マルチテナント型のユーザー管理の概要
この記事は、Microsoft Entra マルチテナント型の環境でユーザー ライフサイクル管理を構成および提供するためのガイダンスを説明するシリーズ記事の第 1 回目です。 シリーズ記事の次回以降は、下記のとおり、さらに詳しい情報について説明します。
- 「マルチテナント型のユーザー管理のシナリオ」では、マルチテナント ユーザー管理機能を使用できる 3 つのシナリオ (エンド ユーザーによる実施、スクリプト化、自動化) について説明します。
- 「マルチテナント型のユーザー管理に関する一般的な考慮事項」では、テナント間同期、ディレクトリ オブジェクト、Microsoft Entra 条件付きアクセス、追加のアクセス制御、Office 365 に関する考慮事項のガイダンスを提供します。
- 「マルチテナント型のユーザー管理の一般的なソリューション」 (シングル テナントでは要件を満たせない場合) では、テナント間の自動ユーザー ライフサイクル管理とリソースの割り当てに加え、テナント間のオンプレミス アプリの共有に関する課題のガイダンスを説明します。
このガイダンスは、ユーザー ライフサイクル管理で整合性のとれた状態を実現するのに役立ちます。 ライフサイクル管理には、Microsoft Entra B2B Collaboration (B2B) やテナント間同期を含む使用可能な Azure ツールを用いた、テナント間のユーザー プロビジョニング、ユーザー管理、ユーザー プロビジョニング解除が含まれます。
複数のユーザーを 1 つの Microsoft Entra テナントにプロビジョニングすると、リソースをまとめて閲覧したり、ポリシーと管理をそれぞれ 1 つにまとめたりできます。 この方法により、一貫性のあるユーザー ライフサイクル管理ができます。
Microsoft では、できる限りシングル テナントを選ぶことをお勧めしています。 複数のテナントを導入すると、テナント間のコラボレーションや管理について、独自の要件が発生する場合があります。 1 つの Microsoft Entra テナントへの統合ができない場合、マルチテナント型の組織は次のような理由で 2 つ以上の Microsoft Entra テナントに広がることがあります。
- 合併
- 取得
- 売却
- パブリック クラウド、ソブリン クラウド、リージョン クラウド間のコラボレーション
- 1 つの Microsoft Entra テナントへの統合を妨げる、政治的または組織的な構造
Microsoft Entra B2B Collaboration
Microsoft Entra B2B Collaboration (B2B) を使用すると、会社のアプリケーションとサービスを、外部ユーザーと安全に共有できます。 ユーザーがどの組織からでもアクセスできる場合、B2B は IT 環境とデータへのアクセス制御の維持に役立ちます。
B2B Collaboration を使用すると、外部アクセスを自社組織のユーザーに付与することで、管理対象の複数のテナントにアクセスすることができるようになります。 従来から、B2B 外部ユーザー アクセスは、自社組織が管理しないユーザーにアクセスを認可することができます。 しかし、外部ユーザー アクセスは、自社組織が管理する複数のテナント間のアクセスも管理できます。
Microsoft Entra B2B Collaboration で混乱が生じる領域は、B2B ゲスト ユーザーのプロパティに関するものです。 内部ユーザー アカウントと外部ユーザー アカウントの違いとメンバー ユーザー タイプとゲスト ユーザー タイプの違いが混乱のもとになっています。 最初は、すべての内部ユーザーは、UserType 属性に Member (メンバー ユーザー) が設定されたメンバー ユーザーです。 内部ユーザーは、権限のある Microsoft Entra ID にアカウントを持ち、ユーザーが存在するテナントに認証されます。 メンバー ユーザーは、テナントの既定メンバーレベル アクセス許可 を持つ、ライセンス ユーザーです。 メンバー ユーザーは自社組織の従業員として扱われます。
あるテナントの内部ユーザーを、別のテナントに外部ユーザーとして招待できます。 外部ユーザーは、外部 Microsoft Entra アカウント、ソーシャル ID、またはその他外部 ID プロバイダーを使用してサインインします。 外部ユーザーは、外部ユーザーを招待するテナントの外部で認証されます。 B2B の最初のリリースでは、すべての外部ユーザーの UserType は Guest (ゲスト ユーザー) でした。 ゲスト ユーザーは、テナント内のアクセス許可が制限されています。 たとえば、ゲスト ユーザーは、テナント ディレクトリ内のすべてのユーザーもすべてのグループも一覧表示できません。
B2B は、ユーザーの UserType プロパティにおいて、内部から外部、またその逆へのビット反転をサポートしているため、混乱のもとになっています。
内部ユーザーをメンバー ユーザーからゲスト ユーザーに変更できます。 たとえば、テナントのゲスト レベルのアクセス許可を持つ、ライセンスのない内部ゲスト ユーザーを設定できます。これは、自社組織の従業員ではない人にユーザー アカウントと資格情報を付与する場合に便利です。
