Azure Active Directory のテナントTenancy in Azure Active Directory

Azure Active Directory (Azure AD) では、ユーザーやアプリなどのオブジェクトを "テナント" と呼ばれるグループにまとめます。Azure Active Directory (Azure AD) organizes objects like users and apps into groups called tenants. テナントを使用することで、管理者は組織内のユーザーと、組織が所有するアプリに対してポリシーを設定して、セキュリティおよび運用ポリシーを満たすことができます。Tenants allow an administrator to set policies on the users within the organization and the apps that the organization owns to meet their security and operational policies.

アプリケーションにサインインできるユーザーWho can sign in to your app?

アプリを開発する場合、開発者は Azure portal でアプリを登録する際に、アプリをシングルテナントまたはマルチテナントとして構成できます。When it comes to developing apps, developers can choose to configure their app to be either single-tenant or multi-tenant during app registration in the Azure portal.

  • シングルテナント アプリは、それらが登録されているテナント (ホーム テナントとも呼ばれます) でのみ使用できます。Single-tenant apps are only available in the tenant they were registered in, also known as their home tenant.
  • マルチテナント アプリは、ホーム テナントと他のテナントの両方のユーザーが使用できます。Multi-tenant apps are available to users in both their home tenant and other tenants.

Azure portal で次のように対象ユーザーを設定することで、アプリをシングルテナントまたはマルチテナントとして構成できます。In the Azure portal, you can configure your app to be single-tenant or multi-tenant by setting the audience as follows.

対象ユーザーAudience シングル/マルチテナントSingle/multi-tenant サインインできるユーザーWho can sign in
このディレクトリ内のアカウントのみAccounts in this directory only シングル テナントSingle tenant ディレクトリ内のすべてのユーザー アカウントとゲスト アカウントが、このアプリケーションまたは API を使用できます。All user and guest accounts in your directory can use your application or API.
対象ユーザーが組織の内部にいる場合は、このオプションを使用します。Use this option if your target audience is internal to your organization.
任意の Azure AD ディレクトリ内のアカウントAccounts in any Azure AD directory マルチテナントMulti-tenant Microsoft の職場または学校アカウントを持つすべてのユーザーとゲストが、このアプリケーションまたは API を使用できます。All users and guests with a work or school account from Microsoft can use your application or API. これには、Microsoft 365 を使用する学校や企業が含まれます。This includes schools and businesses that use Microsoft 365.
対象ユーザーが企業または教育機関の場合は、このオプションを使用します。Use this option if your target audience is business or educational customers.
任意の Azure AD ディレクトリ内のアカウントと個人用 Microsoft アカウント (Skype、Xbox、Outlook.com など)Accounts in any Azure AD directory and personal Microsoft accounts (such as Skype, Xbox, Outlook.com) マルチテナントMulti-tenant 職場または学校アカウントあるいは個人用 Microsoft アカウントを持つすべてのユーザーが、このアプリケーションまたは API を使用できます。All users with a work or school, or personal Microsoft account can use your application or API. これには、Microsoft 365 を使用する学校と企業、および Xbox や Skype などのサービスへのサインインに使用されている個人用アカウントが含まれます。It includes schools and businesses that use Microsoft 365 as well as personal accounts that are used to sign in to services like Xbox and Skype.
最も広範な Microsoft アカウントを対象とする場合は、このオプションを使用します。Use this option to target the widest set of Microsoft accounts.

マルチテナント アプリのベスト プラクティスBest practices for multi-tenant apps

IT 管理者がテナントで設定できる各種ポリシーの数が多いため、優れたマルチテナント アプリの作成が難しい場合があります。Building great multi-tenant apps can be challenging because of the number of different policies that IT administrators can set in their tenants. マルチテナント アプリを作成する場合は、次のベスト プラクティスに従ってください。If you choose to build a multi-tenant app, follow these best practices:

  • 条件付きアクセス ポリシーが構成されているテナントでアプリをテストします。Test your app in a tenant that has configured Conditional Access policies.
  • 最小限のユーザー アクセスの原則に従って、アプリでは実際に必要なアクセス許可だけを要求するようにします。Follow the principle of least user access to ensure that your app only requests permissions it actually needs.
  • アプリの一部として公開するアクセス許可の適切な名前と説明を提供します。Provide appropriate names and descriptions for any permissions you expose as part of your app. これにより、ユーザーと管理者は、アプリの API を使用しようとしたときに同意する内容を把握しやすくなります。This helps users and admins know what they are agreeing to when they attempt to use your app's APIs. 詳細については、アクセス許可ガイドのベスト プラクティスのセクションをご覧ください。For more information, see the best practices section in the permissions guide.

次のステップNext steps