テナント分離の事前アセスメント ― 共有データの仕分けチェックリスト|テナント分離ガイド第3回
テナント分離プロジェクトの成否は、事前アセスメントの精度で7割が決まります。「とりあえず移行ツールを契約してデータを移し始める」とプロジェクトが必ず迷走します。
本記事では、分離の作業計画を立てる前に押さえるべき棚卸し項目を、領域別チェックリストとしてまとめます。
アセスメントの目的
事前アセスメントで明らかにしたいのは以下の4点です。
- 何が(オブジェクト):分離対象のユーザー・データ・設定の全量
- どこに(所在):旧テナントのどのワークロードに存在するか
- 誰の(所有):個人所有か、部門所有か、全社共有か
- どう移すか(仕分けルール):旧に残す/新に移す/コピーして両方に置く/廃棄
1. ユーザー・グループのアセスメント
必須棚卸し項目
- 分離対象社員の確定リスト(人事DBと突合)
- 兼務者・出向者の取り扱い(どちらに所属するか)
- 退職予定者・契約終了予定者(分離前に処理するか)
- サービスアカウント(業務システム連携用)
- 外部ゲスト(B2Bユーザー)の所属
- 配布リスト・セキュリティグループのメンバー全量
- 動的グループのクエリ条件
- Microsoft 365 グループ(Teams・Plannerに紐づく)
よくある罠
兼務者の二重カウント:A部門・B部門の両方に所属する社員を、両テナントに作成すると2倍のライセンスがかかります。事業部門・人事部と協議して「主籍」を決めてください。
休眠グループ:使われていないが残っている配布リスト・セキュリティグループが大量にあります。Get-DistributionGroup(PowerShell)で過去90日のメンバー追加・メール送信履歴を取得し、棚卸し対象の母集団を絞り込みます。
2. メール・カレンダーのアセスメント
個人メールボックス
- 対象ユーザーのメールボックスサイズ・アイテム数
- アーカイブメールボックスの有無
- メール転送ルール(自動転送設定)
- 受信トレイ仕分けルール
- 共有予定表・代理アクセス設定
共有メールボックス(M365)/グループメール(GWS)
- 共有メールボックスの一覧と所有部門
- フルアクセス権限・送信権限を持つユーザー
- 過去90日のメール受信件数(実利用かどうか)
- アクセス権を持つメンバーの分離後の所属
配布リスト(DL)/グループ
- 配布リストのメンバー全量
- 内部のみ/外部受信可能の設定
- エイリアスドメインでの送受信実績
仕分けルールの例
| 共有MB/DLの利用実態 | 推奨対応 |
|---|---|
| 旧組織のみが使用 | 旧テナントに残す |
| 新組織のみが使用 | 新テナントに新規作成、旧は削除 |
| 両組織が使用 | 両方に新規作成 + メール転送で重複配信 |
| 過去90日未使用 | 棚卸しで廃止検討 |
3. ファイル・コラボレーションのアセスメント
OneDrive for Business / Google Drive(個人)
- 対象ユーザーのストレージ容量
- 個人OneDriveから外部・内部に共有しているリンク数
- 旧組織メンバーが共有しているリンクの棚卸し(分離後にアクセス不可になる)
SharePoint Online / 共有ドライブ
- サイト・共有ドライブの一覧
- 各サイトの所有部門と「主たる利用者」
- サイトコレクション管理者
- 過去90日のアクセス頻度(休眠サイトの抽出)
- サイト内のサブサイト・ライブラリ・リスト構造
- カスタムワークフロー(Power Automate / Apps Script)の有無
仕分けの優先順位
- 部門専属サイト → 所有部門と一致するテナントへ移管
- 全社共有サイト(社内規程、人事資料等)→ 両組織で必要なら両テナントにコピー、機密度に応じて選別
- プロジェクトサイト → プロジェクトの所属部門で判定
- 個人プロジェクトサイト → 個人の所属に追従
4. Teams / Google Chat のアセスメント
Teams は最も分離が複雑な領域です。チーム=Microsoft 365 グループ=SharePointサイトという3つの実体が紐づいているため、グループの分離はメール・ファイル・チャット・会議録すべてに影響します。
棚卸し項目
- Teamsチームの一覧と所有者
