Microsoft 365 でのマルチテナント組織の計画

  • [アーティクル]

注:

マルチテナント組織は、Microsoft 365 China (21Vianet が運営) では使用できません。 組織が複数の Microsoft 365 テナントを管理している場合は、テナント間のコラボレーションとリソース アクセスを容易にするために、Microsoft 365 でマルチテナント組織を設定できます。 マルチテナント組織を作成し、テナント間でユーザーを同期すると、 互いに検索するとき、Microsoft Teamsや会議を使用したり、ファイルで共同作業を行ったりするときに、異なるテナント内のユーザー間でよりシームレスなコラボレーション エクスペリエンスが提供されます。

マルチテナント組織を作成するテナントは 所有者 と呼ばれ、マルチテナント組織に参加する他のテナントはメンバーと呼 ばれます。 所有者テナントのグローバル管理者がマルチテナント組織を作成したら、メンバー テナントを招待できます。 その後、各メンバー テナントのグローバル管理者がマルチテナント組織に参加できます。

重要

Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。

Microsoft 365 管理センターで Microsoft 365 マルチテナント組織を構成している間、サポート インフラストラクチャの多くは Microsoft Entra ID にあります。 Microsoft Entra ID でのマルチテナント組織の動作の詳細については、「 Microsoft Entra ID のマルチテナント組織とは」 と「 テナント間同期のためのトポロジ」を参照してください。

テナント間のユーザー同期

マルチテナント組織は、Microsoft Entra B2B コラボレーション ユーザーを使用してテナント間でユーザーを同期します。 テナントのユーザーは、マルチテナント組織の他のテナントで B2B コラボレーション ユーザーとしてプロビジョニングされますが、ユーザーの種類はゲストではなくメンバーです。 (これらのロールの違いについては、「 Microsoft Entra ID の既定のユーザーアクセス許可とは」 を参照してください)。メンバー ユーザーの種類は、マルチテナント組織の Teams で必要です。

組織全体にロールアウトする前に、少数のユーザーセットから開始することをお勧めします。 完全なロールアウトを行う場合は、最適なユーザー エクスペリエンスを得るには、マルチテナント組織のすべてのテナント間ですべてのユーザーを同期することを強くお勧めします。 ただし、必要に応じて、異なるユーザーを異なるテナントに含め、ユーザーのサブセットを同期できます。

Microsoft 365 管理センターでユーザー同期を構成すると、同じユーザーがマルチテナント組織内のすべてのテナントに同期されます。 異なるユーザーを異なるテナントに同期するには、Microsoft Entra ID で構成する必要があります。

ユーザー同期が構成されたら、Microsoft Entra ID で、ユーザー スコープや属性マッピングなどの同期設定を調整できます。 (1 つの外部テナントに対して複数のテナント間同期構成を作成できますが、管理を容易にするために 1 つだけを使用することをお勧めします)。詳細については、「 テナント間同期の構成」を参照してください。

既存のテナント間同期構成

Microsoft Entra ID に既存のテナント間同期構成がある場合は、Microsoft 365 でマルチテナント組織を設定した後も引き続き動作します。 これらの構成を引き続き使用して、Microsoft 365 マルチテナント組織のユーザーを同期できます。 (Microsoft 365 管理センターではこれらの構成は認識されず、送信同期の状態は未構成として表示されることに注意してください)。

既に B2B メンバー ユーザーが MTO の一部であるテナントと同期している場合、それらのユーザーは MTO の形成時にすぐに MTO メンバーになります。

Microsoft 365 管理センターを使用して、テナント間でユーザーを同期できます。 これにより、Microsoft Entra ID に新しいテナント間同期構成が作成されます。 新しい構成と以前に既存の構成の両方が実行され、指定したユーザーが同期されます。

特定のテナントにユーザーを同期するための構成は 1 つだけにすることをお勧めします。 すべてのテナントに同じユーザーを同期する場合は、 Microsoft 365 管理センターで同期を構成します。 異なるユーザーを異なるテナントに同期する場合は、 Microsoft Entra ID で同期を構成します。

Microsoft Entra ID のテナント間アクセス設定

新しいマルチテナント組織を作成するか、既存のマルチテナント組織に参加すると、マルチテナント組織の他の組織がテナントの Microsoft Entra クロステナント アクセス設定 に追加されます。