外部ユーザーをゲスト ユーザーからメンバー ユーザーに変更し、その外部ユーザーにメンバーレベルのアクセス許可を付与できます。 この変更は、自社組織で複数のテナントを管理しており、あるユーザーにすべてのテナントのメンバーレベル アクセス許可を付与する必要がある場合に便利です。 このニーズは、ユーザーが特定テナントの内部ユーザーか外部ユーザーかに関係なく発生することがあります。 メンバー ユーザーにはより多くのライセンスが必要なことがあります。
B2B に関するほとんどのドキュメントは、外部ユーザーのことをゲスト ユーザーと呼んでいます。 これは、UserType プロパティを混同して、すべてのゲスト ユーザーは外部ユーザーであると想定しています。 ドキュメントにゲスト ユーザーの記述がある場合、それは外部ゲスト ユーザーのことを指しています。 この記事では、明確かつ意図的に外部ユーザーと内部ユーザー、メンバー ユーザーとゲスト ユーザーを区別して説明しています。
テナント間同期
テナント間同期 を使用すると、マルチテナント型の組織は既存の B2B 外部コラボレーション機能を活用して、エンド ユーザーにシームレスなアクセスとコラボレーションのエクスペリエンスを提供できます。 この機能は、Microsoft ソブリン クラウド間のテナント間同期を許可していません (Microsoft 365 米国政府 GCC High、DOD または Office 365 中国など) 。 自動およびカスタムのテナント間同期シナリオのヘルプについては、「マルチテナント型のユーザー管理に関する一般的な考慮事項」をご覧ください。
Microsoft Entra ID テナント間同期機能について、Arvind Harinder による説明をご覧ください (以下埋め込み)。
次の概念と操作方法に関する記事では、Microsoft Entra B2B Collaboration とテナント間同期の情報について説明します。
概念に関する記事
- B2B のベスト プラクティス: ユーザーと管理者に、とてもスムーズなエクスペリエンスを提供する推奨事項をまとめています。
- B2B と Office 365 の外部共有: B2B、Office 365、SharePoint/OneDrive で、リソースを共有する場合の類似点と相違点を説明します。
- 「Microsoft Entra B2B Collaboration ユーザーのプロパティ」では、Microsoft Entra ID 外部ユーザー オブジェクトのプロパティと状態について説明します。 招待の引き換え前後の作業を詳しく説明しています。
- 「B2B 用の条件付きアクセス」では、外部ユーザー向けの条件付きアクセスと多要素認証のしくみについて説明します。
- テナント間アクセス設定 を使うと、外部の Microsoft Entra 組織があなたと共同作業する方法 (受信アクセス) と、あなたのユーザーが外部の Microsoft Entra 組織と共同作業する方法 (送信アクセス) をきめ細かく制御できます。
- 「テナント間同期の概要」では、組織のテナント間で、Microsoft Entra B2B Collaboration ユーザーを自動的に作成、更新、削除する方法について説明します。
ハウツー記事
- 「PowerShell を使用して Microsoft Entra B2B Collaboration ユーザーを一括で招待する」では、PowerShell を使用して外部ユーザーに一括招待を送信する方法について説明します。
- 「B2B ゲスト ユーザーに多要素認証を適用する」では、条件付きアクセスと多要素認証のポリシーを使用して、テナント、アプリ、または個々の外部ユーザーの認証レベルを適用する方法について説明します。
- 「電子メールの ワンタイム パスコード認証」では、Microsoft Entra ID、Microsoft アカウント (MSA)、Google フェデレーションなどの他の方法で認証できない場合に、電子メールのワンタイム パスコード機能で外部ユーザーを認証する方法について説明します。
用語
Microsoft コンテンツの次の用語は、Microsoft Entra ID のマルチテナント型のコラボレーションに関するものです。
- リソース テナント: ユーザーが他のユーザーと共有するリソースが存在する Microsoft Entra テナント。
- ホーム テナント: リソース テナントのリソースへのアクセスを必要とするユーザーが存在する Microsoft Entra テナント。
- 内部ユーザー: 権限のあるアカウントを持ち、そのユーザーが存在するテナントに認証されます。
- 外部ユーザー: 外部 Microsoft Entra アカウント、ソーシャル ID、またはその他外部 ID プロバイダーを使用してサインインします。 外部ユーザーは、その外部ユーザーを招待したテナントの外部で認証されます。
- メンバー ユーザー: 内部または外部メンバー ユーザーは、テナントの既定のメンバーレベル アクセス許可を持つライセンス ユーザーです。 メンバー ユーザーは自社組織の従業員として扱われます。
