---|---|
| 目的 | ユーザーは、外部テナントでホストされている Teams Connect 共有チャネルにアクセスできます。 | ユーザーは、外部テナントでホストされているアプリ/リソースに、通常は制限付きのゲスト権限でアクセスできます。 自動引き換えの設定によっては、ユーザーは各テナントで同意プロンプトに同意することが必要な場合があります。 | ユーザーは、異なるテナントでホストされている場合でも、同じ組織全体のアプリ/リソースにシームレスにアクセスできます。 | ユーザーは、新しい Teams と Viva Engage で、マルチテナント組織全体にわたってよりシームレスにコラボレーションを行うことができます。 |
| 価値 | Teams Connect 共有チャネル内でのみ外部コラボレーションを有効にします。 B2B ユーザーを管理する必要がないため、管理者にとってより便利です。 | 外部コラボレーションを可能にします。 B2B コラボレーション ユーザーを管理することで、管理者の制御と監視を強化します。 管理者は、これらの外部ユーザーが持つアクセスを、ユーザーのアプリ/リソースに制限できます。 | 組織のテナント間でのコラボレーションを有効にします。 管理者は、組織内のアプリやリソースへの継続的なアクセスを確保するために、テナント間でユーザーを手動で招待および同期する必要はありません。 | 組織のテナント間でのコラボレーションを有効にします。 管理者は、テナント間アクセス設定を使用して、引き続きすべての構成を行うことができます。 オプションのテナント間アクセス テンプレートを使用すると、テナント間アクセス設定を事前に構成できます。 |
| 管理者の主なワークフロー | テナント間アクセスを構成し、外部ユーザーが自分のホーム テナントの資格情報を使用してテナントに受信アクセスできるようにします。 | B2B 招待プロセスを使用して外部ユーザーをリソース テナントに追加するか、B2B コラボレーション招待マネージャーを使用して独自のオンボード エクスペリエンスを構築します。 | B2B コラボレーション ユーザーとして複数のテナント間でユーザーを同期するようにテナント間同期エンジンを構成します。 | マルチテナント組織を作成し、テナントを追加 (招待) して、マルチテナント組織に参加します。 既存の B2B Collaboration ユーザーを使用するか、テナント間同期を使用して B2B Collaboration ユーザーをプロビジョニングします。 |
| 信頼レベル | 中程度の信頼。 B2B 直接接続ユーザーの追跡はそれほど容易ではなく、外部組織との間で一定レベルの信頼が必要です。 | 低から中程度の信頼。 ユーザー オブジェクトを容易に追跡でき、詳細な制御を使用して管理できます。 | 高い信頼。 すべてのテナントは同じ組織の一部であり、ユーザーは通常、すべてのアプリ/リソースへのメンバー アクセスを許可されます。 | 高い信頼。 すべてのテナントは同じ組織の一部であり、ユーザーは通常、すべてのアプリ/リソースへのメンバー アクセスを許可されます。 |
| ユーザーに対する影響 | ユーザーは自分のホーム テナントの資格情報を使用してリソース テナントにアクセスします。 ユーザー オブジェクトはリソース テナントに作成されません。 | 外部ユーザーは B2B コラボレーション ユーザーとしてテナントに追加されます。 | 同じ組織内で、ユーザーは B2B コラボレーション ユーザーとして自分のホーム テナントからリソース テナントに同期されます。 | 同じマルチテナント組織内では、B2B Collaboration ユーザー (特にメンバー ユーザー) は、Microsoft 365 全体で強化されたシームレスなコラボレーションの恩恵を受けることができます。 |
| ユーザーの種類 | B2B 直接接続ユーザー - 該当なし |
B2B コラボレーション ユーザー - 外部メンバー - 外部ゲスト (既定) |
B2B コラボレーション ユーザー - 外部メンバー (既定) - 外部ゲスト |
B2B コラボレーション ユーザー - 外部メンバー (既定) - 外部ゲスト |
次の図は、B2B 直接接続、B2B コラボレーション、テナント間同期の機能を組み合わせて使用する方法を示しています。
用語
マルチテナント組織シナリオに関連する Microsoft Entra 機能をより深く理解するには、次の用語リストを参照してください。
| 用語 | Definition |
|---|---|
| tenant | Microsoft Entra ID のインスタンス。 |
| organization | ビジネス階層の最上位レベル。 |
| マルチテナント組織 | Microsoft Entra ID の複数のインスタンスに加えて、それらのインスタンスを Microsoft Entra ID でグループ化する機能を持つ組織。 |
| 作成者テナント | マルチテナント組織を作成したテナント。 |
| 所有者テナント | 所有者ロールを持つテナント。 最初は、作成者テナントです。 |
| 追加されたテナント | 所有者テナントによって追加されたテナント。 |
| 参加者テナント | マルチテナント組織に参加しているテナント。 |
| 参加要求 | 参加者テナントまたは追加されたテナントによって、マルチテナント組織に参加するための参加要求が送信されます。 |
| 保留中のテナント | 所有者によって追加されたが、まだ参加していないテナント。 |
| アクティブなテナント | マルチテナント組織を作成または参加したテナント。 |
| メンバー テナント | メンバー ロールを持つテナント。 ほとんどの参加者テナントはメンバーとして開始します。 |
| マルチテナント組織のテナント | マルチテナント組織の保留中ではないアクティブなテナント。 |
| テナント間同期 | Microsoft Entra ID の一方向同期サービスであり、組織のテナント間で B2B コラボレーション ユーザーの作成、更新、削除を自動化します。 |
| テナント間アクセス設定 | 特定の Microsoft Entra 組織のコラボレーションを管理するための設定。 |
| クロステナント アクセス設定テンプレート | マルチテナント組織に新しく参加するパートナー テナントに適用されるテナント間アクセス設定を、事前構成するためのオプションのテンプレート。 |
| 組織の設定 | 特定の Microsoft Entra 組織のテナント間アクセス設定。 |
| configuration | テナント間同期に必要な設定 (ターゲット テナント、ユーザー スコープ、属性マッピングなど) を含む、Microsoft Entra ID のアプリケーションと基になるサービス プリンシパル。 |
| プロビジョニング | 境界を越えてオブジェクトを自動的に作成または同期するプロセス。 |
| 自動引き換え | 新しく作成されたユーザーが招待メールを受信せず、ターゲット テナントに追加されたときに同意プロンプトを受け入れる必要もないように、招待を自動的に引き換えるための B2B 設定。 |