Azure Virtual Network Manager でのテナント間のサポートにより、組織は複数のテナントとそのサブスクリプションにわたって仮想ネットワークを一元的に管理できます。 この記事では、シナリオ、利点、テナント間接続を確立する方法について説明します。
テナント間サポートの概要
Azure Virtual Network Manager でのテナント間サポートを使用すると、他のテナントのサブスクリプションと管理グループを Azure Virtual Network Manager インスタンスまたはネットワーク マネージャーに追加できます。 ネットワーク マネージャーとターゲット テナントの間に双方向接続を確立することで、ネットワーク マネージャーでテナント間のサポートを確立できます。 接続されると、ネットワーク マネージャーは、接続されたテナント間サブスクリプションと管理グループ全体の仮想ネットワークに構成をデプロイできます。
テナント間サポートは、次のシナリオに適合する組織を支援します。
取得: 組織が買収を通じてマージし、複数のテナントを持つインスタンスでは、テナント間のサポートにより、中央ネットワーク マネージャーがテナント全体の仮想ネットワークを管理できます。
マネージド サービス プロバイダー: マネージド サービス プロバイダーのシナリオでは、組織は他の組織のリソースを管理できます。 テナント間サポートにより、複数のクライアントに対する中央サービス プロバイダーによる仮想ネットワークの一元管理が可能になります。
テナント間接続を確立する
テナント間のサポートを確立するには、まず、2 つのテナント間にテナント間接続を作成します。 テナント間のサポートには、ネットワーク マネージャーとターゲット テナントの仮想ネットワーク マネージャー ハブの 2 方向の同意が必要です。 接続は次のとおりです。
| 接続タイプ | 説明 |
|---|---|
| ネットワーク マネージャー接続 | ネットワーク マネージャーからテナント間接続を作成します。 接続には、ネットワーク マネージャーで管理するテナントのサブスクリプションと管理グループの正確なスコープが含まれます。 |
| 仮想ネットワーク マネージャー ハブ接続 | テナントは、仮想ネットワーク マネージャー ハブからテナント間接続を作成します。 この接続には、中央ネットワーク マネージャーによって管理されるサブスクリプションと管理グループとまったく同じスコープが含まれます。 |
両方のテナント間接続が存在し、スコープがまったく同じになると、実際に接続が確立されます。 管理者は、ネットワーク マネージャーを使って、テナント間リソースを ネットワーク グループ に追加し、接続スコープに含まれる仮想ネットワークを管理できます。 その後、テナント間の仮想ネットワークに構成をデプロイできます。
テナント間接続を確立して維持できるのは、各パーティからの両方の接続が存在する場合のみです。 いずれかの接続が削除されると、テナント間接続が切断されます。 テナント間接続を削除する必要がある場合は、次の手順に従います。
- Azure portal のクロステナント接続設定を使用して、ネットワーク マネージャー側から テナント間接続 を削除します。
- Azure portal の 仮想ネットワーク マネージャー ハブのテナント間の接続設定から、テナント側からクロステナント接続を削除します。
注
テナント間接続がいずれかの側から削除されると、ネットワーク マネージャーは、その以前の接続のスコープの下でテナントのリソースを表示または管理することはできません。
接続の状態
テナント間接続の作成に必要なリソースには、関連付けられているスコープがネットワーク マネージャー スコープに追加されるかどうかを表す状態があります。 使用可能な状態の値には以下のものがあります:
| 状態 | 説明 |
|---|---|
| 接続済み | ネットワーク マネージャー接続とテナント側の仮想ネットワーク マネージャー ハブ接続の両方が、一致するスコープで存在します。 テナント間スコープがネットワーク マネージャーのスコープに追加されます。 |
| 保留中 | 2 つの接続リソースの 1 つが作成されません。 テナント間スコープはまだネットワーク マネージャーのスコープに追加されていません。 |
| 葛藤 | このサブスクリプションまたはテナント間スコープで定義された管理グループを持つネットワーク マネージャーが既に存在します。 同じスコープ アクセス権を持つ 2 つのネットワーク マネージャーは、同じスコープを直接管理できないため、このサブスクリプションまたは管理グループをネットワーク マネージャー スコープに追加することはできません。 競合を修正するには、競合するネットワーク マネージャーのスコープからテナント間スコープを削除し、適切な接続リソースを再作成します。 |
| 失効 | テナント間のスコープは一度にネットワーク マネージャーのスコープに追加されましたが、接続リソースを削除すると、テナント間接続が取り消されました。 |
テナント 間スコープがネットワーク マネージャー スコープに追加されることを表す唯一の状態は Connected です。
必要なアクセス許可
Azure Virtual Network Manager でテナント間接続を使用するには、ユーザーに次のアクセス許可が必要です。
中央管理テナントの管理者は、ターゲット管理テナントにゲスト アカウントを持っています。
管理者ゲスト アカウントには、適切なスコープ レベル (管理グループ、サブスクリプション、または仮想ネットワーク) で適用されるネットワーク 共同作成者 のアクセス許可が含まれます。
アクセス許可の設定に関するヘルプが必要ですか? Azure portal でゲスト ユーザーを追加する方法と、Azure portal でリソースにユーザー ロールを割り当てる方法を確認する
既知の制限事項
現時点では、テナント間仮想ネットワークは、手動でのみネットワーク グループに追加できます。 Azure Policy を使用して条件付きでクロステナント仮想ネットワークをネットワーク グループに追加することは、今後の機能です。