Microsoft Entra 管理センターでテナント間同期を構成する

自分たちの利用している Teams や SharePoint などのリソースに、組織外のユーザーをゲストとして招待してアクセスさせる場合には、一般的に B2B コラボレーション機能が利用されます。

しかし、従来の B2B コラボレーションによるゲスト招待では、招待する側の管理者作業と、招待される側のユーザー作業がそれぞれ必要となり、手間がかかるという課題がありました。

そこで有効なのが「テナント間同期」です。

あらかじめプロビジョニング対象のユーザーを定義しておくことで、招待する側・される側双方の作業を省略でき、よりスムーズに利用を開始できます。

本記事では、このテナント間同期を活用し、他テナントに所属するユーザーを効率的にプロビジョニングする手順をご紹介します。

• テナント間同期の概要
  • テナント間同期の構成イメージ
  • テナント間同期の特徴
    • ライセンス
    • 同期対象/属性
    • 同期間隔
    • セキュリティ
• テナント間同期の設定手順
  • 本手順におけるテナント間同期構成
  • テナント間同期の設定項目
    • リソーステナント実施項目
    • ターゲットテナント実施項目
  • 事前準備
    • リソーステナント事前準備
    • ターゲットテナント事前準備
  • ターゲットテナント側作業
    • 組織の追加
    • 招待の自動引き換え
    • テナント間同期の有効化
  • リソーステナント側作業
    • 組織の追加
    • 招待の自動引き換え
    • 同期構成の作成
    • プロビジョニング設定
    • 対象設定
    • プロビジョニング有効化
  • ユーザーの同期状態確認
• おわりに

テナント間同期の概要

テナント間同期の構成イメージ

以下の図はテナント間同期の構成イメージとなります。

リソーステナントに所属しているユーザーC,Dをターゲットテナントにプロビジョニングさせた際の構成となります。

• リソーステナント：同期元(図左)
• ターゲットテナント：同期先(図右)

テナント間同期の特徴

テナント間同期には以下のような特徴があります。

ライセンス

• ソーステナント、ターゲットテナントそれぞれでMicrosoft Entra ID P1もしくはP2のライセンスが必要

同期対象/属性

• ソーステナント上のユーザーアカウント情報を基に、ターゲットテナント上にゲストユーザーを自動プロビジョニングすることが可能
• 自動プロビジョニング対象はユーザー、グループ単位で指定する他に特定の属性を持つことを条件にすることが可能
• 自動プロビジョニングされたゲストユーザーは既定ではユーザーの種類が「メンバー」として作成されるため、従来のゲストユーザーより高い権限を持つことになる(属性マッピング設定にて、「ゲスト」として同期させることも可能)

同期間隔

• ソーステナント側で変更したユーザーアカウント情報が定期的な同期処理*1により、ターゲットテナント上のゲストユーザーアカウントに情報*2が反映される

セキュリティ

• 自動プロビジョニングされたゲストユーザーは従来のゲストユーザーと同様に条件付きアクセスを適用することができるためセキュアな運用が可能

テナント間同期の設定手順

本手順におけるテナント間同期構成

本記事は以下の構成でテナント間同期を構成します。

なお、本記事ではデモ環境を使用しています。登場する同期対象ユーザー「Alex Wilber」は、このデモ環境に既定で用意されているユーザーです。

• リソーステナント：ユーザー作成テナント(図左)
• ターゲットテナント：ユーザー招待テナント(図右)
• 同期ユーザー：Alex Wilber

テナント間同期の設定項目

テナント間同期を実施するには、リソーステナントとターゲットテナントの双方で設定を行う必要があります。

以下に、それぞれのテナントで実施すべき項目をまとめています。

リソーステナント実施項目

1. 組織の追加
2. 招待の自動引き換え
3. 同期構成の作成
4. プロビジョニング
5. 対象設定
6. プロビジョニング有効化

ターゲットテナント実施項目

1. 組織の追加
2. 招待の自動引き換え
3. テナント間同期の有効化

事前準備

テナント間同期の設定を行う前に、以下の事前準備を行います。

リソーステナント事前準備

• リソーステナントを作成する
• リソーステナントの設定を行う管理者アカウントに「セキュリティ管理者」「ハイブリットID管理者」「クラウドアプリケーション管理者またはアプリケーション管理者」のロールを付与する
• 同期するユーザーを作成する
• Microsoft Entra ID P1もしくはP2のライセンスを保有しておく

ターゲットテナント事前準備

• ターゲットテナントを作成する
• ターゲットテナントの設定を行う管理者アカウントに「セキュリティ管理者」ロールを付与する
• Microsoft Entra ID P1もしくはP2のライセンスを保有しておく

