マルチテナント組織の制限事項
この記事では、Microsoft Entra ID と Microsoft 365 全体でマルチテナント組織機能を使用する場合に注意すべき制限事項について説明します。 UserVoice のマルチテナント組織機能に関するフィードバックを提供するには、Microsoft Entra UserVoice を参照してください。 Microsoft では、サービスを改善するために UserVoice を注意深く確認しています。
範囲
この記事で説明する制限事項には、次を対象としています。
| Scope | 説明 |
|---|---|
| 対象 | - 相互プロビジョニングされた B2B メンバーとの新しい Microsoft Teams におけるシームレスなコラボレーション エクスペリエンスをサポートするための、マルチテナント組織に関する Microsoft Entra 管理者の制限事項 - 一元的にプロビジョニングされた B2B メンバーとの Microsoft Viva Engage におけるシームレスなコラボレーション エクスペリエンスをサポートするための、マルチテナント組織に関する Microsoft Entra 管理者の制限事項 |
| 関連するスコープ | - マルチテナント組織に関連する Microsoft 365 管理センターの制限事項 - Microsoft 365 マルチテナント組織ユーザーの検索エクスペリエンス - Microsoft 365 に関連するテナント間同期の制限事項 |
| 対象範囲外 | - Microsoft 365 とは無関係のテナント間同期 - 新しい Teams でのエンド ユーザー エクスペリエンス - Viva Engage のエンド ユーザー エクスペリエンス - テナントの移行または統合 |
| サポートされていないシナリオ | - 学生のシナリオを含む教育テナントでのマルチテナント組織 Microsoft 365 Government のマルチテナント組織 - 従来の Teams のマルチテナント組織間のシームレスなコラボレーション エクスペリエンス - 100 を超えるテナントを持つマルチテナント組織向けのセルフサービス - 21Vianet が運営する Azure Government または Microsoft Azure のマルチテナント組織 - クラウド間マルチテナント組織 |
Microsoft 365 管理センターを使用してマルチテナント組織の作成または参加を行う
Microsoft 365 管理センターでマルチテナント組織を作成すると、Microsoft 管理センターで作成されたテナント間同期構成が
MTO_Sync_<TenantID>という名前で表示されます。 Microsoft 365 管理センターに、Microsoft 365 管理センターが作成し管理する構成として認識させたい場合は、名前の編集や変更は控えてください。Microsoft Entra ID で作成された同期ジョブは、Microsoft 365 管理センターには表示されません。 Microsoft 365 管理センターには、[Outbound sync status] (送信同期状態) が [構成されていない] と示されます。 これは正しい動作です。 Microsoft 365 管理センターには、Microsoft Entra 管理センターで作成されたテナント間同期ジョブを制御するためにサポートされているパターンはありません。
クロステナント アクセス設定
Microsoft Entra ID のテナント間同期では、対象のテナントが ID 同期用のテナント間アクセス設定で受信同期を許可する前に、テナント間同期構成を確立することはサポートされていません。
そのため、マルチテナント組織の作成前に、
userSyncInboundを true に設定して、ID 同期用のテナント間アクセス設定テンプレートを使用することをお勧めします。同様に、マルチテナント組織の作成前に、
automaticUserConsentSettings.inboundAllowedとautomaticUserConsentSettings.outboundAllowedを true に設定して、パートナー構成用のテナント間アクセス設定テンプレートを使用することをお勧めします。
参加要求
結合要求が失敗する理由は複数あります。 Microsoft 365 管理センターで参加要求が成功しない理由が示されない場合は、Microsoft Graph API または Microsoft Graph エクスプローラーを使用して、参加要求への応答を調べてみてください。
マルチテナント組織を作成する正しい手順に従い、マルチテナント組織にテナントを追加しても、追加されたテナントの参加要求が失敗し続ける場合は、Microsoft Entra または Microsoft 365 管理センターにサポート リクエストを送信してください。
