Microsoft Entra ID でのマルチテナント組織とは
マルチテナント組織は、Microsoft Entra ID と Microsoft 365 の機能であり、これを使用して、組織が所有する Microsoft Entra テナントの周囲に境界を定義できます。 ディレクトリ内では、組織を表すテナント グループの形式をとります。 グループ内にあるテナントの各ペアは、B2B Collaboration を構成するために使用できるテナント間アクセス設定によって管理されます。
マルチテナント組織を使用する理由
マルチテナント組織の主な目的を次に示します。
- 組織に属するテナントの周囲に境界を定義する
- 新しい Microsoft Teams でテナント間で共同作業を行う
- Microsoft Viva Engage でテナント間のコラボレーションを行う
対象ユーザーについて
複数の Microsoft Entra テナントを所有し、Microsoft 365 における組織内のテナント間のコラボレーションを効率化する必要がある組織。
Microsoft Teams のマルチテナント組織の機能は、マルチテナント組織のテナント間で B2B Collaboration メンバー ユーザーが相互プロビジョニングされていることを前提として構築されています。
Viva Engage のマルチテナント組織の機能は、B2B Collaboration メンバー ユーザーがハブ テナントに一元的にプロビジョニングされていることを前提として構築されています。
そのため、マルチテナント組織の機能は、B2B Collaboration ユーザー用の一括プロビジョニング エンジン (たとえば、テナント間同期) を使用すると最も的確にデプロイされます。
メリット
マルチテナント組織の主な利点を次に示します。
組織内と組織外のユーザーを区別する
Microsoft Entra ID では、マルチテナント組織内の外部ユーザーと、マルチテナント組織外の外部ユーザーを区別できます。 この区別により、組織内および組織外の外部ユーザーに対して異なるポリシーの適用が容易になります。
Microsoft Teams でのコラボレーション エクスペリエンスの向上
新しい Microsoft Teams では、マルチテナント組織のユーザーは、マルチテナント組織全体で接続されているすべてのテナントからのチャット、通話、会議開始の通知により、テナント間のコラボレーション エクスペリエンスの向上が期待できます。 テナントの切り替えは、よりシームレスで高速です。 詳細については、以下を参照してください:
Viva Engage でのコラボレーション エクスペリエンスの向上
マルチテナント組織向けの Viva Engage を使用すると、複雑で分散した組織が統合ネットワークとして通信できます。 マルチテナント組織のコミュニティ、キャンペーン、イベントから分析にいたるまで、Viva Engage を使用すると、従業員とリーダーが自分たちのマルチテナント組織全体の参加の結合、共有、測定を行うための新たな方法が実現します。 詳細については、以下を参照してください:
マルチテナント組織のメンバー ユーザーとは
マルチテナント組織を定義する際に、外部ユーザー (B2B Collaboration ユーザー) は userType プロパティに基づいて次の方法でセグメント化されます。
- マルチテナント組織内の外部メンバー
- マルチテナント組織内の外部ゲスト
- 組織外の外部メンバー
- 組織外の外部ゲスト
こうして外部ユーザーをセグメント化すると、マルチテナント組織の組織内と組織外の外部ユーザーをより適切に区別できます。
マルチテナント組織内の外部メンバーは、マルチテナント組織メンバー ユーザーと呼ばれる場合があります。
Microsoft 365 のマルチテナント コラボレーション機能を利用すると、マルチテナント組織のメンバー ユーザーとコラボレーションを行うときに、テナント境界を越えてシームレスなコラボレーション エクスペリエンスが得られます。
マルチテナント組織のしくみ
マルチテナント組織の機能を使用すると、組織が所有する Microsoft Entra テナントの周囲に境界を定義でき、テナント管理者間の招待と受け入れフローによって可能になります。 次のリストは、マルチテナント組織の基本的なライフサイクルを説明しています。
マルチテナント組織を定義する
1 人のテナント管理者が、マルチテナント組織をテナントのグループとして定義します。 テナントのグループ化は、リストされた各テナントがマルチテナント組織に参加するアクションを起こすまでは相互的ではありません。 目的は、リストされているすべてのテナント間の相互同意です。
マルチテナント組織に参加する
