※この記事内の方法は正式な技術情報(docs.microsoft.com) が公開されていないため、正式な手順ではない可能性があります。docs.microsoft.com の公開後に update もしくは削除を行う予定です。本記事の手順を試す場合は、本番環境では行わず、検証環境などでお試しください(2023/1/23 現在)

(2023/1/24 追記)
手順が公開されました。この記事は変更するか削除を行う予定です。
Graph API
Portal

Azure AD のテナント間同期(プレビュー) について

M365 管理センターの MC499440 として 2023/1/23 に通知されたと思ったら、あっというまに自分のテストテナントの "テナント間同期(プレビュー)" なるメニューが追加されました。

最近、Microsoft 365 が多くの企業に浸透するにつれて、企業統合や、グローバル企業での各リージョンで独自に構築した Microsoft 365 環境のユーザー連携を強化したいという相談が増えてきました。

その中核となる要望機能の一つとして、お互いのテナントに存在するユーザーをゲストとして自動で登録/更新したいというものがあります。

いままでも、Graph の招待 API などを使って自動化する事は不可能ではないものの、招待をした後のユーザー情報の継続的な同期を行うためには、MIM のような同期の仕組みが必要となります。

このような Azure AD の運用課題を解決する方法として、ネイティブな機能として、テナント間同期がついにリリースされました。

まだ、構成手順などの記載が間に合っていないのか Docs が公開されておりませんが、(公開されてないからですが)設定に苦慮したため、自分の備忘を込めて一旦手順を残しておきます。改めて正式な手順が公開されたらこの記事を削除するか Update するつもりです。

構築手順

1. 同期構成の作成

Azure Portal にアクセスし、[Azure Active Directory] 内にある、テナント間同期(プレビュー) を選択します。(テナントによってはまだ出ていないかもしれません)
テナント間同期の設定画面に遷移するため、[構成]を選択します
[+新しい構成] を選択します。
任意の名前を記載して、[作成]を選択します。(同期先テナントが識別できるような名称にしておくと良いでしょう)
構成が終わると以下のように一覧に表示されます。

2. テナント間同期ポリシーの作成

事前準備

Azure AD の Preview powershell のモジュール　バージョン 2.0.2.138 が必要です。
インストールするには、管理者権限で起動した PowerShell で以下のように実行します。

Install-Module -Name AzureADPreview -RequiredVersion 2.0.2.138

指定バージョン以降のモジュールがインストールされていれば、この手順はスキップいただいて構いません。

a.ソーステナント(ユーザーの同期元テナント) での操作

PowerShell を起動して、ソーステナントのグローバル管理者で Azure AD Powershell にサインインします。
```
Connect-AzureAD
```

を同期先のテナントのテナント ID に変更して、以下のスニペットを実行します。

SourceTennant.ps1

$HomePolicy = "{
	`"B2BManagementPolicy`":  { 
		`"InvitationsAllowedAndBlockedDomainsPolicy`":  { 
			`"AllowedDomains`":  [], 
			`"BlockedDomains`":  [] 
		}, 
		`"AutoRedeemPolicy`":  { 
			`"AdminConsentedForUsersIntoTenantIds`":  [{ 
				`"TenantId`":  `"<Target Tenant ID>`", 
				`"Name`":  `"Resource Tenant 1`" 
			}], 
			`"NoAADConsentForUsersFromTenantsIds`":  [] 
		} 
	} 
} "


New-AzureADPolicy -Definition $HomePolicy -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true

以下のように B2BManagementPolicy ポリシーが設定されている事を確認します(Get-AzureADPolicy に -Top 1 としているのは、w私のテスト環境で他のポリシーも表示されてしまうためですので、実際の環境で確認する際は不要です)

b.ターゲットテナント(ユーザーの同期先テナント) での操作

PowerShell を起動して、ターゲットテナントのグローバル管理者で Azure AD Powershell にサインインします。
```
Connect-AzureAD
```

を同期元テナントのテナント ID に変更して、以下のスニペットを実行します。

TargetTennant.ps1

$TargetPolicy = "{
	`"B2BManagementPolicy`":  { 
		`"InvitationsAllowedAndBlockedDomainsPolicy`":  { 
			`"AllowedDomains`":  [], 
			`"BlockedDomains`":  [] 
		}, 
		`"AutoRedeemPolicy`":  { 
			`"AdminConsentedForUsersIntoTenantIds`":  [], 
			`"NoAADConsentForUsersFromTenantsIds`":  [ 
			{ 
				`"TenantId`":  `"<Home Tenant ID>`", 
				`"Name`":  `"Home Tenant 1`" 
			}] 
		} 
	} 
} "

New-AzureADPolicy -Definition $TargetPolicy -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true

以上で PowerShell の操作は完了です。、

GraphExplorerにアクセスして同期先テナントのグローバル管理者でサインします。
アクセス許可への同意から Policy.Read.All と Policy.ReadWrite.CrossTenantAccess への同意を行います。

以下の内容で API を実行します。

項目	内容
メソッド	POST
URI	https://graph.microsoft.com/beta/policies/crossTenantIdentitySyncPolicy/partners
Content-type	application/json
本文	以下のbody.json 内の {Home Tenant Id} と {Display Name for Home Tenant} を実際の値に書き換える

body.json

{
    "tenantId": "{Home Tenant Id}",
    "displayName": "{Display Name for Home Tenant}",
    "userSyncInbound": {
        "isSyncAllowed": "true"
    }
}

Graph Exploer 上では以下のようになります。

実行結果として、以下のように表示されれば成功です。

同期構成の設定

Azure Portal のテナント間同期の画面に戻り、作成した同期の構成にアクセスします。
[作成の開始] を選択します。
プロビジョニングモードで[自動]を選択し、 Tennant Id に同期先テナントのテナント ID を指定します。その後、[テスト接続]をクリックします。成功したら、上部の[保存]をクリックします。

成功した場合、以下のように通知が行われます。

失敗した場合、以下のように通知が行われます。事前の同期ポリシーの設定などを見直してください。

完了後は以下のようにプロビジョニングの構成画面が表示されます。このままでも動作しますが、他のアプリケーションの同期と同じように属性のカスタマイズや削除の閾値の構成が可能です。
[ユーザーとグループ] ペインにアクセスし、同期対象となるユーザーを選択します。グループも利用可能です。
[概要]ペインから [プロビジョニングの開始] を選択します。

初期同期が完了すると以下のような表示になります。

同期が成功すればターゲットテナントにユーザーが同期されます。※この時通常の招待とは違い、既定では"メンバー" として同期される事にご注意ください。