マルチテナントの Azure ランディング ゾーン シナリオに関する考慮事項と推奨事項
「Azure ランディング ゾーンと複数の Microsoft Entra テナント」の記事では、管理グループ、Azure Policy およびサブスクリプションが Microsoft Entra テナントとどのように対話して動作するかについて説明しています。 この記事では、これらのリソースが 1 つの Microsoft Entra テナント内で動作する場合の制限について説明します。 これらの条件下で、複数の Microsoft Entra テナントが存在する場合、または組織に必要な場合は、Azure ランディング ゾーンを各 Microsoft Entra テナントに個別にデプロイする必要があります。
複数の Microsoft Entra テナントを持つ Azure ランディング ゾーン
前の図は、Contoso Corporation の例を示しています。Contoso Corporation は、時間の経過とともに企業が成長したため、合併と買収により、4 つの Microsoft Entra テナントを持っています。
Microsoft Entra テナント *.onmicrosoft.com ドメイン |
使用上の注意 |
|---|---|
contoso.onmicrosoft.com |
Contoso Corporation が使用する企業のプライマリ Microsoft Entra テナント。 このテナントでは、Azure と Microsoft 365 のサービスが使用されます。 |
fabrikam.onmicrosoft.com |
Fabrikam が使用するプライマリ Microsoft Entra テナント。 このテナントでは、Azure と Microsoft 365 のサービスが使用されます。 このテナントは、Contoso Corporation による買収以降、分離されたままになっています。 |
tailwind.onmicrosoft.com |
Tailwind が使用するプライマリ Microsoft Entra テナント。 このテナントでは、Azure と Microsoft 365 のサービスが使用されます。 このテナントは、Contoso Corporation による買収以降、分離されたままになっています。 |
contoso365test.onmicrosoft.com |
Contoso Corporation が Microsoft Entra ID と Microsoft 365 のサービスと構成をテストするためだけに使用する Microsoft Entra テナント。 すべての Azure 環境は、contoso.onmicrosoft.com Microsoft Entra テナント内に存在します。 |
Contoso Corporation は、contoso.onmicrosoft.com の 1 つの Microsoft Entra テナントから始めました。 やがて、他の会社を複数買収し、これらの会社を Contoso Corporation に取り込みました。
Fabrikam (fabrikam.onmicrosoft.com) と Tailwind (tailwind.onmicrosoft.com) の買収により、Microsoft 365 (Exchange Online、SharePoint、OneDrive) と Azure サービスが使用されている既存の Microsoft Entra テナントも取り込まれました。 これらの会社と関連する Microsoft Entra テナントは、Contoso Corporation とその会社の一部が将来売却される可能性があるため、分離されたままになっています。
Contoso Corporation には、Microsoft Entra ID と Microsoft 365 のサービスと機能のテストのみを目的とした、個別の Microsoft Entra テナントがあります。 ただし、この個別の Microsoft Entra テナントでは、Azure サービスはテストされません。 これらは、contoso.onmicrosoft.com Microsoft Entra テナントでテストされます。
ヒント
Azure ランディング ゾーンと、Azure ランディング ゾーン環境内の Azure ワークロードとリソースのテストの詳細については、次を参照してください。
Note
Azure ランディング ゾーンは、1 つの Microsoft Entra テナント内にデプロイされます。 Azure リソースをデプロイする Microsoft Entra テナントが複数あり、Azure ランディング ゾーンを使用してそれらを制御、管理、監視する場合は、それらの各テナント内に Azure ランディング ゾーンを個別にデプロイする必要があります。
マルチテナントの Azure ランディング ゾーン シナリオに関する考慮事項と推奨事項
このセクションでは、Azure ランディング ゾーンと Microsoft Entra マルチテナントのシナリオと使用に関する主な考慮事項と推奨事項について説明します。
考慮事項
- Microsoft Entra テナント設計に対するシングル テナント アプローチから始めます。
- 通常、シングル テナントは、ユーザーの ID が存在し、Microsoft 365 などのサービスが実行されている組織の企業 Microsoft Entra テナントです。
- 企業の Microsoft Entra テナントを使用しても満たされない要件がある場合にのみ、追加の Microsoft Entra テナントを作成します。
- Microsoft Entra ID 管理単位を使用して、1 つの Microsoft Entra テナント内のユーザー、グループ、およびデバイス (異なるチームなど) の分離と隔離を管理することを検討してください。 複数の Microsoft Entra テナントを作成する代わりに、このリソースを使用します。