リストされたテナントのテナント管理者は、マルチテナント組織に参加するためのアクションを実行します。 参加後のマルチテナント組織の関係は、マルチテナント組織に参加したすべてのテナント間で相互的になります。
マルチテナント組織を離脱する
リストされたテナントのテナント管理者は、いつでもマルチテナント組織を離脱できます。 マルチテナント組織を定義したテナント管理者は、リストされたテナントを追加および削除できますが、他のテナントは制御しません。
マルチテナント組織は対等なコラボレーションとして確立されます。 各テナント管理者は、自分のテナントとマルチテナント組織のメンバーシップを常に制御します。
マルチテナント組織の例
次の図は、マルチテナント組織を形成する 3 つのテナント A、B、および C を示しています。
テナント | 説明 |
---|---|
A | 管理者には、A、B、C で構成されるマルチテナント組織が表示されます。 また、B と C のテナント間アクセス設定も表示されます。 |
B | 管理者には、A、B、C で構成されるマルチテナント組織が表示されます。 また、A と C のテナント間アクセス設定も表示されます。 |
C | 管理者には、A、B、C で構成されるマルチテナント組織が表示されます。 また、A と B のテナント間アクセス設定も表示されます。 |
テナントのロールと状態
マルチテナント組織の管理を容易にするために、特定のマルチテナント組織のテナントにはロールと状態が関連付けられています。
テナントのロール | 説明 |
---|---|
所有者 | 1 つのテナントがマルチテナント組織を作成します。 テナントを作成するマルチテナント組織は、所有者のロールを受け取ります。 所有者テナントの権限は、テナントを保留中状態に追加したり、マルチテナント組織からテナントを削除したりすることです。 また、所有者テナントは、他のマルチテナント組織テナントのロールを変更できます。 |
メンバー | 保留中のテナントをマルチテナント組織に追加した後、保留中のテナントはマルチテナント組織に参加して、状態を保留中からアクティブに切り替える必要があります。 参加したテナントは、通常、メンバー ロールで開始されます。 すべてのメンバー テナントには、マルチテナント組織を離脱する権限があります。 |
テナントの状態 | 説明 |
---|---|
保留中 | 保留中のテナントはまだマルチテナント組織に参加していません。 保留中のテナントは、マルチテナント組織の管理者のビューの一覧には表示されますが、まだマルチテナント組織の一部ではないため、マルチテナント組織のエンド ユーザーのビューには表示されません。 |
アクティブです | 保留中のテナントをマルチテナント組織に追加した後、保留中のテナントはマルチテナント組織に参加して、状態を保留中からアクティブに切り替える必要があります。 参加したテナントは、通常、メンバー ロールで開始されます。 すべてのメンバー テナントには、マルチテナント組織を離脱する権限があります。 |
クロステナント アクセス設定
管理者がリソースを把握しておくことは、マルチテナント組織のコラボレーションの基本原則です。 テナント間アクセス設定は、テナント間の関係ごとに必要です。 テナント管理者は、必要に応じて、次のポリシーを明示的に構成します。
テナント間アクセス パートナーの構成
詳細については、「B2B コラボレーションのためにテナント間アクセス設定を構成する」および「crossTenantAccessPolicyConfigurationPartner リソースの種類」を参照してください。
テナント間アクセス ID の同期
詳細については、「テナント間同期を構成する」および「crossTenantIdentitySyncPolicyPartner リソースの種類」を参照してください。
テナント間アクセス設定のテンプレート
マルチテナント組織のパートナー テナントに適用される同種のテナント間アクセス設定のセットアップを容易にするために、各マルチテナント組織テナントの管理者は、オプションでマルチテナント組織専用のテナント間アクセス設定テンプレートを構成できます。 これらのテンプレートを使用すると、マルチテナント組織に新しく参加するパートナー テナントに適用されるテナント間アクセス設定を事前に構成できます。
制約
マルチテナント組織の機能は、次の制約のもとに設計されています。
- 特定のテナントは、単一のマルチテナント組織のみを作成または参加できます。
- テナントが の委任された管理者特権 (GDAP) 内にある リレーションシップでは、マルチテナント組織を作成または参加できません。
- マルチテナント組織には、少なくとも 1 つのアクティブな所有者テナントが必要です。
