マルチテナント組織のオプション ポリシー テンプレート

管理者がリソースを把握しておくことは、マルチテナント組織のコラボレーションの基本原則です。 各テナント間の関係にはテナント間アクセス設定が必要です。 テナント管理者は、マルチテナント組織内のパートナー テナントのテナント間アクセス パートナー構成と ID 同期設定を明示的に構成します。

同種のテナント間アクセス設定をマルチテナント組織内のパートナー テナントに適用するために、各テナントの管理者は、マルチテナント組織専用のオプションのテナント間アクセス設定テンプレートを構成することができます。 この記事では、テンプレートを使用して、マルチテナント組織に新たに参加するパートナー テナントに適用されるテナント間アクセス設定を事前に構成する方法を説明します。

テナント間アクセス設定の自動生成

マルチテナント組織内では、テナントの各ペアがパートナー構成と ID 同期の両方について、双方向のテナント間アクセス設定を持つ必要があります。 これらの設定は、信頼を有効にし、ユーザーとアプリケーションを共有するための基になるポリシー フレームワークになります。

テナントが新しいマルチテナント組織に参加する場合、またはパートナー テナントが既存のマルチテナント組織に参加する場合は、拡大されたマルチテナント組織内の他のパートナー テナントに対するテナント間アクセス設定が、まだ存在しなければ、未構成の状態で自動的に生成されます。 未構成の状態では、これらのテナント間アクセス設定は 既定の設定を引き継ぎます。

既定のクロステナント アクセス設定は、組織固有のカスタマイズした設定を作成していない、すべての外部テナントに適用されます。 通常、これらの設定は信頼できない設定として構成されます。 たとえば、多要素認証と準拠デバイス要求に対するテナント間の信頼が無効になり、B2B 直接接続または B2B コラボレーションでのユーザーとグループの共有が許可されない可能性があります。

一方、マルチテナント組織では、通常、テナント間アクセス設定は信頼できるものと想定されます。 たとえば、多要素認証と準拠デバイス要求に対するテナント間の信頼が有効になり、B2B 直接接続または B2B コラボレーションでのユーザーとグループの共有が許可される可能性があります。

マルチテナント組織のパートナー テナントに対するテナント間アクセス設定の自動生成自体によって認証ポリシーまたは承認ポリシーの動作が変更されることはありませんが、自動生成により、組織はマルチテナント組織内のパートナー テナントのテナント間アクセス設定をテナントごとに簡単にカスタマイズできるようになります。

マルチテナント組織形成時のポリシー テンプレート

前述のように、マルチテナント組織では、通常、テナント間アクセス設定は信頼できるものと想定されます。 たとえば、多要素認証と準拠デバイス要求に対するテナント間の信頼が有効になり、B2B 直接接続または B2B コラボレーションでのユーザーとグループの共有が許可される可能性があります。

前のセクションで説明したとおり、テナント間アクセス設定の自動生成では、マルチテナント組織のパートナー テナントごとにテナント間アクセス設定の存在が保証されますが、マルチテナント組織のパートナー テナントのテナント間アクセス設定のさらなるメンテナンスはテナントごとに個別に実行されます。

マルチテナント組織の形成時に管理者の作業負荷を軽減するために、必要に応じて、ポリシー テンプレートをテナント間アクセス設定の先行的な構成に使用できます。 これらのテンプレート設定は、テナントがマルチテナント組織に参加した時点で、すべての外部のマルチテナント組織に適用され、パートナー テナントが既存のマルチテナント組織に参加した時点で、その新しいパートナー テナントに適用されます。

パートナー テナントがマルチテナント組織に参加した時点でオプションのポリシー テンプレートを有効化または構成することで、パートナー構成と ID 同期の両方について、対応するテナント間アクセス設定が先行して修正されます。

