Microsoft 365 でのマルチテナント組織の計画

  • [アーティクル]

注:

マルチテナント組織は、Microsoft 365 GCC、GCC High、DoD、Microsoft 365 China (21Vianet が運営) では使用できません。

organizationが複数の Microsoft 365 テナントを管理する場合は、テナント間のコラボレーションとリソース アクセスを容易にするために、Microsoft 365 でマルチテナント organizationを設定できます。 マルチテナント organizationを作成し、テナント間でユーザーを同期すると、互いに検索したり、Microsoft Teams や会議を使用したり、ファイルで共同作業を行ったりするときに、異なるテナント内のユーザー間でよりシームレスなコラボレーション エクスペリエンスが提供されます。

マルチテナント organizationを作成するテナントは所有者と呼ばれ、マルチテナント organizationに参加する他のテナントはメンバーと呼ばれます。 所有者テナントのグローバル管理者がマルチテナント organizationを作成したら、メンバー テナントを招待できます。 その後、各メンバー テナントのグローバル管理者がマルチテナント organizationに参加できます。

Microsoft 365 管理センターで Microsoft 365 マルチテナント組織を構成する一方で、サポート インフラストラクチャの多くはMicrosoft Entra IDにあります。 Microsoft Entra IDでのマルチテナント組織の動作の詳細については、「Microsoft Entra IDのマルチテナント organizationとは」と「テナント間同期のトポロジ」を参照してください。

テナント間のユーザー同期

マルチテナント組織は、Microsoft Entra B2B コラボレーション ユーザーを使用してテナント間でユーザーを同期します。 テナントのユーザーは、マルチテナント organizationの他のテナントで B2B コラボレーション ユーザーとしてプロビジョニングされますが、ユーザーの種類はゲストではなくメンバーです。 (これらのロールの違いについては、「Microsoft Entra IDの既定のユーザーアクセス許可とは」を参照してください)。メンバー ユーザーの種類は、マルチテナント組織の Teams で必要です。

organization全体にロールアウトする前に、少数のユーザーセットから開始することをお勧めします。 完全なロールアウトを行う場合は、最適なユーザー エクスペリエンスを得るには、マルチテナント organization内のすべてのテナント間ですべてのユーザーを同期することを強くお勧めします。 ただし、必要に応じて、異なるユーザーを異なるテナントに含め、ユーザーのサブセットを同期できます。

Microsoft 365 管理センターでユーザー同期を構成すると、同じユーザーがマルチテナント organization内のすべてのテナントに同期されます。 異なるユーザーを異なるテナントに同期するには、Microsoft Entra IDで構成する必要があります。

ユーザー同期が構成されたら、Microsoft Entra IDで、ユーザー スコープや属性マッピングなど、同期設定を調整できます。 (1 つの外部テナントに対して複数のテナント間同期構成を作成できますが、管理を容易にするために 1 つだけを使用することをお勧めします)。詳細については、「 テナント間同期の構成」を参照してください。

既存のテナント間同期構成

Microsoft Entra IDに既存のテナント間同期構成がある場合は、Microsoft 365 でマルチテナント organizationを設定した後も引き続き動作します。 これらの構成を引き続き使用して、Microsoft 365 マルチテナント organizationのユーザーを同期できます。 (Microsoft 365 管理センターはこれらの構成を認識せず、送信同期の状態は未構成として表示されることに注意してください)。

既に B2B メンバー ユーザーが MTO の一部であるテナントと同期している場合、それらのユーザーは MTO の形成時にすぐに MTO メンバーになります。

Microsoft 365 管理センターを使用して、テナント間でユーザーを同期できます。 これにより、Microsoft Entra IDに新しいテナント間同期構成が作成されます。 新しい構成と以前に既存の構成の両方が実行され、指定したユーザーが同期されます。

特定のテナントにユーザーを同期するための構成は 1 つだけにすることをお勧めします。 すべてのテナントに同じユーザーを同期する場合は、Microsoft 365 管理センターで同期を構成します。 異なるユーザーを異なるテナントに同期する場合は、Microsoft Entra IDで同期を構成します。

Microsoft Entra IDでのテナント間アクセス設定

新しいマルチテナント organizationを作成するか、既存のマルチテナント organizationに参加すると、マルチテナント organization内の他の組織がテナントのMicrosoft Entraクロステナント アクセス設定に追加されます。

マルチテナント organizationに追加するテナントとMicrosoft Entra IDで組織関係が既に構成されている場合、既存の構成は次のように更新されます。

