次の方法で共有


マルチテナントの Azure ランディング ゾーン シナリオに関する考慮事項と推奨事項

Azure ランディング ゾーンと複数の Microsoft Entra テナント」の記事では、管理グループ、Azure Policy およびサブスクリプションが Microsoft Entra テナントとどのように対話して動作するかについて説明しています。 この記事では、これらのリソースが 1 つの Microsoft Entra テナント内で動作する場合の制限について説明します。 これらの条件下で、複数の Microsoft Entra テナントが存在する場合、または組織に必要な場合は、Azure ランディング ゾーンを各 Microsoft Entra テナントに個別にデプロイする必要があります。

複数の Microsoft Entra テナントを持つ Azure ランディング ゾーン

Azure ランディング ゾーンがデプロイされた複数の Microsoft Entra テナントの図。

前の図は、Contoso Corporation の例を示しています。Contoso Corporation は、時間の経過とともに企業が成長したため、合併と買収により、4 つの Microsoft Entra テナントを持っています。

Microsoft Entra テナント *.onmicrosoft.com ドメイン 使用上の注意
contoso.onmicrosoft.com Contoso Corporation が使用する企業のプライマリ Microsoft Entra テナント。 このテナントでは、Azure と Microsoft 365 のサービスが使用されます。
fabrikam.onmicrosoft.com Fabrikam が使用するプライマリ Microsoft Entra テナント。 このテナントでは、Azure と Microsoft 365 のサービスが使用されます。 このテナントは、Contoso Corporation による買収以降、分離されたままになっています。
tailwind.onmicrosoft.com Tailwind が使用するプライマリ Microsoft Entra テナント。 このテナントでは、Azure と Microsoft 365 のサービスが使用されます。 このテナントは、Contoso Corporation による買収以降、分離されたままになっています。
contoso365test.onmicrosoft.com Contoso Corporation が Microsoft Entra ID と Microsoft 365 のサービスと構成をテストするためだけに使用する Microsoft Entra テナント。 すべての Azure 環境は、contoso.onmicrosoft.com Microsoft Entra テナント内に存在します。

Contoso Corporation は、contoso.onmicrosoft.com の 1 つの Microsoft Entra テナントから始めました。 やがて、他の会社を複数買収し、これらの会社を Contoso Corporation に取り込みました。

Fabrikam (fabrikam.onmicrosoft.com) と Tailwind (tailwind.onmicrosoft.com) の買収により、Microsoft 365 (Exchange Online、SharePoint、OneDrive) と Azure サービスが使用されている既存の Microsoft Entra テナントも取り込まれました。 これらの会社と関連する Microsoft Entra テナントは、Contoso Corporation とその会社の一部が将来売却される可能性があるため、分離されたままになっています。

Contoso Corporation には、Microsoft Entra ID と Microsoft 365 のサービスと機能のテストのみを目的とした、個別の Microsoft Entra テナントがあります。 ただし、この個別の Microsoft Entra テナントでは、Azure サービスはテストされません。 これらは、contoso.onmicrosoft.com Microsoft Entra テナントでテストされます。

ヒント

Azure ランディング ゾーンと、Azure ランディング ゾーン環境内の Azure ワークロードとリソースのテストの詳細については、次を参照してください。

Note

Azure ランディング ゾーンは、1 つの Microsoft Entra テナント内にデプロイされます。 Azure リソースをデプロイする Microsoft Entra テナントが複数あり、Azure ランディング ゾーンを使用してそれらを制御、管理、監視する場合は、それらの各テナント内に Azure ランディング ゾーンを個別にデプロイする必要があります。

マルチテナントの Azure ランディング ゾーン シナリオに関する考慮事項と推奨事項

このセクションでは、Azure ランディング ゾーンと Microsoft Entra マルチテナントのシナリオと使用に関する主な考慮事項と推奨事項について説明します。