- チャネルの一覧(プライベートチャネル、共有チャネル)
- チャネル内のファイル容量
- チャット履歴(個人チャット、グループチャット)
- 会議録、レコーディング(OneDrive・SharePointに保存)
- 外部組織との共有チャネル
移行アプローチの選択
- 新規作成(クリーンスタート):チャット履歴は引き継がず、新テナントでチームを作り直す。最もシンプルだが過去履歴を失う。
- アーカイブ+新規作成:旧テナント側でチームをアーカイブし、新テナントでクリーン作成。過去履歴は閲覧専用で旧テナントに残す(TSA期間中のみ)。
- ツール移行:BitTitan、AvePoint等でチャット履歴も含めて移行。技術的に最も複雑、コスト高。
5. ID・認証・SaaS連携のアセスメント
Entra ID / Google Directory
- 条件付きアクセスポリシー一覧
- アプリ登録(Service Principal)一覧
- エンタープライズアプリ(SaaS連携)一覧
- SCIM プロビジョニング設定
- PIM(Privileged Identity Management)設定
- B2Bゲストユーザー一覧
SaaS連携の棚卸し
旧テナントとSSO・SCIM連携しているSaaSアプリは、分離対象ユーザー分の設定を新テナントに移植する必要があります。
| SaaSの分類 | 対応 |
|---|---|
| 全社で使用、両組織で継続利用 | 両テナントから接続できるよう設定変更 |
| 旧組織のみが使用 | 旧テナントの設定維持、新テナント側は接続解除 |
| 新組織のみが使用 | 新テナント側に新規SSO設定、旧テナント側は接続解除 |
| 契約自体が分離(事業譲渡で契約も移管) | SaaSベンダーへの契約移管手続き+新テナント設定 |
よくある罠
SaaSのライセンス契約は誰が持っているか:契約書を確認しないと、ライセンスが旧組織所有のままで新組織が使えない、またはその逆が発生します。事業譲渡契約に「IT契約のリスト」を別紙で添付することを強く推奨します。
6. デバイス・エンドポイントのアセスメント
- Intune / Google Endpoint Management 登録デバイス数
- 分離対象ユーザーの貸与PC・スマホ
- BYODの取り扱い
- アプリ展開ポリシー、コンプライアンスポリシー
- BitLocker回復キーの管理
デバイスは物理的に新組織に引き渡される場合、Intuneから抜いて新テナントに再登録する作業が発生します。
7. ガバナンス・コンプライアンスのアセスメント
- Sensitivity Label の構成
- DLP ポリシー
- 保持ポリシー、保持ラベル
- eDiscovery のホールド対象
- 監査ログの保持期間設定
- Defender for Office 365 / Cloud Apps の設定
特にeDiscoveryホールド中のメールボックスは、分離前に解除またはエクスポートしないと、移行後にデータ整合性が失われる可能性があります。法務担当との協議が必須です。
8. ドメイン・DNSのアセスメント
- 旧テナントに登録された全ドメイン
- 各ドメインの主たる用途(メール、SAML等)
- 新テナントに移管するドメイン
- DNSレコード(MX、SPF、DKIM、DMARC、CNAME、TXT)
- 第三者SaaSが利用しているCNAME(マーケティングオートメーション等)
アセスメント成果物のテンプレート
以下のドキュメントをアセスメント成果物として整備します。
- 分離対象オブジェクト一覧表(Excel):ユーザー・グループ・メールボックス・サイト・チームを行に、属性を列に
- 仕分けルール定義書(Word):境界があいまいなオブジェクトの判断基準
- データ容量・移行時間の試算表:ツール選定の根拠
- リスク・依存関係マップ:SaaS連携、ハードコーディングされたID参照等
- TSAスケジュール案:事業譲渡契約と整合する分離完了マイルストーン
次に読むべき記事
アセスメントが完了したら、いよいよM365テナント分離の実作業に入ります。
→ 第4回:Microsoft 365 テナント分離の手順 ― 4フェーズの実務
情シス365のアセスメント支援
「アセスメントだけ手伝ってほしい」というご依頼にも対応しています。2〜4週間の現状調査で、分離プロジェクトの全体像と工数試算をご提示します。