Microsoft 365 テナント分離の手順 ― 4フェーズの実務|テナント分離ガイド第4回
事前アセスメントが完了したら、いよいよM365テナント分離の実作業に入ります。本記事では、分離プロジェクトを 計画→環境準備→データ移行→切替・クリーンアップ の4フェーズに分けて、各フェーズで必要な作業を解説します。
なお、Google Workspace のテナント分離手順は 第5回(M365 / GWS テナント分離ガイド) で扱います。
プロジェクト全体のタイムライン目安
| フェーズ | 期間 | 主要成果物 |
|---|---|---|
| Phase 1:分離計画 | 2〜4週間 | 分離スコープ、移行方式、TSA合意 |
| Phase 2:環境準備 | 2〜4週間 | 新テナント、ID基盤、共存設定 |
| Phase 3:データ移行 | 4〜12週間 | メール・OneDrive・SharePoint・Teams移行 |
| Phase 4:切替・クリーンアップ | 1〜2週間 | DNS切り替え、旧テナント整理 |
100名規模で 3〜5ヶ月 が実プロジェクトの標準です。500名規模になると6〜9ヶ月かかります。
Phase 1:分離計画(2〜4週間)
1-1. スコープの確定
第3回のアセスメント結果を元に、分離対象を最終確定します。
- 対象ユーザーの確定
- データの仕分け基準の確定
- 旧テナントに残すもの/新テナントに移すもの/両方に複製するもの/廃棄するものの明確化
- ドメインの扱い(移管 or 新規取得)
- カットオーバー日の仮決定
1-2. 新テナントの設計
新テナント側で必要なものを洗い出し、設計書を作成します。
- ライセンス購入計画(Business Premium / E3 / E5 等)
- セキュリティ基準(MFA、条件付きアクセス、Defender)
- ドメイン設定方針
- アドオンライセンス(Entra ID Premium、Intune、Power BI)
1-3. 移行ツールの選定
100名以上の分離では原則として商用ツール(BitTitan MigrationWiz、AvePoint FLY、Quest On Demand等)を使います。手動移行はメール程度に留めるべきで、SharePoint・Teamsを手動移行するとプロジェクトが破綻します。
→ 詳細は第9回:分離向け移行ツール比較へ。
1-4. 共存期間中のアクセス制御設計
カットオーバー前は、分離対象データに 新組織メンバーがアクセスし続ける 状態が発生します。Sensitivity Label、DLP、Information Barrier の設計が必要です。
→ 詳細は第7回:共存期間中のアクセス制御へ。
Phase 2:環境準備(2〜4週間)
2-1. 新テナントのセットアップ
□ Microsoft 365 テナント新規作成
□ 組織情報の設定
□ ライセンス購入と割り当て計画
□ デフォルトドメイン(newco.onmicrosoft.com)の確認
□ Microsoft 365 管理者・全体管理者の作成
□ 監査ログの有効化2-2. セキュリティベースラインの構築
新テナントでは、最初からセキュリティ設定を入れた状態で構築するのが鉄則です。後から入れると例外処理ばかりが増えます。
- MFA 全ユーザー必須化
- 条件付きアクセス(ベースライン)
- パスワードレス認証(Windows Hello / FIDO2)の検討
- Defender for Office 365 の有効化
- 既定のSensitivity Label、DLPポリシー
2-3. ID 同期・Cross-Tenant Sync の設定
旧テナントから新テナントへ、対象ユーザーのIDを同期する仕組みを作ります。
- Cross-Tenant Sync(推奨):旧テナントのユーザーが新テナントにメンバーとして自動登録される。共存期間中の管理が大幅に楽になる。
- 手動コピー+メール送信:シンプルだが、属性同期が手作業になる。
2-4. グループ・配布リストの先行作成
メールボックス移行前に、新テナントで配布リスト・セキュリティグループ・Microsoft 365 グループを先行作成しておきます。メールボックス移行と同時にメンバーシップが反映されるよう、IDマッピングテーブルを整備します。
2-5. ドメインの追加
新テナントが利用する独自ドメインを 検証だけ完了させた状態 にしておきます。実際にメール用途のMXレコードを向けるのはカットオーバー時。
Phase 3:データ移行(4〜12週間)
3-1. パイロット移行(1〜2週間)
いきなり全ユーザーを移行せず、まずIT部門や情シスメンバー10名程度でパイロット移行を実施します。
- 移行ツールの設定検証
- 想定外エラーの洗い出し
- 業務影響の試算
- カットオーバー手順書のドライラン
3-2. メール・カレンダー移行
□ メールボックス全量の初期同期(コピー)
□ 差分同期スケジュール設定(毎日・毎時等)
□ 共有メールボックスの作成 + メンバー権限設定