- アクティブな各テナントには、すべてのアクティブなテナントに対するテナント間アクセス設定が必要です。
- アクティブなテナントは、マルチテナント組織から自分自身を削除することで、そこから離脱できます。
- マルチテナント組織は、唯一残っているアクティブな (所有者) テナントが離脱すると削除されます。
制限
リソース | 制限 | メモ |
---|---|---|
所有者テナントを含め、最大数のアクティブなテナント | 100 | 所有者テナントは 100 を超える保留中のテナントを追加できますが、制限を超えると、マルチテナント組織に参加できなくなります。 この制限は、保留中のテナントがマルチテナント組織に参加する時点で適用されます。 この制限は、マルチテナント組織内のテナント数に固有です。 テナント間同期自体には適用されません。 この制限を引き上げるには、Microsoft Entra または Microsoft 365 管理センターでサポート リクエストを送信します。 |
作業の開始
マルチテナント組織の使用を開始するための基本的な手順を次に示します。
手順 1: 展開を計画する
詳細については、「Microsoft 365 でマルチテナント組織を計画する」および「マルチテナント組織の制限事項」を参照してください。
手順 2: マルチテナント組織を作成する
Microsoft 365 管理センター、Microsoft Graph PowerShell、または Microsoft Graph API を使用してマルチテナント組織を作成します。
- 最初のテナント (間もなく所有者テナントになる) はマルチテナント組織を作成します。
- 所有者テナントは 1 つ以上の参加者テナントを追加します。
Microsoft 365 管理センターを使用したマルチテナント組織の作成の詳細については、「Microsoft 365 管理センターを使用してマルチテナント組織の作成または参加を行う」を参照してください。
手順 3: マルチテナント組織に参加する
Microsoft 365 管理センター、Microsoft Graph PowerShell、または Microsoft Graph API を使用してマルチテナント組織に参加します。
- 参加者テナントは、所有者テナントのマルチテナント組織に参加するための参加要求を送信します。
- 非同期処理を許可するために、最大 2 時間待ちます。
これでマルチテナント組織が形成されます。 その結果、マルチテナント組織内の既存の外部メンバー ユーザーは、マルチテナント組織のメンバーとして認識されるようになり、マルチテナント組織のアクティブなテナント間のシームレスなコラボレーションが向上します。
Microsoft 365 管理センターを使用したマルチテナント組織への参加の詳細については、「Microsoft 365 管理センターを使用してマルチテナント組織の作成または参加を行う」を参照してください。
手順 4: 外部メンバー ユーザーをプロビジョニングする
Microsoft 365 のマルチテナント組織のコラボレーションは、B2B Collaboration メンバー ユーザーのプロビジョニングに依存します。 ユースケースに応じて、次の 1 つ以上の方法を使用してユーザーをプロビジョニングできます。
- Microsoft 365 のマルチテナント組織のユーザーを同期する
- Microsoft Entra 管理センターでテナント間同期を構成する
- 既存の一括プロビジョニング エンジンを使用して外部メンバー ユーザーをプロビジョニングする
- Microsoft Entra 管理センターを使用して個々の外部メンバー ユーザーをプロビジョニングする
外部メンバー ユーザーのプロビジョニングの詳細については、「外部メンバー ユーザーをプロビジョニングするためのオプション」を参照してください。
手順 5: Microsoft 365 アプリケーションの要件を満たす
次のマルチテナント組織コラボレーション アプリケーションには、追加の要件がある可能性があります。
Microsoft 365 アプリケーションの要件が満たされると、従業員は、複数のテナントを含む組織全体でシームレスにコラボレーションを行うことができるようになります。
ライセンス要件
マルチテナント組織の機能には、Microsoft Entra ID P1 ライセンスが必要です。 マルチテナント組織ごとに、従業員ごとに 1 つの Microsoft Entra ID P1 ライセンスのみが必要です。 また、テナントごとに少なくとも 1 つの Microsoft Entra ID P1 ライセンスが必要です。 自分の要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。