マルチテナント組織に追加するテナントと Microsoft Entra ID で構成されている組織関係が既にある場合、既存の構成は次のように更新されます。

  • 受信テナント間同期設定が更新され、ユーザーがテナントに同期できるようになります。
  • 送信信頼設定が更新されるため、このテナントのユーザーは、クロステナント同期、B2B コラボレーション、または B2B 直接接続 (共有チャネル) を使用して他のテナントに初めてアクセスする際に同意プロンプトを受け入れる必要はありません。

既存の組織関係の B2B コラボレーション設定を確認して、適切なユーザーとアプリが許可されていることを確認することをお勧めします。

新しいMicrosoft Teams デスクトップ クライアント

マルチテナント組織で最適なエクスペリエンスを実現するには、 新しいMicrosoft Teams デスクトップ クライアントが必要です。 新しい Teams デスクトップ クライアントを使用すると、ユーザーは次のことができます。

  • マルチテナント組織のすべてのテナントからリアルタイム通知を受信する
  • 通話や会議から削除することなく、すべてのテナントでチャット、会議、通話に参加して、テナントを切り替えます。
  • 各アカウントと組織の状態を個別に設定します。
  • ユーザー プロファイル カードに組織名とメール アドレスが表示される

新しい Teams デスクトップ クライアントを使用できるユーザーを制御するには、Teams 更新ポリシーを使用します。 詳細については、「ポリシーを使用して新しい Teams を展開する」を参照してください。

外部アクセスで信頼されている組織

テナント間のチャットや通話には外部アクセスが必要です。 外部組織の Teams および Skype for Business ユーザーの外部アクセスは、マルチテナント組織のテナントごとに構成する必要があり、マルチテナント組織内のすべてのテナントのドメインを許可する必要があります。 さらに、テナント間で同期するすべてのユーザーは、外部組織の Teams ユーザーと Skype for Business ユーザーとの外部アクセスを有効にする必要があります。 詳細については、「 Microsoft ID を使用して外部会議を管理し、ユーザーや組織とチャットする」を参照してください。

マルチテナント組織の共有チャネル

マルチテナント組織の他のテナントと Teams で共有チャネル を使用する場合は、他の外部組織と共有チャネルを使用する場合と同じように動作します。 Microsoft Entra ID の組織関係はマルチテナント組織構成の一部として構成されていますが、Teams で共有チャネルを有効にし、Microsoft Entra ID で B2B 直接接続設定を構成する必要があります。 詳細については、「 共有チャネルで外部参加者と共同作業する」を参照してください。

ライセンス要件

マルチテナント組織機能を使用するには、すべてのマルチテナント組織テナントで Microsoft Entra ID P1 以上のライセンスが必要です。 詳細については、「 Entra マルチテナント組織のライセンス要件」を参照してください。 Microsoft 365 管理センターまたは Microsoft Entra ID を使用して Entra クロステナント同期 を利用する予定の場合は、「 Entra クロステナント同期ライセンス要件」も参照してください。

Microsoft 365 のマルチテナント組織の制限事項

Microsoft 365 のマルチテナント組織の制限事項を次に示します。

  • マルチテナント組織では、最大 100 のテナントがサポートされています。
  • Web 上の Teams、Microsoft Teams Rooms (MTR)、VDI/AVD はサポートされていません。
  • 他のテナントからの通知を受信したり、テナントを切り替えたりするためのアクセス許可を付与または取り消す機能は、モバイルではサポートされていません。
  • 自分の アカウントがもともとゲストであり、以前に SharePoint リソースにアクセスしていた場合、組織内のユーザーのリンクが別のテナントのユーザーに対して機能しない可能性があります。
  • ユーザーが同期されると、ユーザーが検索に表示されるまでに最大 7 日かかる場合があります。 ユーザーが 7 日後に検索できない場合は、Microsoft サポートにお問い合わせください。
  • Power BI でのメンバーのゲスト UserType のサポートは現在プレビュー段階です。 詳細については、「 Microsoft Entra B2B を使用して外部ゲスト ユーザーに Power BI コンテンツを配布する」を参照してください。

100 を超えるテナントを追加する場合は、Microsoft サポートにお問い合わせください。

その他の制限事項については、「 マルチテナント組織の制限事項」を参照してください。

マルチテナント組織を設定または参加する

テナントが所有者である新しいマルチテナント組織を設定するには、「 Microsoft 365 でマルチテナント組織を設定する」を参照してください。

既存のマルチテナント組織にメンバー テナントとして参加するには、「 Microsoft 365 でマルチテナント組織に参加または脱退する」を参照してください。

PowerShell または Microsoft Graph API を使用してテナント間同期を構成する

Microsoft 365 のマルチテナント組織のユーザーを同期する