Microsoft Entra ID でのマルチテナント組織の機能
この記事では、マルチテナント組織のシナリオと、Microsoft Entra ID の関連機能の概要について説明します。
テナントとは
"テナント" は Microsoft Entra ID のインスタンスです。ここには、ユーザー、グループ、デバイスなどの組織オブジェクトに加え、Microsoft 365 やサードパーティのアプリケーションなどのアプリケーション登録も含め、1 つの組織に関する情報があります。 テナントには、ディレクトリに登録されているアプリケーションなどのリソースのアクセス ポリシーとコンプライアンス ポリシーも含まれています。 テナントによって提供される主な機能には、ID 認証とリソース アクセス管理が含まれます。
Microsoft Entra の観点からは、テナントは ID およびアクセス管理のスコープを形成します。 たとえば、テナント管理者は、テナントの一部またはすべてのユーザーがアプリケーションを使用できるようにしたり、アプリケーションに対するアクセス ポリシーをテナントのユーザーに適用したりします。 さらに、テナントには、組織のメール ドメインや、その組織の従業員が使用する SharePoint URL など、エンド ユーザーのエクスペリエンスを決定付ける組織ブランディング データが含まれています。 Microsoft 365 の観点からは、テナントはコラボレーションとライセンスに関する既定の境界を形成します。 たとえば、Microsoft Teams または Microsoft Outlook のユーザーは、自らが属するテナントから他のユーザーを探して共同作業することが簡単にできますが、他のテナントのユーザーは探すことも見ることもできません。
テナントには特権的な組織データが含まれ、他のテナントから安全に分離されています。 さらに、テナントは、特定のリージョンまたはクラウドでデータが永続化され、処理されるように構成できます。これにより、組織では、データの所在地と処理に関するコンプライアンス要件を満たすためのメカニズムとしてテナントを使用できます。
マルチテナント組織とは?
マルチテナント組織は、Microsoft Entra ID の複数のインスタンスを持つ組織です。 組織で複数のテナントを使用する主な理由は以下のとおりです。
- コングロマリット: 独立経営の複数の子会社または事業単位を含む組織。
- 合併と買収: 企業を合併または買収する組織。
- 売却活動: 売却では、ある組織がその事業の一部を分離して新しい組織を立ち上げるか、既存の組織に売却します。
- 複数のクラウド: コンプライアンスまたは規制上の必要性から複数のクラウド環境に展開する組織。
- 複数の地理的境界: 所在地に関するさまざま規制のために、複数の地理的な場所で事業を展開する組織。
- テスト テナントまたはステージング テナント: プライマリ テナントへのより広範なデプロイに先んじて、テストまたはステージングの目的で複数のテナントを必要とする組織。
- 部門または従業員が作成したテナント: 開発、テスト、または独立した統制のために部門または従業員がテナントを作成した組織。
マルチテナントの課題
組織が最近、新しい会社を買収したか、別の会社と合併したか、新しく立ち上げられた事業単位に基づいて再編された場合を考えます。 別々の ID 管理システムを使用している場合、異なるテナントのユーザーがリソースにアクセスしたり、共同作業したりするのに困難が伴う可能性があります。
次の図は、他のテナントのユーザーが、組織のテナント間でアプリケーションにアクセスできない可能性がある様子を示しています。
組織が進化するにつれて、IT チームも変化するニーズを満たせるように適応していく必要があります。 これには、多くの場合、既存のテナントとの統合や新しいテナントの立ち上げが含まれます。 ID インフラストラクチャの管理方式にかかわらず、ユーザーがシームレスにリソースにアクセスして共同作業ができることが重要です。 現在は、カスタム スクリプトまたはオンプレミス ソリューションを使用してテナントを集約し、テナント間のシームレスなエクスペリエンスを提供している可能性があります。
B2B 直接接続
複数のテナントにまたがるユーザーが Teams Connect 共有チャネルで共同作業できるようにするために、Microsoft Entra B2B 直接接続を使用できます。 B2B 直接接続は、Teams でのシームレスなコラボレーションのために他の Microsoft Entra 組織との相互の信頼関係を設定できるようにする External Identities の機能です。 信頼が確立されると、B2B 直接接続ユーザーは、ホーム テナントからの資格情報を使用してシングル サインオン アクセスできます。
複数のテナント間で B2B 直接接続を使用する上での主な制約を次に示します。
- 現時点では、B2B 直接接続は、Teams Connect 共有チャネルとのみ連携します。
詳細については、「B2B 直接接続の概要」をご覧ください。
B2B コラボレーション
ユーザーがテナント間で共同作業できるようにするために、Microsoft Entra B2B コラボレーションを使用できます。 B2B コラボレーションは、自分の組織にゲスト ユーザーを招待して共同作業を行うことができる External Identities の機能です。 招待を引き換えた、またはサインアップを完了した外部ユーザーは、テナントでユーザー オブジェクトとして表現されます。 B2B コラボレーションによって、自社データに対するコントロールを維持したまま、自社のアプリケーションとサービスを外部ユーザーと安全に共有できます。
