マルチテナント ユーザー管理の概要

  • [アーティクル]

この記事は、Microsoft Entra マルチテナント環境でユーザー ライフサイクル管理を構成および提供するためのガイダンスを説明するシリーズ記事の第 1 回目です。 シリーズ記事の次回以降は、下記のとおり、さらに詳しい情報について説明します。

このガイダンスは、ユーザー ライフサイクル管理で整合性のとれた状態を実現するのに役立ちます。 ライフサイクル管理には、Microsoft Entra B2B コラボレーション (B2B) やテナント間同期を含む使用可能な Azure ツールを用いた、テナント間のユーザー プロビジョニング、ユーザー管理、ユーザー プロビジョニング解除が含まれます。

複数のユーザーを 1 つの Microsoft Entra テナントにプロビジョニングすると、リソースをまとめて閲覧したり、ポリシーと管理をそれぞれ 1 つにまとめたりできます。 この方法により、一貫性のあるユーザー ライフサイクル管理ができます。

Microsoft では、できる限りシングル テナントを選ぶことをお勧めしています。 マルチテナントを導入すると、テナント間のコラボレーションや管理について、独自の要件が発生する場合があります。 1 つの Microsoft Entra テナントへの統合ができない場合、マルチテナント組織は次のような理由で 2 つ以上の Microsoft Entra テナントに広がることがあります。

  • 合併
  • 取得
  • 売却
  • パブリック クラウド、ソブリン クラウド、リージョン クラウド間のコラボレーション
  • 1 つの Microsoft Entra テナントへの統合を妨げる、政治的または組織的な構造

Microsoft Entra B2B コラボレーション

Microsoft Entra B2B コラボレーション (B2B) を使用すると、会社のアプリケーションとサービスを、外部ユーザーと安全に共有できます。 ユーザーがどの組織からでもアクセスできる場合、B2B は IT 環境とデータへのアクセス制御の維持に役立ちます。

B2B コラボレーションを使用すると、外部アクセスを自社組織のユーザーに付与することで、管理対象のマルチテナントにアクセスすることができるようになります。 従来から、B2B 外部ユーザー アクセスは、自社組織が管理しないユーザーにアクセスを認可することができます。 しかし、外部ユーザー アクセスは、自社組織が管理するマルチテナント間のアクセスも管理できます。

Microsoft Entra B2B コラボレーションで混乱が生じる領域は、B2B ゲスト ユーザーのプロパティに関するものです。 内部ユーザー アカウントと外部ユーザー アカウントの違いとメンバー ユーザー タイプとゲスト ユーザー タイプの違いが混乱のもとになっています。 最初は、すべての内部ユーザーは、UserType 属性に Member (メンバー ユーザー) が設定されたメンバー ユーザーです。 内部ユーザーは、権限のある Microsoft Entra ID にアカウントを持ち、ユーザーが存在するテナントに認証されます。 メンバー ユーザーは、テナントの既定メンバーレベル アクセス許可 を持つ、ライセンス ユーザーです。 メンバー ユーザーは自社組織の従業員として扱われます。

あるテナントの内部ユーザーを、別のテナントに外部ユーザーとして招待できます。 外部ユーザーは、外部 Microsoft Entra アカウント、ソーシャル ID、またはその他外部 ID プロバイダーを使用してサインインします。 外部ユーザーは、外部ユーザーを招待するテナントの外部で認証されます。 B2B の最初のリリースでは、すべての外部ユーザーのUserTypeGuest (ゲスト ユーザー) でした。 ゲスト ユーザーは、テナント内の アクセス許可が制限されています。 たとえば、ゲスト ユーザーは、テナント ディレクトリ内のすべてのユーザーもすべてのグループも一覧表示できません。

B2B は、内部ユーザーでも外部ユーザーでも、ユーザーの UserType プロパティに対する変更 (メンバーからゲストへの変更や、その逆もしかり) をサポートしているため、混乱のもとになっています。