- 最初のアプリケーション ワークロードの開発と調査には、サンドボックス サブスクリプションの使用を検討してください。 詳しくは、Azure ランディング ゾーン アーキテクチャで "開発/テスト/運用" ワークロード ランディング ゾーンを処理する方法に関するページを参照してください。
- Microsoft Entra テナント間での Azure サブスクリプションの移行は複雑であり、移行を有効にするには、移行前と移行後のアクティビティを完了させる必要があります。 詳細については、Azure サブスクリプションを別の Microsoft Entra ディレクトリに移転するに関するページを参照してください。 移行先テナントの新しい Azure サブスクリプションでアプリケーション ワークロードを再構築する方が簡単です。 移行をより詳細に制御できます。
- 複数の Microsoft Entra テナントの管理、運営、構成、監視、セキュリティ保護の複雑さを考慮してください。 1 つの Microsoft Entra テナントは、管理、運営、セキュリティ保護が簡単です。
- JML (入社、異動、退職) プロセス、ワークフロー、ツールについて検討してください。 これらのリソースが複数の Microsoft Entra テナントをサポートし、処理できることを確認してください。
- エンド ユーザーが自分で複数の ID を管理、運営、セキュリティ保護する場合の影響を考慮してください。
- 複数の Microsoft Entra テナントを選択する場合は、特にエンド ユーザーの観点から、テナント間のコラボレーションへの影響を考慮してください。 1 つの Microsoft Entra テナント内のユーザー間の Microsoft 365 コラボレーション エクスペリエンスとサポートが最適です。
- アプローチを選択する前に、複数の Microsoft Entra テナントにわたる監査と規制コンプライアンス チェックへの影響を考慮してください。
- 複数の Microsoft Entra テナントを使用する場合はライセンス コストの増加を考慮してください。 Microsoft Entra ID P1 や P2、Microsoft 365 サービスなどの製品のライセンスは、複数の Microsoft Entra テナントにまたがりません。
- 1 つのEnterprise Agreement 加入契約では、職場および学校アカウントのクロステナントに対する加入契約の認証レベルを設定することで、複数の Microsoft Entra テナントに対するサブスクリプションをサポートし、提供できます。 詳細については、「Azure EA Portal の管理」を参照してください。
- 1 つの Microsoft 顧客契約で、複数の Microsoft Entra テナントに対するサブスクリプションをサポートし、提供できます。 詳細については、「Microsoft 顧客契約の課金アカウントでテナントを管理する」を参照してください。
- Microsoft Entra マルチテナント アーキテクチャを選択する場合は、アプリケーション チームと開発者に対して発生する可能性がある制限事項を考慮してください。 Azure Virtual Desktop、Azure Files、Azure SQL など、Azure 製品とサービスの Microsoft Entra 統合に関する制限事項に注意してください。 詳細については、この記事の「Azure 製品とサービスの Microsoft Entra 統合」セクションを参照してください。
- 組織に複数の Microsoft Entra テナントがある場合は、Azure Microsoft Entra B2B を使用してユーザー エクスペリエンスと管理を簡素化および強化することを検討してください。
- 開発者が 1 つの Azure サブスクリプションと 1 つのテナント内でアプリケーションを作成できるように、B2B および B2C 機能を持つ Microsoft Entra ID を含む、Microsoft ID プラットフォームを使用することを検討してください。 この方法は、多くの ID ソースのユーザーをサポートします。 詳細については、「マルチテナント アプリ」および「Azure でのマルチテナント ソリューションの設計」を参照してください。
- マルチテナント組織で利用可能な機能の使用を検討してください。 詳細については、Microsoft Entra ID でのマルチテナント組織とは何かに関する記事を参照してください。
- Azure ランディング ゾーンを最新の状態に保つことを検討してください。
Azure 製品とサービスの Microsoft Entra 統合
多くの Azure 製品とサービスでは、ネイティブの Microsoft Entra 統合の一部として Microsoft Entra B2B がサポートされていません。 Microsoft Entra 統合の一部として Microsoft Entra B2B 認証をサポートするサービスはごくわずかです。 サービスの既定では、Microsoft Entra 統合の一部として Microsoft Entra B2B をサポートしない方が安全です。
Azure Storage、Azure SQL、Azure Files、Azure Virtual Desktop など、Microsoft Entra ID とのネイティブ統合を提供するサービスでは、"ワンクリック" または "クリックなし" スタイルのアプローチを使用して統合します。 サービスの一部として認証と認可のシナリオが必要になります。 このアプローチは通常、"ホーム テナント" に対してサポートされます。一部のサービスでは、Microsoft Entra B2B/B2C シナリオのサポートが可能になる場合があります。 Azure サブスクリプションの Microsoft Entra ID との関係についての詳細については、「Microsoft Entra テナントに Azure サブスクリプションを関連付ける、または追加する」を参照してください。
