Microsoft Entra ID のテナント
Microsoft Entra ID は、ユーザーやアプリなどのオブジェクトを、テナントと呼ばれるグループに整理します。 テナントを使用すると、管理者は組織内のユーザーと、組織が所有するアプリに対してポリシーを設定して、セキュリティポリシーと運用ポリシーを満たせるようにすることができます。
誰があなたのアプリにサインインできますか?
アプリの開発に関しては、開発者は、アプリの登録時にアプリをシングルテナントまたはマルチテナントに構成することを選択できます。
- シングルテナント アプリは、登録されているテナント (ホーム テナントとも呼ばれます) でのみ使用できます。
- マルチテナント アプリは、ホーム テナントと他のテナントの両方のユーザーが利用できます。
アプリケーションを登録するときは、次のように対象ユーザーを設定することで、アプリケーションをシングルテナントまたはマルチテナントに構成できます。
| 聴衆 | シングル/マルチテナント | サインインできるユーザー |
|---|---|---|
| このディレクトリ内のアカウントのみ | シングル テナント | ディレクトリ内のすべてのユーザー アカウントとゲスト アカウントは、アプリケーションまたは API を使用できます。 対象ユーザーが組織の内部にある場合は、このオプションを使用します。 |
| 任意の Microsoft Entra ディレクトリ内のアカウント | マルチテナント | Microsoft の職場または学校アカウントを持つすべてのユーザーとゲストは、アプリケーションまたは API を使用できます。 これには、Microsoft 365 を使用する学校や企業が含まれます。 対象ユーザーがビジネスまたは教育機関の顧客である場合は、このオプションを使用します。 |
| Microsoft Entra ディレクトリ内のアカウントと個人の Microsoft アカウント (Skype、Xbox、Outlook.com など) | マルチテナント | 職場または学校、または個人の Microsoft アカウントを持つすべてのユーザーは、アプリケーションまたは API を使用できます。 これには、Microsoft 365 を使用する学校や企業、および Xbox や Skype などのサービスへのサインインに使用される個人アカウントが含まれます。 このオプションを使用して、最も幅広い Microsoft アカウントのセットを対象とします。 |
マルチテナント アプリのベスト プラクティス
IT 管理者がテナントで設定できるさまざまなポリシーの数のため、優れたマルチテナント アプリの構築は困難な場合があります。 マルチテナント アプリを構築する場合は、次のベスト プラクティスに従います。
- 条件付きアクセス ポリシーを構成したテナント で、アプリをテストします。
- 最小限のユーザー アクセスの原則に従って、アプリが実際に必要とするアクセス許可のみを要求するようにします。
- アプリの一部として公開するすべてのアクセス許可の適切な名前と説明を指定します。 これにより、ユーザーと管理者は、アプリの API を使用しようとしたときに同意する内容を把握できます。 詳細については、アクセス許可ガイドのベスト プラクティスに関するセクションを参照してください。
手記
マルチテナント アプリケーションは、同じ国内クラウド インスタンスにデプロイできますが、Azure National Cloud にデプロイすることはできません。 例:
- 商用テナントで作成されたマルチテナント アプリケーションは、他の商用テナントに追加できます。
- Azure Government テナントで作成されたマルチテナント アプリケーションは、他の Azure Government テナントに追加できます。
次の手順
Microsoft Entra ID のテナントの詳細については、次を参照してください。
- アプリをマルチテナント に変換する方法