考慮事項

  • Microsoft Entra テナント設計に対するシングル テナント アプローチから始めます。
    • 通常、シングル テナントは、ユーザーの ID が存在し、Microsoft 365 などのサービスが実行されている組織の企業 Microsoft Entra テナントです。
    • 企業の Microsoft Entra テナントを使用しても満たされない要件がある場合にのみ、追加の Microsoft Entra テナントを作成します。
  • Microsoft Entra ID 管理単位を使用して、1 つの Microsoft Entra テナント内のユーザー、グループ、およびデバイス (異なるチームなど) の分離と隔離を管理することを検討してください。 複数の Microsoft Entra テナントを作成する代わりに、このリソースを使用します。
  • 最初のアプリケーション ワークロードの開発と調査には、サンドボックス サブスクリプションの使用を検討してください。 詳しくは、Azure ランディング ゾーン アーキテクチャで "開発/テスト/運用" ワークロード ランディング ゾーンを処理する方法に関するページを参照してください。
  • Microsoft Entra テナント間での Azure サブスクリプションの移行は複雑であり、移行を有効にするには、移行前と移行後のアクティビティを完了させる必要があります。 詳細については、Azure サブスクリプションを別の Microsoft Entra ディレクトリに移転するに関するページを参照してください。 移行先テナントの新しい Azure サブスクリプションでアプリケーション ワークロードを再構築する方が簡単です。 移行をより詳細に制御できます。
  • 複数の Microsoft Entra テナントの管理、運営、構成、監視、セキュリティ保護の複雑さを考慮してください。 1 つの Microsoft Entra テナントは、管理、運営、セキュリティ保護が簡単です。
  • JML (入社、異動、退職) プロセス、ワークフロー、ツールについて検討してください。 これらのリソースが複数の Microsoft Entra テナントをサポートし、処理できることを確認してください。
  • エンド ユーザーが自分で複数の ID を管理、運営、セキュリティ保護する場合の影響を考慮してください。
  • 複数の Microsoft Entra テナントを選択する場合は、特にエンド ユーザーの観点から、テナント間のコラボレーションへの影響を考慮してください。 1 つの Microsoft Entra テナント内のユーザー間の Microsoft 365 コラボレーション エクスペリエンスとサポートが最適です。
  • アプローチを選択する前に、複数の Microsoft Entra テナントにわたる監査と規制コンプライアンス チェックへの影響を考慮してください。
  • 複数の Microsoft Entra テナントを使用する場合はライセンス コストの増加を考慮してください。 Microsoft Entra ID P1 や P2、Microsoft 365 サービスなどの製品のライセンスは、複数の Microsoft Entra テナントにまたがりません。
  • 1 つのEnterprise Agreement 加入契約では、職場および学校アカウントのクロステナントに対する加入契約の認証レベルを設定することで、複数の Microsoft Entra テナントに対するサブスクリプションをサポートし、提供できます。 詳細については、「Azure EA Portal の管理」を参照してください。
  • 1 つの Microsoft 顧客契約で、複数の Microsoft Entra テナントに対するサブスクリプションをサポートし、提供できます。 詳細については、「Microsoft 顧客契約の課金アカウントでテナントを管理する」を参照してください。
  • Microsoft Entra マルチテナント アーキテクチャを選択する場合は、アプリケーション チームと開発者に対して発生する可能性がある制限事項を考慮してください。 Azure Virtual Desktop、Azure Files、Azure SQL など、Azure 製品とサービスの Microsoft Entra 統合に関する制限事項に注意してください。 詳細については、この記事の「Azure 製品とサービスの Microsoft Entra 統合」セクションを参照してください。
  • 組織に複数の Microsoft Entra テナントがある場合は、Azure Microsoft Entra B2B を使用してユーザー エクスペリエンスと管理を簡素化および強化することを検討してください。
  • 開発者が 1 つの Azure サブスクリプションと 1 つのテナント内でアプリケーションを作成できるように、B2B および B2C 機能を持つ Microsoft Entra ID を含む、Microsoft ID プラットフォームを使用することを検討してください。 この方法は、多くの ID ソースのユーザーをサポートします。 詳細については、「マルチテナント アプリ」および「Azure でのマルチテナント ソリューションの設計」を参照してください。
  • マルチテナント組織で利用可能な機能の使用を検討してください。 詳細については、Microsoft Entra ID でのマルチテナント組織とは何かに関する記事を参照してください。
  • Azure ランディング ゾーンを最新の状態に保つことを検討してください。

Azure 製品とサービスの Microsoft Entra 統合

多くの Azure 製品とサービスでは、ネイティブの Microsoft Entra 統合の一部として Microsoft Entra B2B がサポートされていません。 Microsoft Entra 統合の一部として Microsoft Entra B2B 認証をサポートするサービスはごくわずかです。 サービスの既定では、Microsoft Entra 統合の一部として Microsoft Entra B2B をサポートしない方が安全です。

Azure Storage、Azure SQL、Azure Files、Azure Virtual Desktop など、Microsoft Entra ID とのネイティブ統合を提供するサービスでは、"ワンクリック" または "クリックなし" スタイルのアプローチを使用して統合します。 サービスの一部として認証と認可のシナリオが必要になります。 このアプローチは通常、"ホーム テナント" に対してサポートされます。一部のサービスでは、Microsoft Entra B2B/B2C シナリオのサポートが可能になる場合があります。 Azure サブスクリプションの Microsoft Entra ID との関係についての詳細については、「Microsoft Entra テナントに Azure サブスクリプションを関連付ける、または追加する」を参照してください。

Azure サブスクリプションが関連付けられる Microsoft Entra テナントを慎重に検討することが重要です。 この関係によって、ID をサポートする必要があるアプリケーションまたはワークロード チームが使用する製品とサービスおよびその機能、および ID の属するテナントが決定されます。 通常、ID は企業の Microsoft Entra テナントにあります。

すべての Azure サブスクリプションをホストするために複数の Microsoft Entra テナントが使用されている場合、アプリケーション ワークロード チームは一部の Azure 製品とサービスの Microsoft Entra 統合を利用できません。 アプリケーション ワークロード チームが、これらの課せられた制限事項を回避してアプリケーションを開発する必要がある場合、認証と認可のプロセスはより複雑になり、安全性が低下します。

1 つの Microsoft Entra テナントをすべての Azure サブスクリプションのホームとして使用することで、この問題を回避します。 シングル テナントは、アプリケーションまたはサービスの認証と認可に最適なアプローチです。 この単純なアーキテクチャにより、アプリケーション ワークロード チームが管理、運営、制御すべきことが少なくなり、潜在的な制約が取り除かれます。

詳細については、「シングル テナントでのリソースの分離」を参照してください。

推奨事項

重要

Microsoft は、アクセス許可が最も少ないロールを使用することを推奨しています。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。

次のステップ