□ 配布リストのメンバー反映
□ メールフロールールの再現
□ カレンダー、連絡先の移行ポイントは 「初期同期は早めに、差分同期は最後まで継続」 です。カットオーバー直前に最終差分を流して、ダウンタイムを最小化します。
3-3. OneDrive 移行
□ ユーザーごとのストレージ容量試算
□ 移行ツールでの一括移行
□ 共有リンクの棚卸し(移行後に切れるリンクのリスト化)
□ 「マイドライブ」直下のフォルダ構成の維持注意:旧テナントのOneDriveから第三者に共有していた外部リンクは、移行先で再設定が必要です。利用者向けに「外部共有リンクは移行後に作り直してください」と案内します。
3-4. SharePoint 移行
□ 移行対象サイトの一覧確定
□ 新テナントでサイト先行作成(URL設計)
□ サイトコレクション単位での移行
□ 権限マッピング(旧グループ → 新グループ)
□ サブサイト、ライブラリ、リスト構造の検証
□ Power Automate / SharePoint Designer ワークフローの再構築カスタマイズ(PnP、SPFx、Power Automate)が多いサイトは、移行ツールでも完全には再現できません。SharePointの構造そのものを見直す機会と捉えるとよいでしょう。
3-5. Teams 移行
Teams 移行はチームごとに方針を決めます。
| パターン | 適用ケース |
|---|---|
| 新規作成(履歴破棄) | チャット履歴の重要度が低い、シンプルなチーム |
| アーカイブ+新規作成 | 履歴は閲覧専用で旧に残す、新テナントでクリーンスタート |
| ツール移行 | チャット履歴が業務上重要、訴訟・監査のため必要 |
メッセージ・会議録・添付ファイルの移行は、商用ツールでも100%は再現できないことを前提に計画してください。
3-6. SaaS 連携の再構築
旧テナントから接続していたSaaSアプリを、新テナント側で再設定します。
- SAML / OIDC のメタデータ更新
- SCIM プロビジョニングの再設定
- API キー、Service Principalの再発行
- 業務システム側でのユーザーマッピング再構築
Phase 4:切替・クリーンアップ(1〜2週間)
4-1. カットオーバー(DNS切り替え)
最も緊張する瞬間。週末・夜間に実施します。
□ 最終差分同期の完了確認
□ メール送受信を一時停止(30分〜2時間)
□ 旧テナントからドメイン削除
□ 新テナントにドメイン追加・検証
□ MX、SPF、DKIM、DMARCの切り替え
□ サービス疎通確認(メール送受信テスト)
□ ユーザー向け告知メール送信→ 詳細は第8回:ドメイン分離とDNSカットオーバーへ。
4-2. ユーザー切り替え
カットオーバー以降、対象ユーザーは新テナントのアカウントのみで業務を行います。
- Outlook / Teams / OneDriveアプリの再サインイン
- モバイルアプリの設定更新
- ブラウザのキャッシュ・Cookieのクリア
このタイミングで ヘルプデスク問い合わせのピーク が来ます。情シス365では「カットオーバー直後の48時間ヘルプデスクスタンバイ」をサービスとして提供しています。
4-3. 旧テナントのクリーンアップ
□ 分離対象ユーザーアカウントの無効化(即削除はしない)
□ 共有メールボックス、配布リストからのメンバー除去
□ 旧テナントのライセンス再算定・契約調整
□ TSA終了日まで旧データを保持
□ TSA終了後、対象データの削除重要:分離後すぐに旧テナントのデータを削除しないこと。TSAで定められた保持期間(通常6〜12ヶ月)まで保持し、訴訟・監査・問い合わせに備えます。
落とし穴チェックリスト
実プロジェクトで頻発する問題を最後にまとめます。
- ドメインの所有権確認:旧テナントのドメイン管理者と新テナントのドメイン管理者が違う場合、DNS変更権限の調整に時間がかかる
- MFA の再登録:新テナントでは旧テナントのMFAデバイスが使えない。ユーザー全員の再登録手順を準備
- ハードコーディングされたID参照:業務システムが旧テナントのObjectIDを参照していると、分離後に動作不能になる
- メール署名の更新:会社名・ドメインが変わるユーザーに対して、メール署名の一斉更新が必要
- Outlook プロファイル:手動でプロファイルを再作成する必要があるユーザーが出る
- 会議招待:旧テナントで作成した既存会議は、移行後にリンクが切れる場合がある
次に読むべき記事
GWS テナント分離の手順は次回扱います。
→ 第5回:Google Workspace テナント分離の手順と注意点
共有データの境界線問題(共有メールボックス・配布リスト・Teamsの仕分け実務)は第6回で深掘りします。
情シス365のテナント分離支援
100名以上のM365テナント分離は、情シス365にお任せください。アセスメントから移行ツール選定、カットオーバー、TSA期間中のサポートまでワンストップで支援します。