複数のテナント間で B2B コラボレーションを使用する上での主な制約を次に示します。
- 管理者は、B2B 招待プロセスを使用してユーザーを招待するか、B2B コラボレーション招待マネージャーを使用してオンボード エクスペリエンスを構築する必要があります。
- 管理者がカスタム スクリプトを使用してユーザーを同期することが必要な場合があります。
- 自動引き換えの設定によっては、ユーザーは各テナントで同意プロンプトに同意し、引き換えプロセスに従うことが必要な場合があります。
- 既定では、ユーザーのタイプは外部ゲストであり、外部メンバーとはアクセス許可が異なりますが、これは望ましいユーザー エクスペリエンスではない可能性があります。
詳細については、 B2B コラボレーションの概要 を参照してください。
テナント間同期
ユーザーがよりシームレスにテナント間で共同作業できるようにしたい場合は、テナント間同期を使用できます。 テナント間同期は、Microsoft Entra ID 一方向同期サービスであり、組織のテナント間で B2B コラボレーション ユーザーの作成、更新、削除を自動化します。 テナント間同期は、B2B コラボレーション機能に基づいており、既存の B2B テナント間アクセス設定を利用します。 ユーザーは、ターゲット テナントで B2B コラボレーション ユーザー オブジェクトとして表されます。
テナント間同期を使用する主な利点を次に示します。
- 組織内で B2B コラボレーション ユーザーを自動的に作成し、必要なアプリケーションへのアクセスを付与します。カスタム スクリプトの作成や保守は不要です。
- ユーザー エクスペリエンスを向上させ、ユーザーが招待メールを受信したり、各テナントで同意プロンプトを受け入れることなく、リソースにアクセスできるようにする。
- ユーザーを自動的に更新し、組織を離れたユーザーを自動的に削除します。
複数のテナント間でのテナント間同期の使用に関する主な制約を次に示します。
- 現在の Teams または Microsoft 365 エクスペリエンスは強化されません。 同期されたユーザーは、他の B2B コラボレーション ユーザーと同じように、テナント間で Teams および Microsoft 365 を利用できます。
- グループ、デバイス、または連絡先は同期されません。
詳細については、「テナント間同期とは?」をご覧ください。
マルチテナント組織
マルチテナント組織は、Microsoft Entra ID と Microsoft 365 の機能であり、これを使用すると組織内にテナント グループを形成できます。 グループ内にあるテナントの各ペアは、B2B またはテナント間同期を構成するために使用できるテナント間アクセス設定によって管理されます。
マルチテナント組織の主な利点を次に示します。
- 組織内と組織外のユーザーを区別する
- 新しい Microsoft Teams でのコラボレーション エクスペリエンスの向上
- テナント間でのユーザー検索エクスペリエンスの向上
詳細については、「Microsoft Entra ID でのマルチテナント組織とは」を参照してください。
マルチテナント機能の比較
組織のニーズに応じて、B2B 直接接続、B2B コラボレーション、テナント間同期、マルチテナント組織の機能を自由に組み合わせて使用できます。 B2B 直接接続と B2B コラボレーションが独立した機能である一方、テナント間同期とマルチテナント組織の機能は互いに独立していますが、どちらも基になる B2B コラボレーションに依存しています。
次の表では、それぞれの機能を比較しています。 さまざまな外部 ID シナリオの詳細については、「External Identities 機能セットの比較」を参照してください。
B2B 直接接続 (組織間の外部または内部) |
B2B コラボレーション (組織間の外部または内部) |
テナント間同期 (組織内部) |
マルチテナント組織 (組織内部) |
|
---|---|---|---|---|
目的 | ユーザーは、外部テナントでホストされている Teams Connect 共有チャネルにアクセスできます。 | ユーザーは、外部テナントでホストされているアプリ/リソースに、通常は制限付きのゲスト権限でアクセスできます。 自動引き換えの設定によっては、ユーザーは各テナントで同意プロンプトに同意することが必要な場合があります。 | ユーザーは、異なるテナントでホストされている場合でも、同じ組織全体のアプリ/リソースにシームレスにアクセスできます。 | ユーザーは、新しい Teams とユーザー検索で、マルチテナント組織全体で、よりシームレスにコラボレーションを行うことができます。 |
Value | Teams Connect 共有チャネル内でのみ外部コラボレーションを有効にします。 B2B ユーザーを管理する必要がないため、管理者にとってより便利です。 | 外部コラボレーションを可能にします。 B2B コラボレーション ユーザーを管理することで、管理者の制御と監視を強化します。 管理者は、これらの外部ユーザーが持つアクセスを、ユーザーのアプリ/リソースに制限できます。 | 組織のテナント間でのコラボレーションを有効にします。 管理者は、組織内のアプリやリソースへの継続的なアクセスを確保するために、テナント間でユーザーを手動で招待および同期する必要はありません。 | 組織のテナント間でのコラボレーションを有効にします。 管理者は、テナント間アクセス設定を使用して、完全な構成機能を引き続き使用できます。 オプションのテナント間アクセス テンプレートを使用すると、テナント間アクセス設定を事前構成できます。 |