例として、A、B、C の 3 つのテナントから構成されるマルチテナント組織の管理者の予想される行動を考えてみましょう。

• 3 つのテナントの管理者は、それぞれのオプションのポリシー テンプレートを有効にして構成し、多要素認証と準拠デバイス要求に対するテナント間信頼を有効にして、B2B 直接接続と B2B コラボレーションでのユーザーとグループの共有を許可します。
• 管理者 A がマルチテナント組織を作成し、テナント B とテナント C を保留中のテナントとしてマルチテナント組織に追加します。
• 管理者 B がマルチテナント組織に参加します。 テナント A のポリシー テンプレートの設定に従って、パートナー テナント B に対するテナント A のテナント間アクセス設定が修正されます。 それと逆に、テナント B のポリシー テンプレートの設定に従って、パートナー テナント A に対するテナント B のテナント間アクセス設定が修正されます。
• 管理者 C がマルチテナント組織に参加します。 テナント A (と B) のポリシー テンプレートの設定に従って、パートナー テナント C に対するテナント A (と B) のテナント間アクセス設定が修正されます。 同様に、テナント C のポリシー テンプレートの設定に従って、パートナー テナント A と B に対するテナント C のテナント間アクセス設定が修正されます。
• これら 3 つのテナントから構成される、このマルチテナント組織が形成された後、マルチテナント組織内のすべてのテナント ペアのテナント間アクセス設定が先行して構成されています。

要約すると、オプションのポリシー テンプレートを構成することで、必要に応じてテナントごとにテナント間アクセス設定をカスタマイズする最大限の柔軟性を維持しながら、マルチテナント組織全体でテナント間アクセス設定を一様に初期化することができます。

ポリシー テンプレートの使用を停止するには、ポリシー テンプレートを既定の状態にリセットします。 詳細については、「マルチテナント組織テンプレートの構成」を参照してください。

ポリシー テンプレートのスコーピングと追加のプロパティ

管理者の構成機能を強化するために、ポリシー テンプレートに従ってテナント間アクセス設定を修正するタイミングを選択できます。 たとえば、あるテナントがマルチテナント組織に参加した時点で、ポリシー テンプレートを適用するテナントを次のように選択できます。

このコンテキストでは、新しいパートナーがテナント間アクセス設定がまだ構成されていないテナントを参照するのに対して、既存のパートナーは、テナント間アクセス設定が既に構成されているテナントを参照します。 このスコーピングは、テナント間アクセス パートナー構成テンプレートの templateApplicationLevel プロパティと、テナント間アクセス ID 同期テンプレートの templateApplicationLevel プロパティを使用して指定されます。

最後に、テンプレート プロパティ値の解釈の観点から見れば、null のテンプレート プロパティ値は、対象となるテナント間アクセス設定の対応するプロパティ値に影響しませんが、定義されたテンプレート プロパティ値には、対象となるテナント間アクセス設定の対応するプロパティ値をテンプレートに従って修正する作用があります。 次の表は、テンプレート プロパティ値が、対応するテナント間アクセス設定値にどのように適用されているかを示しています。

Microsoft 365 管理センターによって使用されるポリシー テンプレート

マルチテナント組織が Microsoft 365 管理センターで形成されると、管理者は次のマルチテナント組織テンプレート設定に同意します。

• ID 同期は、ユーザーがこのテナントに同期できるように設定されます
• テナント間アクセスは、受信と送信の両方について、ユーザーの招待を自動的に引き換えるように設定されます

これは、対応する 3 つのテンプレート プロパティ値を true に設定することで実現されます。

• automaticUserConsentSettings.inboundAllowed
• automaticUserConsentSettings.outboundAllowed
• userSyncInbound

詳細については、「Microsoft 365 でマルチテナント組織に参加または脱退する」を参照してください。

マルチテナント組織の解体時のテナント間アクセス設定

現在、マルチテナント組織の解体に対応するポリシー テンプレート機能はありません。 パートナー テナントがマルチテナント組織を離脱した場合、各テナント管理者は、マルチテナント組織を離脱したパートナー テナントのテナント間アクセス設定を再調査し、結果に応じて修正する必要があります。

マルチテナント組織を離脱したパートナー テナントは、マルチテナント組織の以前のパートナー テナントすべてのテナント間アクセス設定を再調査し、結果に応じて修正する必要があります。また、テナント間アクセス設定の 2 つのポリシー テンプレートのリセットも検討する必要があります。

次のステップ

• Microsoft Graph API を使用してマルチテナント組織テンプレートを構成する