マルチテナント型のコラボレーションの展開

[アーティクル]
03/10/2022

目標

一般的な展開シナリオ 2 を展開する方法について説明します。

アカウントの種類

この記事では、次のようなアカウントの種類を使って説明します。

社内アカウント: 社内ユーザーのために、自社のテナント内に作成された Azure Active Directory (Azure AD) アカウント。
ゲストアカウント: テナント外のユーザーに 1 つ以上の Teams チームまたはチャネルへのゲストアクセスを提供する場合に、テナント内に作成される Azure AD アカウント。電子メールを使用してテナント外のユーザーをテナントに "ゲスト" として招待することができます。
1. そのユーザーのメールが、既に 1 つの他のテナントの Azure AD アカウントに関連付けられている場合、そのユーザーは 2 つのテナントに含まれることになります。そのユーザーは、元のネイティブテナントのメンバーであり、さらにテナントのゲストになったことになります。
2. そのユーザーのメールが、他のどのテナントの Azure AD アカウントにも関連付けられていない場合、そのユーザーは 1 つのテナントに含まれることになります。そのユーザーは、今回テナントのゲストになったことになります。

シナリオの概要

図1.1 で示すシナリオでは、ある企業が同じ社内で、さまざまな組織と事業部にわたって、複数のテナントを利用します。テナント ABC の Teams ユーザーは、テナント Contoso1 およびテナント Contoso2 の Dynamics 365 Remote Assist ユーザーと共同作業する必要があります。

追加詳細:

テナント Contoso1 とテナント Contoso2 の各技術者は、既に Dynamics 365 Remote Assist ライセンスと Teams ライセンスを所有しています。
テナント ABC の各エキスパートは、既に Teams ライセンスを所有しています。 Teams を使用するエキスパートには、Dynamics 365 Remote Assist ライセンスは必要ありません。
テナント ABC の Teams ユーザーは、テナント Contoso1 の Dynamics 365 Remote Assist ユーザーを検索して共同作業する必要があります。その逆も必要です。
テナント ABC の Teams ユーザーは、テナント Contoso2 の Dynamics 365 Remote Assist ユーザーを検索して共同作業する必要があります。その逆も必要です。
テナント Contoso1 の Remote Assist ユーザーは、テナント Contoso2 の Dynamics 365 Remote Assist ユーザーの検索や共同作業を行う必要はありません。その逆も必要ありません。

図 1.1 テナント ABC が複数の外部テナントとやり取りする必要があることを示す図。

この場合、外部アクセス または ゲストアクセス を設定して、異なるテナントのユーザーが相互に共同作業を行えるようにする必要があります。

ソリューション1: 外部アクセス (フェデレーション)

[!NOTE] 現時点で、外部アクセスは Dynamics 365 Remote Assist モバイルユーザーとの通話ではサポートされていません。

Teams の 外部アクセス 機能により、外部テナント全体の Teams ユーザーが、Teams を使用してテナントのユーザーとの会議の検索、通話、チャット、設定を行うことができます。外部アクセスを使用するタイミングの例については、こちらを参照してください。

外部アクセスには、次の 3 つのオプションがあります。

オープンフェデレーション (Teams の既定の設定)
「特定のドメインを許可」
「特定のドメインを拒否」

図 1.2 では、テナント ABC とテナント Contoso1 は相互に外部アクセスが有効で、テナント ABC とテナント Contoso2 も相互に外部アクセスが有効です。テナント Contoso1 とテナント Contoso2 は相互に外部アクセスが 有効ではありません。今:

テナント ABC の Teams ユーザーは、テナント Contoso1 の Dynamics 365 Remote Assist ユーザーを検索して共同作業できます。その逆もできます。
テナント ABC の Teams ユーザーは、テナント Contoso2 の Dynamics 365 Remote Assist ユーザーを検索して共同作業できます。その逆もできます。 -_テナント Contoso1 の Dynamics 365 Remote Assist ユーザーは、テナント Contoso2 の Dynamics 365 Remote Assist ユーザーの検索や共同作業ができません。その逆も不可です。

図 1.2 さまざまなテナントが相互に関連している状況を示す図。

外部アクセスの長所と短所

長所	短所
通常は、オープンフェデレーションが既定で有効になっています。	オープンフェデレーションを使用しない場合は、テナント管理が必要になることがあります。
オープンフェデレーションが既定で有効になっていない場合は、簡単にテナントで構成できます。	オープンフェデレーションは、追加のテナントの側での構成が必要となります。
	外部アクセスの制御機能は、ゲストアクセスよりも限られています。ユーザーに特定の Teams チームまたはチャネルへのゲストアクセスを提供する場合、そのユーザーは、「ゲストとして招待」された特定のチームまたはチャネルのユーザーのみを検索して共同作業を行うことができます。テナントで別のテナントの外部アクセスを有効にすると、各テナントのすべてのユーザーが、他のテナント内のすべてのユーザーを検索して共同作業できます。
	外部アクセスで有効になる制御機能は、ゲストアクセスよりも限られています。たとえば、外部アクセスを使用している場合、異なるテナントの Dynamics 365 Remote Assist ユーザーと Teams ユーザーは、相互にグループ通話に参加したり、ファイルを共有したりすることはできません。外部アクセス機能とゲストアクセス機能の詳細な比較は、 この記事 を参照してください。

注意

各テナントは、同じ外部アクセス構成である 必要はありません。テナント Contoso1 とテナント Contoso2 は拒否または許可の設定でも、テナント ABC は オープンフェデレーション でかまいません。

注意

ユーザーがテナント外のコラボレーターとの Dynamics 365 Remote Assist 通話を開始する場合、そのユーザーはテナント外のコラボレーターの完全なメールアドレスを入力する必要があります。

