Azure Virtual Network Manager でのテナント間サポート

この記事では、Azure Virtual Network Manager でのテナント間サポートについて説明します。 テナント間のサポートにより、組織は中央のネットワーク マネージャー インスタンスを使用して、異なるテナントとサブスクリプション間で仮想ネットワークを管理できます。

テナント間の概要

Azure Virtual Network Manager でのテナント間サポートを使用すると、他のテナントからネットワーク マネージャーにサブスクリプションまたは管理グループを追加できます。 これは、ネットワーク マネージャーとターゲット テナントの間に双方向接続を確立することによって行われます。 接続されると、中央マネージャーは、接続されたサブスクリプションまたは管理グループ全体の仮想ネットワークに接続やセキュリティ管理規則をデプロイできます。 このサポートは、次のシナリオに適合する組織を支援します。

• 取得 – 組織が買収を通じて結合し、複数のテナントを持つインスタンスでは、テナント間のサポートにより、中央ネットワーク マネージャーがテナント全体の仮想ネットワークを管理できます。

• マネージド サービス プロバイダー – マネージド サービス プロバイダーのシナリオでは、組織が他の組織のリソースを管理できます。 テナント間サポートにより、複数のクライアントに対する中央サービス プロバイダーによる仮想ネットワークの一元管理が可能になります。

テナント間接続

テナント間のサポートを確立するには、まず、2 つのテナント間にクロス テナント接続を作成します。 テナント間のサポートには、ネットワーク マネージャーから、もう 1 つはターゲット テナントの仮想ネットワーク マネージャー ハブからの双方向の同意が必要です。 接続は次のとおりです。

• ネットワーク マネージャー接続 - ネットワーク マネージャーからテナント間接続を作成します。 接続には、ネットワーク マネージャーで管理するテナントのサブスクリプションまたは管理グループの正確なスコープが含まれます。
• 仮想ネットワーク マネージャー ハブ接続 - テナントは、仮想ネットワーク マネージャー ハブからテナント間接続を作成します。 この接続には、中央ネットワーク マネージャーによって管理されるサブスクリプションまたは管理グループのスコープが含まれます。

両方のテナント間接続が存在し、スコープがまったく同じになると、実際に接続が確立されます。 管理者は、ネットワーク マネージャーを使って、テナント間リソースを ネットワーク グループ に追加し、接続スコープに含まれる仮想ネットワークを管理できます。 既存の接続やセキュリティ管理規則は、既存の構成に基づいてリソースに適用されます。

テナント間接続は、各パーティの両方のオブジェクトが存在する場合にのみ確立および維持できます。 いずれかの接続が削除されると、テナント間接続が切断されます。 テナント間接続を削除する必要がある場合は、次の操作を実行します。

• Azure portal で [Cross-tenant connections] (テナント間接続) 設定を使用して、ネットワーク マネージャー側からテナント間接続を削除します。
• Azure portal で仮想ネットワーク マネージャー ハブの [Cross-tenant connections] (テナント間接続) 設定を使用して、テナント側からテナント間接続を削除します。

Note

いずれかの側から接続が削除されると、ネットワーク マネージャーは、以前の接続のスコープの下でテナントのリソースを表示または管理できなくなります。

接続の状態

テナント間接続の作成に必要となるリソースには状態が含まれており、関連付けられているスコープが Network Manager スコープに追加されたかどうかを表します。 使用可能な状態の値には以下のものがあります:

• 接続済み: スコープ接続リソースとネットワーク マネージャー接続リソースの両方が存在します。 スコープがネットワーク マネージャーのスコープに追加されました。
• 保留中: 2 つの承認リソースのいずれかが作成されていません。 スコープはまだネットワーク マネージャーのスコープに追加されていません。
• 競合: このサブスクリプションまたは管理グループがスコープ内に定義されているネットワーク マネージャーが既に存在します。 同じスコープ アクセス権を持つ 2 つのネットワーク マネージャーは、同じスコープを直接管理できないため、このサブスクリプション/管理グループをネットワーク マネージャー スコープに追加することはできません。 競合を解決するには、競合するネットワーク マネージャーのスコープからスコープを削除し、接続リソースを再作成します。
• 取り消された: スコープは一度 Network Manager スコープに追加されましたが、承認リソースの削除によって取り消されました。

スコープがネットワーク マネージャー スコープに追加されていることを示す唯一の状態は「接続済み」です。

必要なアクセス許可

Azure Virtual Network Manager でテナント間接続を使用するには、ユーザーに次のアクセス許可が必要です。

• 中央管理テナントの管理者は、ターゲットマネージド テナントにゲスト アカウントを保持しています。

• 管理者ゲスト アカウントには、適切なスコープ レベル (管理グループ、サブスクリプション、または仮想ネットワーク) で適用されるネットワーク 共同作成者 のアクセス許可が含まれます。

アクセス許可の設定に関するヘルプが必要ですか? Azure portal にゲスト ユーザーを追加する方法と、Azure portal のリソースにユーザー ロールを割り当てる方法を確認する

既知の制限事項

現時点では、テナント間仮想ネットワークは、手動でのみネットワーク グループに追加できます。 Azure Policy を介してテナント間仮想ネットワークをネットワーク グループに動的に追加することは、今後の機能となります。

次のステップ

• Azure portal を使用して Azure Virtual Network Manager とのテナント間接続を構成する方法について説明します
• Azure Virtual Network Manager の FAQ を参照してください。