ターゲットテナント側作業

ターゲットテナント側の設定項目は以下の3点となります。

1. 組織の追加
2. 招待の自動引き換え
3. テナント間同期の有効化

組織の追加

まず、同期する組織のテナントIDを登録するために組織の追加作業を実施します。

1.Microsoft Entra 管理センターに接続する。

2.[External Identities]>[テナント間アクセス設定]をクリックする。

3.[組織の設定]をクリックする。

4.[組織の追加]をクリックする。

5.リソーステナント(同期元)のテナントIDを入力し、[追加]をクリックする。

招待の自動引き換え

ゲスト招待を自動的に引き換える設定を有効化するために招待の自動引き換え作業を実施します。

1.[External Identities]>[テナント間アクセス設定]>[組織の設定]の[受信アクセス]>[既定値からの継承]をクリックする。

2.[信頼の設定]をクリックする。

3.[自動引き換え]>[テナント○○で招待を自動的に引き換える]にチェックを入れ、[保存]をクリックする。

テナント間同期の有効化

テナント間同期の構成を有効化する作業を実施します。

1.[テナント間同期]をクリックする。

2.[ユーザーにこのテナントへの同期を許可する]にチェックを入れ、[保存]をクリックする。

※既にチェックが入っている場合はこちらの手順を省略して下さい。

リソーステナント側作業

リソーステナント側の設定項目は以下の6点となります。

1. 組織の追加
2. 招待の自動引き換え
3. 同期構成の作成
4. プロビジョニング設定
5. 対象設定
6. プロビジョニング有効化

組織の追加

同期する組織のテナントIDを登録するために組織の追加作業を実施します。

1.Microsoft Entra 管理センターに接続する。

2.[External Identities]>[テナント間アクセス設定]をクリックする。

3.[組織の設定]をクリックする。

4.[組織の追加]をクリックする。

5.ターゲットテナント(同期先)のテナントIDを入力し、[追加]をクリックする。

招待の自動引き換え

ゲスト招待を自動的に引き換える設定を有効化するために招待の自動引き換え作業を実施します。

1.[External Identities]>[テナント間アクセス設定]>[組織の設定]の[送信アクセス]>[既定値からの継承]をクリックする。

2.[信頼の設定]をクリックする。

3.[自動引き換え]>[テナント○○で招待を自動的に引き換える]にチェックを入れ、[保存]をクリックする。

同期構成の作成

同期を行うための構成設定作業を実施します。

1.[テナント間同期]>[構成]をクリックする。

2.[新しい構成]をクリックする。

3.[構成名]を入力し、[作成]をクリックする。

プロビジョニング設定

ユーザーを同期するためにプロビジョニング設定作業を実施します。

1.構成の[作業開始]をクリックする。

2.[手動]となっているプロビジョニングモードを[自動]に変更する

3.詳細設定を以下の通りに入力して[保存]をクリックする。

管理者資格情報：

• 　認証方法：テナント間同期ポリシー
• 　Tenant Id：ターゲットテナント(同期先)のテナントID
• 　テスト接続：クリックする

設定：

• 　エラーが発生したときにメール通知を送信します：任意で設定
• 　誤削除を防止する：任意で設定

※以下の[設定]項目に関しては、一度[保存]をしないと、設定することができないため設定を行いたい場合は、一度保存を行ってから再度設定して保存をしてください。

• 通知用メール
• 誤削除のしきい値

対象設定

プロビジョニング時の同期情報および対象を設定する作業を実施します。

1.[テナント間同期]>[構成]で対象の構成をクリックする。

2.[管理]>[ユーザーとグループ]をクリックする。

3.[ユーザーまたはグループの追加]をクリックする。

4.[選択されていません]をクリックする。

5.対象ユーザーにチェックを付けて、[選択]をクリックする。

6.[割り当て]をクリックする。

7.任意で[属性マッピング]を設定する。

本手順では、例としてプロビジョニング先で表示される名前を[名前＋（guest）]にカスタマイズします。

7-1.[属性マッピング]をクリックする。

7-2.[Provision Microsoft Entra ID Users]をクリックする。

7-3.[displayName]の[編集]をクリックする。

7-4.下記のように設定を行い[OK]をクリックする。

• 式：Append([displayName], "（guest）")
• Null の場合の既定値(オプション)：なし
• 対象の属性：displayName
• この属性を使用してオブジェクトを照合する：いいえ
• 照合の優先順位：なし
• このマッピングを適用する：常時

7-5.[displayName]が設定した式になっていることを確認して[保存]をクリックする。

7-6.[変更の保存]にて、[はい]をクリックする。

プロビジョニング有効化

実際にユーザーを同期するためにプロビジョニングの有効化作業を実施します。

1.[テナント間同期]>[構成]>[作成した構成]をクリックする。

2.[プロビジョニング]をクリックする。

3.[プロビジョニング状態]をオンにして[保存]をクリックする。

※同期は40分間隔で実施されます。

ユーザーの同期状態確認

下記手順は、プロビジョニング有効化を行ってから40分以上経過した後に確認を行います。

1.ターゲットテナントのMicrosoft Entra 管理センターにサインインします。

2.[ユーザー]>[すべてのユーザー]にて、リソーステナントで設定したプロビジョニング対象ユーザーが同期されているか確認します。

※本手順では、表示名を指定する設定を行ったため、表示名も設定した通りに表示されているか確認を行い完了となります。

おわりに

本記事では、Entra ID のテナント間同期を活用し、他テナントに所属するユーザーを効率的にプロビジョニングする手順をご紹介しました。

他テナントのユーザーを一括で自社テナントに取り込む際には、テナント間同期を構成することでゲスト招待の作業を大幅に効率化できます。

ぜひ本記事を参考に、運用の最適化にお役立てください。