外部アクセス (フェデレーション) の実装

一般法人向け環境での HoloLens のデプロイの記事の手順を実行している場合には、このソリューションを実装する前に、その記事に戻ってください。

3 種類の外部アクセスを実装する方法、および設定をテストする方法については、こちらをご確認ください。

ソリューション2: ゲストアクセス

ゲストアクセスを使用して、Teams 管理者またはメンバーは、テナント外部の個々のユーザーを特定の Teams チームおよびチャネルに追加できます。

図1.3 に、ゲストアクセスが設定されている場合のテナントアーキテクチャを示します。 Expert1@ABC.com および Expert2@ABC.com と共同作業する必要のある Dynamics 365 Remote Assist ユーザーがいる各テナントは、各エキスパートを特定の Teams チームまたはチャネルの「ゲストとして招待」しています。今:

Expert1@ABC.com がテナント ABC 内の Teams を使用する場合、Expert1@ABC.com は、テナント ABC の内部ユーザーおよびその他のゲストを検索して共同作業できます。 Expert2@ABC.com の場合も同様です。
Expert1@ABC.com がテナント Contoso1 内の Teams を使用する場合、Expert1@ABC.com は、テナント Contoso1 の内部ユーザーおよびその他のゲストを検索して共同作業できます。 Expert2@ABC.com の場合も同様です。
Expert1@ABC.com がテナント Contoso2 内の Teams を使用する場合、Expert1@ABC.com は、テナント Contoso2 の内部ユーザーおよびゲストを検索して共同作業できます。 Expert2@ABC.com の場合も同様です。

注意

Teams ユーザーと異なり、Dynamics 365 Remote Assist ユーザーは、1 つのテナントでのみ Dynamics 365 Remote Assist を使用できます。そのため、Teams ユーザーが Dynamics 365 Remote Assist ユーザーを Teams テナントにゲストとして招待することはお勧めしません。

図 1.3 外部テナントと、内部テナントのマッピングを示す図。

長所	短所
テナント Contoso1 およびテナント Contoso2 は、テナント ABC のすべてのユーザーと共同作業する代わりに、特定の Teams ユーザーへのゲストアクセスを提供することができます。	ゲストアクセスは、外部アクセスと比較して、より多くのユーザー管理が必要な場合があります。
ゲストアクセスでは、より多くの制御機能を利用できます。たとえば、特定の Teams チームまたはチャネルにゲスト招待されているテナント外ユーザーは、同じ Teams チームまたはチャネル内の他のユーザーのみ検索して共同作業できます。ゲスト構成機能と外部アクセス機能の詳細な比較は、 この記事 を参照してください。	Teams ユーザーは、一度に 1 つのテナントのみで Teams を使用できます。つまり、エキスパートが現在技術者のテナントで Teams を使用している場合のみ、エキスパートは特定のテナントの技術者とやり取りすることができます。この例では、Expert1@ABC.com は、ネイティブテナント (テナント ABC) 内のメンバーであり、テナント Contoso1 のゲストであり、テナント Contoso2 のゲストです。したがって、Expert1@ABC.com がテナント Contoso1 で Teams を使用している場合のみ、Expert1@ABC.com はテナント Contoso1 の技術者と共同作業できます。 Teams デスクトップアプリケーションを使用しているときに、テナントを切り替えるには、Teams の右上隅に移動し、現在使用しているテナントの名前 (プロファイル画像の左側に表示されます) を選択してから、切り替え先のテナントを選択します。 Teams モバイルアプリケーションを使用しているときにテナントを切り替えるには、Teams の左上隅に移動し、メニューを選択して、切り替え先のテナントを選択します。

長所

短所

テナント Contoso1 およびテナント Contoso2 は、テナント ABC のすべてのユーザーと共同作業する代わりに、特定の Teams ユーザーへのゲストアクセスを提供することができます。

ゲストアクセスは、外部アクセスと比較して、より多くのユーザー管理が必要な場合があります。

ゲストアクセスでは、より多くの制御機能を利用できます。たとえば、特定の Teams チームまたはチャネルにゲスト招待されているテナント外ユーザーは、同じ Teams チームまたはチャネル内の他のユーザーのみ検索して共同作業できます。ゲスト構成機能と外部アクセス機能の詳細な比較は、 この記事 を参照してください。

Teams ユーザーは、一度に 1 つのテナントのみで Teams を使用できます。つまり、エキスパートが現在技術者のテナントで Teams を使用している場合のみ、エキスパートは特定のテナントの技術者とやり取りすることができます。この例では、Expert1@ABC.com は、ネイティブテナント (テナント ABC) 内のメンバーであり、テナント Contoso1 のゲストであり、テナント Contoso2 のゲストです。したがって、Expert1@ABC.com がテナント Contoso1 で Teams を使用している場合のみ、Expert1@ABC.com はテナント Contoso1 の技術者と共同作業できます。

Teams デスクトップアプリケーションを使用しているときに、テナントを切り替えるには、Teams の右上隅に移動し、現在使用しているテナントの名前 (プロファイル画像の左側に表示されます) を選択してから、切り替え先のテナントを選択します。

Teams モバイルアプリケーションを使用しているときにテナントを切り替えるには、Teams の左上隅に移動し、メニューを選択して、切り替え先のテナントを選択します。

詳細については、Microsoft Teams のゲストアクセスの仕組みの記事を参照してください。

ゲストアクセスの実装

完全な実装手順については、Microsoft Teams のゲストアクセスのチェックリストを参照してください。

注意

ドキュメントの言語設定についてお聞かせください。簡単な調査を行います。 (この調査は英語です)

この調査には約 7 分かかります。個人データは収集されません (プライバシーステートメント)。