Azure サブスクリプションが関連付けられる Microsoft Entra テナントを慎重に検討することが重要です。 この関係によって、ID をサポートする必要があるアプリケーションまたはワークロード チームが使用する製品とサービスおよびその機能、および ID の属するテナントが決定されます。 通常、ID は企業の Microsoft Entra テナントにあります。
すべての Azure サブスクリプションをホストするために複数の Microsoft Entra テナントが使用されている場合、アプリケーション ワークロード チームは一部の Azure 製品とサービスの Microsoft Entra 統合を利用できません。 アプリケーション ワークロード チームが、これらの課せられた制限事項を回避してアプリケーションを開発する必要がある場合、認証と認可のプロセスはより複雑になり、安全性が低下します。
1 つの Microsoft Entra テナントをすべての Azure サブスクリプションのホームとして使用することで、この問題を回避します。 シングル テナントは、アプリケーションまたはサービスの認証と認可に最適なアプローチです。 この単純なアーキテクチャにより、アプリケーション ワークロード チームが管理、運営、制御すべきことが少なくなり、潜在的な制約が取り除かれます。
詳細については、「シングル テナントでのリソースの分離」を参照してください。
推奨事項
- 1 つの Microsoft Entra テナント (通常は企業の Microsoft Entra テナント) を使用します。 企業の Microsoft Entra テナントを使用しても満たされない要件がある場合にのみ、追加の Microsoft Entra テナントを作成します。
- サンドボックス サブスクリプションを使用して、同じ 1 つの Microsoft Entra テナント内でアプリケーション チームに安全で、制御され、分離された開発環境を提供します。 詳しくは、Azure ランディング ゾーン アーキテクチャで "開発/テスト/運用" ワークロード ランディング ゾーンを処理する方法に関するページを参照してください。
- ServiceNow などの運用ツールから統合を作成し、それらを複数の Microsoft Entra テナントに接続する場合は、Microsoft Entra マルチテナント アプリケーションを使用します。 詳細については、「すべての分離アーキテクチャに関するベスト プラクティス」を参照してください。
- ISV の場合は、「Azure ランディング ゾーンに関する独立系ソフトウェア ベンダー (ISV) の考慮事項」を参照してください。
- Azure Lighthouse を使用して、テナント間の管理エクスペリエンスを簡素化します。 詳細については、「Azure ランディング ゾーンのマルチテナント シナリオでの Azure Lighthouse の使用」を参照してください。
- 移行先の Microsoft Entra テナントに属している Enterprise Agreement 加入契約または Microsoft 顧客契約で、アカウント所有者、請求書セクション所有者、サブスクリプション作成者を作成します。 作成するサブスクリプションに所有者と作成者を割り当て、作成後に Azure サブスクリプションのディレクトリを変更する必要がないようにします。 詳細については、「別の Microsoft Entra テナントからアカウントを追加する」および「Microsoft 顧客契約の課金アカウントでテナントを管理する」を参照してください。
- 「Microsoft Entra セキュリティ運用ガイド」を参照してください
- 全体管理者アカウントの数を最小限に抑えます。5 未満することをお勧めします。
- すべての管理者アカウントに対して Privileged Identity Management (PIM) を有効にして、永続的な特権が存在しないようにし、JIT アクセスを提供します。
- 全体管理者ロールなどの重要なロールをアクティブ化する場合は、PIM での承認を要求します。 全体管理者の使用を承認するために、複数のチームから承認者を作成することを検討してください。
- 全体管理者ロールのアクティブ化に関して必要なすべての利害関係者への監視と通知を有効にします。
- 全体管理者の [Access management for Azure resources](Azure リソースのアクセス管理) 設定が [いいえ] に設定されていることを確認します (必須ではありません)。
重要
Microsoft は、アクセス許可が最も少ないロールを使用することを推奨しています。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。
- 次の Microsoft Entra サービスと機能を有効にして構成し、組織内の管理とユーザーのマルチテナント エクスペリエンスを簡素化します。
- Microsoft Azure 商用クラウド、Microsoft Azure China 21Vianet、Microsoft Azure Government などの複数の Microsoft クラウドに Microsoft Entra テナントがある組織の場合、B2B コラボレーションの Microsoft クラウド設定 (プレビュー) を構成し、テナント間でのコラボレーション時のユーザー エクスペリエンスを簡素化します。
- アプリケーション チームと開発者は、マルチテナント用のアプリケーションとサービスを構築する際に、次のリソースを確認する必要があります。