内部ユーザーをメンバー ユーザーからゲスト ユーザーに変更できます。 たとえば、テナントのゲスト レベルのアクセス許可を持つ、ライセンスのない内部ゲスト ユーザーを設定できます。これは、自社組織の従業員ではない人にユーザー アカウントと資格情報を付与する場合に便利です。

外部ユーザーをゲスト ユーザーからメンバー ユーザーに変更し、その外部ユーザーにメンバーレベルのアクセス許可を付与できます。 この変更は、自社組織でマルチテナントを管理しており、あるユーザーにすべてのテナントのメンバーレベル アクセス許可を付与する必要がある場合に便利です。 このニーズは、ユーザーが特定テナントの内部ユーザーか外部ユーザーかに関係なく発生することがあります。 メンバー ユーザーにはより多くのライセンスが必要なことがあります。

B2B に関するほとんどのドキュメントは、外部ユーザーのことをゲスト ユーザーと呼んでいます。 これは、UserType プロパティを混同して、すべてのゲスト ユーザーは外部ユーザーであると想定しています。 ドキュメントにゲスト ユーザーの記述がある場合、それは外部ゲスト ユーザーのことを指しています。 この記事では、明確かつ意図的に外部ユーザーと内部ユーザー、メンバー ユーザーとゲスト ユーザーを区別して説明しています。

テナント間同期

テナント間同期を使用すると、マルチテナント組織は既存の B2B 外部コラボレーション機能を活用して、エンド ユーザーにシームレスなアクセスとコラボレーションのエクスペリエンスを提供できます。 この機能は、Microsoft ソブリン クラウド間のテナント間同期を許可していません (Microsoft 365 米国政府 GCC High、DOD または Office 365 中国など) 。 自動およびカスタムのテナント間同期シナリオのヘルプについては、「マルチテナント ユーザー管理に関する一般的な考慮事項」をご覧ください。

Microsoft Entra ID テナント間同期機能について、Arvind Harinder による説明をご覧ください (以下埋め込み)。

次の概念と操作方法に関する記事では、Microsoft Entra B2B コラボレーションとテナント間同期の情報について説明します。

概念に関する記事

  • B2B のベスト プラクティス: ユーザーと管理者に、とてもスムーズなエクスペリエンスを提供するレコメンデーションをまとめています。
  • B2B と Office 365 の外部共有: B2B、Office 365、SharePoint/OneDrive で、リソースを共有する場合の類似点と相違点を説明します。
  • Microsoft Entra B2B コラボレーション ユーザーのプロパティ: Microsoft Entra ID 外部ユーザー オブジェクトのプロパティと状態について説明します。 招待の引き換え前後の作業を詳しく説明しています。
  • B2B ユーザー トークン: 外部ユーザーの B2B ベアラー トークンの例を説明します。
  • B2B 用の条件付きアクセス」では、外部ユーザー向けの条件付きアクセスと多要素認証のしくみについて説明します。
  • テナント間アクセス設定を使うと、外部の Microsoft Entra 組織があなたと共同作業する方法 (受信アクセス) と、あなたのユーザーが外部の Microsoft Entra 組織と共同作業する方法 (送信アクセス) をきめ細かく制御できます。
  • テナント間同期の概要: 組織のテナント間で、Microsoft Entra B2B コラボレーション ユーザーを自動的に作成、更新、削除する方法について説明します。