- ゲスト ユーザー: 内部ゲスト ユーザーまたは外部ゲスト ユーザーは、テナントの制限されたアクセス許可を持っています。 ゲスト ユーザーは、自社組織の従業員ではありません (パートナーのユーザーなど)。 B2B のほとんどのドキュメントで B2B ゲストと言及している箇所は、正確には外部ゲスト ユーザー アカウントを指しています。
- ユーザー ライフサイクル管理: リソースに対するユーザー アクセスのプロビジョニング、管理、プロビジョニング解除を行うプロセスです。
- 統一 GAL: 各テナントの各ユーザーは、グローバル アドレス一覧 (GAL) に存在する各組織のユーザーを見ることができます。
要件を満たす方法を決める
組織独自の要件に応じて、テナント間のユーザー管理方法は影響を受けます。 効果的な戦略を策定するには、次の要件を検討します。
- テナントの数
- 組織の種類
- 現在のトポロジ
- ユーザー同期に関する具体的要件
一般的な要件
組織では、すぐに実現したいコラボレーションの要件にまず取り組みます。 "Day One (初日)" の要件と呼ばれることもありますが、事業価値を生み出す業務を妨げることなく、エンド ユーザーをスムーズに統合することに焦点を当てています。 Day One と管理の要件を定義する際は、次の要件とニーズを含めて検討します。
コミュニケーションの要件
- 統一グローバル アドレス一覧: 各ユーザーが、ホーム テナントの GAL で、他のすべてのユーザーを見ることができます。
- 空き時間情報: ユーザーがお互いの空き時間を把握できるようにします。 これは、Exchange Online の組織の関係で実現できます。
- チャットと在席確認: 他のユーザーが在席しているかどうかを確認して、インスタント メッセージングを開始できるようにします。 これは、Microsoft Teams の外部アクセスで設定できます。
- 会議室などのリソース予約: ユーザーが組織全体で会議室やその他のリソースを予約できるようにします。 テナント間の会議室予約は現在 Exchange Online では使用できません。
- 単一電子メール ドメイン: すべてのユーザーが、単一の電子メール ドメインから電子メールを送受信できるようにします (
users@contoso.com
など)。 送信には、電子メール アドレス書き換えソリューションが必要です。
アクセス要件
- ドキュメント アクセス: ユーザーが SharePoint、OneDrive、Teams でドキュメントを共有できるようにします。
- 管理: 管理者が、複数のテナントにデプロイされたサブスクリプションとサービスの構成を管理できるようにします。
- アプリケーション アクセス: エンド ユーザーが、組織全体のアプリケーションにアクセスできるようにします。
- シングル サインオン: ユーザーが、追加の資格情報を入力せずに、組織全体のリソースにアクセスできるようにします。
アカウント作成の方法
外部ユーザー アカウントのライフサイクルを作成および管理する Microsoft のメカニズムは、3 つの一般的なパターンに従います。 それらのパターンを参考にすると、要件の定義や実装に役立ちます。 シナリオに最適なパターンを選択し、それからパターンの詳細に焦点を当てます。
メカニズム | 説明 | 最適な条件 |
---|---|---|
エンド ユーザーによる実施 | 外部ユーザーを、テナント、アプリ、リソースに招待する権限を、リソース テナント管理者がリソース テナント内のユーザーに委任します。 ホーム テナントからユーザーを招待することも、個別にサインアップすることもできます。 | Day One (初日) に統一グローバル アドレス一覧が不要。 |
スクリプト化 | リソース テナント管理者が "プル" プロセスのスクリプトをデプロイすることで、外部ユーザーの検出とプロビジョニングを自動化し、共有のシナリオに対応します。 | 少数のテナント (2 つなど)。 |
自動 | リソース テナント管理者が、ID プロビジョニング システムを使用して、プロセスのプロビジョニングとプロビジョニング解除を自動化します。 | テナント間の統一グローバル アドレス一覧が必要です。 |
次のステップ
- 「マルチテナント型のユーザー管理のシナリオ」では、マルチテナント ユーザー管理機能を使用できる 3 つのシナリオ (エンド ユーザーによる実施、スクリプト化、自動化) について説明します。
- 「マルチテナント型のユーザー管理に関する一般的な考慮事項」では、テナント間同期、ディレクトリ オブジェクト、Microsoft Entra 条件付きアクセス、追加のアクセス制御、Office 365 に関する考慮事項のガイダンスを提供します。
- 「マルチテナント型のユーザー管理の一般的なソリューション」 (シングル テナントでは要件を満たせない場合) では、テナント間の自動ユーザー ライフサイクル管理とリソースの割り当てに加え、テナント間のオンプレミス アプリの共有に関する課題のガイダンスを説明します。
- 「Active Directory からのマルチテナント型の同期」では、主な統合ソリューションとして Microsoft Entra Connect 同期を使用する、さまざまなオンプレミス トポロジと Microsoft Entra トポロジについて説明します。