外部メンバー ユーザーをプロビジョニングするためのオプション
- 既に Microsoft Entra テナント間同期を使用している場合は、さまざまなマルチハブ マルチスポーク トポロジに対して、Microsoft 365 管理センターの共有ユーザー機能を使用する必要はありません。 代わりに、既存の Microsoft Entra テナント間同期ジョブを引き続き使用できます。
- Microsoft Entra テナント間同期を使用したことがなく、同じユーザー セットがすべてのマルチテナント組織テナントに共有される共同作業ユーザー セット トポロジを確立する場合は、Microsoft 365 管理センターのユーザー共有機能を使用できます。
- 独自の大規模なユーザー プロビジョニング エンジンを既にお持ちの場合は、引き続きその独自のエンジンを使用して従業員のライフサイクルを管理しながら、新しいマルチテナント組織のベネフィットを利用できます。
- 個別の外部メンバー ユーザーを、ソース テナントからプロビジョニング エンジンを使用して作成するのではなく、ホスト テナントで作成する必要がある場合は、「ユーザーを作成、招待、削除する方法」を参照してください。
Microsoft Entra 管理センターでのテナント間同期
複雑な ID 構成を持つエンタープライズ組織の場合は、Microsoft Entra 管理センターでのテナント間同期を使用することをお勧めします。
既定では、新しい B2B ユーザーは B2B メンバーとしてプロビジョニングされますが、既存の B2B ゲストは B2B ゲストのままです。 [このマッピング を "常に" に適用する] を設定して、B2B ゲストを B2B メンバーに変換することを選択できます。
既定では、
showInAddressListは true としてターゲット テナントに同期されます。 この属性マッピングは、組織のニーズに合わせて調整できます。B2B ユーザーの大規模なプロビジョニングは、連絡先オブジェクトと競合する可能性があります。 現在、連絡先オブジェクトの処理または変換はサポートされていません。
テナント間同期を使用して、B2B ユーザーに変換されたハイブリッド ID をターゲットにすることは、現在サポートされていません。
Microsoft 365 管理センターでユーザーを同期する
小規模なマルチテナント組織の場合は、Microsoft 365 管理センターを使用して、マルチテナント組織の複数のテナントにユーザーを同期することをお勧めします。
Microsoft 365 管理センターでは、ユーザーを共有するために、ターゲット テナントごとに 1 つずつ、複数のテナント間同期ジョブを作成し、すべてのジョブで同じユーザー スコープを維持します。
Microsoft 365 管理センターでテナント間同期ジョブが作成されたら、属性マッピングを組織のニーズに合わせて Microsoft Entra 管理センターで調整できます。
ホスト テナントで管理されている B2B ゲストまたは B2B メンバー
B2B ゲストの B2B メンバーへの昇格は、マルチテナント組織が B2B メンバーを組織の信頼できるユーザーと見なす戦略的決定を表します。 B2B メンバーの既定のアクセス許可を確認します。
組織がマルチテナント組織テナント間での B2B ユーザーのプロビジョニングを含むマルチテナント組織機能をロールアウトする際に、一部のユーザーを B2B ゲストとしてプロビジョニングし、他のユーザーを B2B メンバーとしてプロビジョニングできます。
ホスト テナント管理者は、B2B ゲストを B2B メンバーに昇格するために、userType を (このプロパティが繰り返し同期されないと想定して) 変更できます。
テナント間同期を使用して管理される B2B ゲストまたは B2B メンバー
テナント間同期を使用して userType プロパティを繰り返し同期する場合、ソース テナント管理者は属性マッピングを修正できます。
ソース テナントに 2 つの Microsoft Entra テナント間同期構成を確立し、一方では userType 属性マッピングを B2B ゲストに構成し、もう一方では userType 属性マッピングを B2B メンバーに構成し、それぞれ [Apply this mapping] (このマッピングを適用する) を [常に] に設定します。
ある構成のスコープから別の構成にユーザーを移動すると、ターゲット テナントの B2B ゲストまたは B2B メンバーになるユーザーを簡単に制御できます。 この方法を使用する場合は、削除のターゲット オブジェクト アクションを無効にすることもできます。
