Entra IDのマルチテナント組織(MTO:multi-tenant organization)がGAされました
はじめに
以前、AzureADの「テナント間同期」という機能がプレビューになったことで、マルチテナント管理のやり方というのを妄想しました。
今回、この「マルチテナント管理」をもう少しマネージドに実現する「マルチテナント組織(MTO:multi-tenant organization)」という機能がGAされたようなので、機能を確認したいと思います。
Update紹介
Azure ADのサポートブログにて、情報公開されています。大元のブログ(米国)で紹介されたのは4月ですが、日本語化されて公開されています。うれしいですね。
できること
MTOでは、組織を作る「所有者(owner)」テナントと、組織に参加する「メンバー(Member)」テナントで構成されます。MTOに参加したテナント間で、以下のようなコラボレーションが簡単に実現できます、とのことです。
「簡単に」とは、従来のテナント間の外部アクセスの管理や、同期機能・ゲスト招待機能を使った場合と比べて…ですね。MTOの裏側の仕組みとしては「テナント間でゲスト招待を相互にし合って、各種機能を連携して使える」という状態のようです。
できることとして下記のような例が紹介されています。
- 人の検索で組織全体のユーザーを簡単に検索
→ MTOの組織内に存在する、別のテナントのユーザーもM365のユーザーとして検索対象になるようです。
- Microsoft Teams で従業員のコラボレーションを合理化
→ ゲスト招待されている別テナントのTeamsともシームレスに接続したり通知を受けることができ、またユーザー検索をした場合に「ゲストのAさん」「別テナントのAさん」など重複して検索されてしまっていたのが「The Aさん」で正しく結果を返すようになっているようです。
- 従業員とリーダーが Viva エンゲージを使用してつながるための新しい方法を解き放ちます
→ Vivaは使ったことがなくあまり語れないのですが…テナントの壁を越えてコラボレーションができるようです。
- Microsoft Defender XDR を使用してテナント間でインシデントを管理する
→ テナントの壁を越えて、MTOの組織の範囲の統一された環境で、検出された脅威の調査や対応が行えるようです。
ユースケース
Microsoftさんの想定するユースケースは「企業買収などにより、1つの組織(企業)の中に複数のEntra IDが存在してしまっている場合」や「グローバルな企業において、ブランチオフィス(国)ごとにEntra IDが存在している場合」といったときに、MTOで組織を組み、一括で管理したりEntra ID間のコラボレーションをしやすくする、ということのようです。
うれしいこと
SIer所属のAzurerとしては、冒頭に紹介した以前の記事のような「マルチAAD(Entra ID)」な環境を作り、マルチテナントな環境を管理しやすくする…というところに魅力を感じます。
※正直、M365のユーザーとしては、なかなか恩恵にあずかれる場面には出会わず…。
ということで、以前挙げたような使い方について、MTOがハマるか・・・ということを検証してみたいと思います(次回)
おわりに
以前は「1 組織には1 Entra IDがおススメ」というのがMicrosoftさんの公式の見解でしたが、だいぶ緩和されてきたように感じます。実際自分の使い方にハマるかどうか確かめていきたいと思います。
Discussion