ハウツー記事

用語

Microsoft コンテンツの次の用語は、Microsoft Entra ID のマルチテナント コラボレーションに関するものです。

  • リソース テナント: ユーザーが他のユーザーと共有するリソースが存在する Microsoft Entra テナント。
  • ホーム テナント: リソース テナントのリソースへのアクセスを必要とするユーザーが存在する Microsoft Entra テナント。
  • 内部ユーザー: 権限のあるアカウントを持ち、そのユーザーが存在するテナントに認証されます。
  • 外部ユーザー: 外部 Microsoft Entra アカウント、ソーシャル ID、またはその他外部 ID プロバイダーを使用してサインインします。 外部ユーザーは、その外部ユーザーを招待したテナントの外部で認証されます。
  • メンバー ユーザー: 内部または外部メンバー ユーザーは、テナントの既定メンバーレベル アクセス許可を持つライセンス ユーザーです。 メンバー ユーザーは自社組織の従業員として扱われます。
  • ゲスト ユーザー: 内部ゲスト ユーザーまたは外部ゲスト ユーザーは、テナントの制限されたアクセス許可を持っています。 ゲスト ユーザーは、自社組織の従業員ではありません (パートナーのユーザーなど)。 B2B のほとんどのドキュメントで B2B ゲストと言及している箇所は、正確には外部ゲスト ユーザー アカウントを指しています。
  • ユーザー ライフサイクル管理: リソースに対するユーザー アクセスのプロビジョニング、管理、プロビジョニング解除を行うプロセスです。
  • 統一 GAL: 各テナントの各ユーザーは、グローバル アドレス リスト (GAL) に存在する各組織のユーザーを見ることができます。

要件を満たす方法を決める

組織独自の要件に応じて、テナント間のユーザー管理方法は影響を受けます。 効果的な戦略を策定するには、次の要件を検討します。

  • テナントの数
  • 組織の種類
  • 現在のトポロジ
  • ユーザー同期に関する具体的要件

一般的な要件

組織では、すぐに実現したいコラボレーションの要件にまず取り組みます。 "Day One (初日)" の要件と呼ばれることもありますが、事業価値を生み出す業務を妨げることなく、エンド ユーザーをスムーズに統合することに焦点を当てています。 Day One と管理の要件を定義する際は、次の要件とニーズを含めて検討します。

コミュニケーションの要件

  • 統一グローバル アドレス リスト: 各ユーザーが、ホーム テナントの GAL で、他のすべてのユーザーを見ることができます。
  • 空き時間情報: ユーザーがお互いの空き時間を把握できるようにします。 これは、Exchange Online の組織の関係で実現できます。
  • チャットと在席確認: 他のユーザーが在席しているかどうかを確認して、インスタント メッセージを送れるようにします。 これは、Microsoft Teams の外部アクセスで設定できます。
  • 会議室などのリソース予約: ユーザーが組織全体で会議室やその他のリソースを予約できるようにします。 テナント間の会議室予約は現在 Exchange Online では使用できません。
  • 単一電子メール ドメイン: すべてのユーザーが、単一の電子メール ドメインから電子メールを送受信できるようにします (users@contoso.com など)。 送信には、電子メール アドレス書き換えソリューションが必要です。

アクセス要件

  • ドキュメント アクセス: ユーザーが SharePoint、OneDrive、Teams でドキュメントを共有できるようにします。
  • 管理: 管理者が、マルチテナントにデプロイされたサブスクリプションとサービスの構成を管理できるようにします。
  • アプリケーション アクセス: エンド ユーザーが、組織全体のアプリケーションにアクセスできるようにします。
  • シングル サインオン: ユーザーが、追加のサインイン情報を入力せずに、組織全体のリソースにアクセスできるようにします。

アカウント作成の方法

外部ユーザー アカウントのライフサイクルを作成および管理する Microsoft のメカニズムは、3 つの一般的なパターンに従います。 それらのパターンを参考にすると、要件の定義や実装に役立ちます。 シナリオに最適なパターンを選択し、それからパターンの詳細に焦点を当てます。

メカニズム 説明 最適な条件
エンド ユーザーによる実施 外部ユーザーを、テナント、アプリ、リソースに招待する権限を、リソース テナント管理者がリソース テナント内のユーザーに委任します。 ホーム テナントからユーザーを招待する、またはユーザーが個別にサインアップすることができます。 Day One (初日) に統一グローバル アドレス リストが不要。
スクリプト化 リソース テナント管理者が "プル" プロセスのスクリプトをデプロイすることで、外部ユーザーの検出とプロビジョニングを自動化し、共有のシナリオに対応します。 テナントが少ない (2 つなど)。
自動 リソース テナント管理者が、ID プロビジョニング システムを使用して、プロセスのプロビジョニングとプロビジョニング解除を自動化します。 テナント間の統一グローバル アドレス リストが必要。

次のステップ