  • 受信テナント間同期設定が更新され、ユーザーがテナントに同期できるようになります。
  • 送信信頼設定が更新されるため、このテナントのユーザーは、クロステナント同期、B2B コラボレーション、または B2B 直接接続 (共有チャネル) を使用して他のテナントに初めてアクセスする際に同意プロンプトを受け入れる必要はありません。

既存の組織関係の B2B コラボレーション設定をチェックして、適切なユーザーとアプリが許可されるようにすることをお勧めします。

新しい Microsoft Teams デスクトップ クライアント

マルチテナント組織で最適なエクスペリエンスを得るには、 新しい Microsoft Teams デスクトップ クライアントが必要です。 新しい Teams デスクトップ クライアントを使用すると、ユーザーは次のことができます。

  • マルチテナント organization内のすべてのテナントからリアルタイム通知を受信する
  • 通話や会議から削除することなく、すべてのテナントでチャット、会議、通話に参加して、テナントを切り替えます。
  • 各アカウントの状態を設定し、個別にorganizationします。
  • ユーザー プロファイル カードには、organizationの名前と電子メール アドレスが表示されます

新しい Teams デスクトップ クライアントを使用できるユーザーを制御するには、Teams 更新ポリシーを使用します。 詳細については、「ポリシーを使用して新しい Teams を展開する」を参照してください。

外部アクセスで信頼されている組織

テナント間のチャットや通話には外部アクセスが必要です。 外部組織の Teams およびSkype for Business ユーザーの外部アクセスは、マルチテナント organization内のテナントごとに構成する必要があり、マルチテナント organization内のすべてのテナントのドメインを許可する必要があります。 さらに、テナント間で同期するすべてのユーザーは、Teams と外部組織のSkype for Businessユーザーとの外部アクセスを有効にする必要があります。 詳細については、「 Microsoft ID を使用して外部会議を管理し、ユーザーや組織とチャットする」を参照してください。

マルチテナント組織の共有チャネル

マルチテナント organization内の他のテナントと Teams で共有チャネルを使用すると、他の外部organizationで共有チャネルを使用する場合と同じように動作します。 Microsoft Entra IDの組織関係はマルチテナント organization構成の一部として構成されていますが、Teams で共有チャネルを有効にし、Microsoft Entra IDで B2B 直接接続設定を構成する必要があります。 詳細については、「 共有チャネルで外部参加者と共同作業する」を参照してください。

ライセンス要件

マルチテナント organization機能を使用するには、すべてのマルチテナント organization テナントで、Microsoft 365 E3または E5 サブスクリプションと Microsoft Entra ID P1 ライセンス以上が必要です。 詳細については、「 Entra ライセンス要件」を参照してください。

Microsoft 365 のマルチテナント組織の制限事項

Microsoft 365 のマルチテナント組織の制限事項を次に示します。

  • マルチテナント organization内の最大 100 テナントがサポートされています。
  • Web 上の Teams、Microsoft Teams Rooms (MTR)、VDI/AVD はサポートされていません。
  • 他のテナントからの通知を受信したり、テナントを切り替えたりするためのアクセス許可を付与または取り消す機能は、モバイルではサポートされていません。
  • アカウントがもともとゲストであり、以前に SharePoint リソースにアクセスしていた場合、organizationリンクのPeopleは、別のテナントのユーザーに対して機能しない可能性があります。
  • ユーザーが同期されると、ユーザーが検索に表示されるまでに最大 7 日かかる場合があります。 ユーザーが 7 日後に検索できない場合は、Microsoft サポートにお問い合わせください。
  • Power BI でのメンバーのゲスト UserType のサポートは現在プレビュー段階です。 詳細については、「Microsoft Entra B2B を使用して外部ゲスト ユーザーに Power BI コンテンツを配布する」を参照してください。

100 を超えるテナントを追加する場合は、Microsoft サポートにお問い合わせください。

その他の制限事項については、「 マルチテナント組織の既知の問題」を参照してください。

マルチテナント organizationを設定または参加する

テナントが所有者である新しいマルチテナント organizationを設定するには、「Microsoft 365 でマルチテナント organizationを設定する」を参照してください。

既存のマルチテナント organizationをメンバー テナントとして参加させるには、「Microsoft 365 でマルチテナント organizationに参加または脱退する」を参照してください。

PowerShell または Microsoft Graph API を使用してテナント間同期を構成する

Microsoft 365 のマルチテナント組織のユーザーを同期する