Microsoft Entra Tenant Governanceでマルチテナントを保護

Introduction

複数の Microsoft Entra テナントにまたがる ID 管理は、セキュリティと運用の両面で大きな課題になっています。組織が M&A や分散型 IT によって拡大するにつれ、未管理またはシャドー テナントが MFA、Conditional Access、特権アクセス制御に深刻なギャップを生む可能性があります。

Microsoft Entra Tenant Governance は、この課題に対応するために設計されています。IT 部門とセキュリティ チームに対し、関連テナントを検出し、ガバナンスを確立し、テナント全体でセキュリティ標準を継続的に適用するための一元的な方法を提供します。

What’s new in Entra Tenant Governance

Related tenant discovery

Microsoft Entra は現在、以下を含むリスク情報に基づく検出シグナルを使用して、組織が関連テナントを特定できるよう支援します。

• B2B access relationships
• Multi-tenant application connections
• Microsoft billing relationships

これにより、正式なインベントリに含まれていない場合でも、ガバナンス上の対応が必要な可能性があるテナントを、管理者が継続的に更新されるビューで把握できます。

Governance relationships with delegated administration

組織は、リクエストと承認のワークフローを通じて、ガバナンス元テナントとガバナンス対象テナントの間に tenant governance relationship を確立できます。

主なメリットは次のとおりです。

• 最小権限の委任管理
• すべてのテナントに個別のローカル管理者アカウントを用意する必要がない
• 組み込み Entra ロールにマッピングされたセキュリティ グループを使用した一元的なアクセス管理
• Microsoft の管理エクスペリエンス全体で一貫した管理

Microsoft はさらに、委任アクセスが Defender の multi-tenant management シナリオにも拡張できると述べています。

Tenant configuration management

Entra Tenant Governance では、設定を長期的に整合させるための configuration baselines も導入されます。

管理者は次のことを実行できます。

• JSON で desired-state baseline を定義する
• Microsoft サービス全体で 200 を超える resource types を対象にする
• Entra、Exchange、Intune、Defender、Purview、Teams の設定を含める
• 既知の適切なテナントの configuration snapshots を出発点として使用する

これにより、構成ドリフトを減らし、異なる種類のテナント間でセキュリティとコンプライアンスを標準化しやすくなります。

Why this matters for IT admins

Entra 管理者とセキュリティ チームにとって、最大の利点は可視性と制御です。スクリプト、手動インベントリ、または分断された管理モデルに依存する代わりに、組織は単一のコントロール プレーンからマルチテナント環境を管理できます。

これは、シャドー テナントや買収した環境が、脆弱なポリシーや未管理アプリを通じて本番リソースを露出させる可能性がある場合に特に重要です。Tenant Governance は、そうしたリスクをより早く特定し、すべてのテナントに同じ運用モデルを強制することなく、一貫した制御を適用するのに役立ちます。

Next steps

• 現在のテナント環境を見直し、M&A やシャドー IT による露出を確認する
• Related tenant discovery を使用して高リスクの接続テナントを特定する
• 一元化された最小権限の管理に向けて governance relationships を計画する
• コア ワークロード向けの configuration baselines を定義し、ドリフトを監視する

マルチテナント環境が拡大している組織にとって、Entra Tenant Governance は、より強力なクロステナント セキュリティと、よりシンプルな管理に向けた重要な一歩となりそうです。