ホスト テナントで管理されているグローバル アドレス一覧
B2B ユーザーの showInAddressList プロパティは、Microsoft Graph エクスプローラーまたは Microsoft Graph PowerShell でユーザー管理者特権を使用して更新できます。
ユーザー オブジェクトの showInAddressList プロパティを更新すると、Microsoft Exchange Online でアドレス一覧の受信者を非表示にする設定も更新されます。
アドレス一覧の受信者を非表示にする設定は、showInAddressList プロパティと異なる構成になっている場合、アドレス一覧の表示内容を決定する際に優先されます。
受信者を非表示にする設定を、ユーザーの種類が Guest であるために Exchange 管理センターで構成できない場合は、PowerShell で HiddenFromAddressListsEnabled プロパティを使用して構成できます。
詳細については、「グローバル アドレス一覧にゲストを追加する」を参照してください。
テナント間同期を使用して管理されるグローバル アドレス一覧
- テナント間同期を使用してプロパティを同期する場合、ソース テナントの showInAddressList を使用して、ターゲット テナントでのアドレス一覧の表示を制御できます。
- 反対に、ソース テナントのアドレス一覧の受信者を非表示にする設定を使用して、ターゲット テナントでのアドレス一覧の表示に影響を与えることはできません。
Microsoft アプリ
SharePoint OneDrive ユーザー インターフェイスでは、Fabrikam でファイルを People と共有すると、Contoso の Fabrikam の B2B メンバーが Fabrikam の People にカウントされるため、現在のユーザー インターフェイスは直感に反する可能性があります。
Microsoft 365 管理センター、Microsoft Forms、Microsoft OneNote、Microsoft Planner では、B2B メンバー ユーザーがサポートされない場合があります。
Microsoft Power BI では、B2B メンバーのサポートは現在プレビュー段階です。 B2B ゲスト ユーザーは、引き続き Power BI ダッシュボードにアクセスできます。
Microsoft Power Apps、Microsoft Dynamics 365、および関連するワークロードでは、B2B メンバー ユーザーの機能が制限されている可能性があります。 詳細については、「Microsoft Entra Directory B2B コラボレーションでユーザーを招待する」を参照してください。
Microsoft Purview では、マルチテナント組織の機能はまだサポートされていません。 外部ユーザーとラベル付きコンテンツの既存の機能について、および秘密度ラベルを使用した外部コラボレーションについてご確認ください。
Microsoft Intune では、マルチテナント組織の機能はまだサポートされていません。 外部組織からの準拠デバイスの要求を信頼するための既存の機能についてご確認ください。
B2B ユーザーまたは B2B メンバー
マルチテナント組織の一部として、 既に招待に応じた B2B ユーザーの利用状態のリセットは現在無効になっています。
B2B ユーザーの大規模なプロビジョニングは、連絡先オブジェクトと競合する可能性があります。 現在、連絡先オブジェクトの処理または変換はサポートされていません。
テナント間同期を使用して、B2B ユーザーに変換されたハイブリッド ID をターゲットにすることは、権限の競合の原因の点でテストされておらず、サポートされていません。
サインインされたユーザーは、セキュリティ閲覧者やグローバル閲覧者などのロールの割り当てなしでも、マルチテナント組織およびマルチテナント組織メンバー テナントの基本的な属性を読み取ることができます。
テナント間同期のプロビジョニング解除
既定では、同期ジョブの実行中にプロビジョニング スコープが縮小されると、削除のターゲット オブジェクト アクションが無効になっていない限り、ユーザーはスコープから外れ、論理的に削除されます。 詳細については、「プロビジョニング解除」および「プロビジョニングの対象となるユーザーを定義する」を参照してください。
現時点では、SkipOutOfScopeDeletions はアプリケーション プロビジョニング ジョブに対しては機能しますが、テナント間同期には機能しません。 テナント間同期のスコープから除外されたユーザーの論理的な削除を回避するには、[削除のターゲット オブジェクト アクション] を無効に設定します。