主な管理者のワークフロー | テナント間アクセスを構成し、外部ユーザーが自分のホーム テナントの資格情報を使用してテナントに受信アクセスできるようにします。 | B2B 招待プロセスを使用して外部ユーザーをリソース テナントに追加するか、B2B コラボレーション招待マネージャーを使用して独自のオンボード エクスペリエンスを構築します。 | B2B コラボレーション ユーザーとして複数のテナント間でユーザーを同期するようにテナント間同期エンジンを構成します。 | マルチテナント組織を作成し、テナントを追加 (招待) し、マルチテナント組織に参加します。 既存の B2B コラボレーション ユーザーを活用するか、テナント間同期を使用して B2B コラボレーション ユーザーをプロビジョニングします。 |
信頼レベル | 中程度の信頼。 B2B 直接接続ユーザーの追跡はそれほど容易ではなく、外部組織との間で一定レベルの信頼が必要です。 | 低から中程度の信頼。 ユーザー オブジェクトを容易に追跡でき、詳細な制御を使用して管理できます。 | 高い信頼。 すべてのテナントは同じ組織の一部であり、ユーザーは通常、すべてのアプリ/リソースへのメンバー アクセスを許可されます。 | 高い信頼。 すべてのテナントは同じ組織の一部であり、ユーザーは通常、すべてのアプリ/リソースへのメンバー アクセスを許可されます。 |
ユーザーに対する影響 | ユーザーは自分のホーム テナントの資格情報を使用してリソース テナントにアクセスします。 ユーザー オブジェクトはリソース テナントに作成されません。 | 外部ユーザーは B2B コラボレーション ユーザーとしてテナントに追加されます。 | 同じ組織内で、ユーザーは B2B コラボレーション ユーザーとして自分のホーム テナントからリソース テナントに同期されます。 | 同じマルチテナント組織内では、B2B コラボレーション ユーザー (特にメンバー ユーザー) は、Microsoft 365 全体で強化されたシームレスなコラボレーションの恩恵を受けることができます。 |
ユーザーの種類 | B2B 直接接続ユーザー - 該当なし |
B2B コラボレーション ユーザー - 外部メンバー - 外部ゲスト (既定) |
B2B コラボレーション ユーザー - 外部メンバー (既定) - 外部ゲスト |
B2B コラボレーション ユーザー - 外部メンバー (既定) - 外部ゲスト |
次の図は、B2B 直接接続、B2B コラボレーション、テナント間同期の機能を組み合わせて使用する方法を示しています。
用語
マルチテナント組織シナリオに関連する Microsoft Entra 機能をより深く理解するには、次の用語リストを参照してください。
任期 | 定義 |
---|---|
テナント | Microsoft Entra ID のインスタンス。 |
組織 | ビジネス階層の最上位レベル。 |
マルチテナント組織 | Microsoft Entra ID の複数のインスタンスに加えて、それらのインスタンスを Microsoft Entra ID でグループ化する機能を持つ組織。 |
テナント間 | マルチテナント組織を作成したテナント。 |
所有者テナント | 所有者ロールを持つテナント。 最初は、作成者テナントです。 |
追加されたテナント | 所有者テナントによって追加されたテナント。 |
参加者テナント | マルチテナント組織に参加しているテナント。 |
参加要求 | 参加者テナントまたは追加されたテナントによって、マルチテナント組織に参加するための参加要求が送信されます。 |
保留中のテナント | 所有者によって追加されたが、まだ参加していないテナント。 |
アクティブなテナント | マルチテナント組織を作成または参加したテナント。 |
メンバー テナント | メンバー ロールを持つテナント。 ほとんどの参加者テナントはメンバーとして開始します。 |
マルチテナント組織のテナント | マルチテナント組織のアクティブなテナント。保留中ではありません。 |
テナント間同期 | 組織のテナント間で B2B コラボレーション ユーザーの作成、更新、削除を自動化する、Microsoft Entra ID の一方向同期サービス。 |
テナント間アクセス設定 | 特定の Microsoft Entra 組織のコラボレーションを管理するための設定。 |
テナント間アクセス設定テンプレート | マルチテナント組織に新しく参加するパートナー テナントに適用されるテナント間アクセス設定を事前構成するためのオプションのテンプレート。 |
組織の設定 | 特定の Microsoft Entra 組織のテナント間アクセス設定。 |
configuration | テナント間同期に必要な設定 (ターゲット テナント、ユーザー スコープ、属性マッピングなど) を含む、Microsoft Entra ID のアプリケーションと基になるサービス プリンシパル。 |
プロビジョニング | 境界を越えてオブジェクトを自動的に作成または同期するプロセス。 |
自動引き換え | 新しく作成されたユーザーが招待メールを受信せず、ターゲット テナントに追加されたときに同意プロンプトを受け入れる必要もないように、招待を自動的に引き換えるための B2B 設定。 |