テナント分離後の検証と旧テナントクリーンアップ|テナント分離ガイド第11回
カットオーバーが完了しても、分離プロジェクトはまだ終わりではありません。直後の検証、TSA期間中の安定運用、TSA終了後の旧テナントクリーンアップまでを完遂して、ようやくプロジェクト完了です。
本記事では、カットオーバー後のフェーズ別タスクと、TSA終了後に旧テナントから何をどう削除するかを解説します。
カットオーバー後のフェーズ分け
| フェーズ | 期間 | 主な目的 |
|---|---|---|
| 即時検証 | カットオーバー後 〜 1週間 | 業務影響の有無を確認 |
| 安定化 | 1週間 〜 1ヶ月 | 残課題の解消、ユーザー定着 |
| TSA運用期間 | 1ヶ月 〜 6〜12ヶ月 | TSA契約に基づく相互運用 |
| TSA終了 | TSA終了日 | 旧テナントの最終クリーンアップ |
フェーズ1:即時検証(カットオーバー後 1週間)
検証チェックリスト
メール
- 内部メール送受信(同テナント内)
- 外部メール送受信(取引先、@gmail.com、@yahoo.co.jp等)
- 旧ドメイン宛メールが新テナントに転送されているか
- 共有メールボックスへの送信・受信
- 配布リスト経由のメール
- メールフロールール(自動転送、不在通知)の動作
ID・認証
- 新テナントへのサインイン(全社員)
- MFA の動作
- 条件付きアクセスポリシーの動作
- SaaSアプリへのSSO(Salesforce、kintone、Slack等)
ファイル・コラボレーション
- OneDrive のサインイン・同期
- SharePointサイトの閲覧・編集
- Teams のチャット・会議・ファイル共有
- 移行されたファイルの権限が正しいか
- 外部共有リンクの状態
デバイス
- Outlookアプリの再認証
- Teamsアプリの再サインイン
- OneDriveクライアントの再認証
- モバイルデバイス(iOS/Android)のメール・Teamsアプリ
主要KPI
| 指標 | 目標値 | 計測方法 |
|---|---|---|
| メール送受信成功率 | 99%以上 | メッセージトレース |
| サインイン成功率 | 95%以上(初週) | Entra ID サインインログ |
| ヘルプデスクチケット数 | 2倍以下(通常時比) | サービスデスクツール |
| 重大インシデント | 0件 | インシデント管理 |
よくある即時不具合
- 「メールが届かない」:DNS伝播の遅延、SPF/DMARC不一致、メールフィルタの誤検知
- 「Outlookに古いメールが見えない」:メールボックス移行の差分同期未完了
- 「Teamsチャネルが空」:移行ツールでチャット履歴が移行されない仕様(既知)
- 「SharePointサイトにアクセス権がない」:権限マッピングの抜け
- 「モバイルでサインインできない」:旧テナントのMFA登録情報が残っている
フェーズ2:安定化(1週間 〜 1ヶ月)
即時検証を抜けたら、残課題の解消とユーザー定着に移ります。
残課題の対応
- 個別ユーザーのヘルプデスク対応
- 一部ファイルの権限修正
- 移行漏れデータの追加移行
- 業務システムの動作不具合対応
ユーザートレーニング
- 新ドメイン・新メールアドレスでのサインアップ更新
- メール署名の更新
- 名刺・ウェブサイト・配信メールへのドメイン変更反映
モニタリング体制
- Entra ID サインインログの定期確認
- メッセージトレースのダッシュボード
- DLP・条件付きアクセスポリシーの動作確認
- セキュリティアラート(Defender、Sentinel)
フェーズ3:TSA運用期間(1ヶ月 〜 6〜12ヶ月)
TSA契約に基づき、旧テナント側が「移行先で動かなくなった機能」をサポートし続ける期間です。
TSA期間中に維持すべき設定
- 旧 → 新へのメール転送ルール
- 旧テナントへのアクセス権を保持する分離対象社員(限定)
- 旧テナントに残るデータの読み取り専用アクセス
- TSA期間中の問い合わせ対応窓口
月次運用
- TSA関連事項の月次レビュー会議
- ライセンス費の精算(売り手・買い手間)
- 残データの段階的移行(必要に応じて)
- 監査ログの保管
TSA期間中に発生しがちな揉め事
- 「あの機能の移行がまだ」「想定外の業務影響が出ている」「ライセンス費が想定より高い」
- これらは TSA契約書の 解釈 に関わるため、双方の責任者が定期的にレビューする必要があります
フェーズ4:TSA終了 - 旧テナントクリーンアップ
TSA終了日になると、旧テナントから分離対象データ・アカウントを完全に除去します。最も慎重に進めるべきフェーズです。誤って親組織のデータを消すと取り返しがつきません。
クリーンアップ チェックリスト
アカウント
- 分離対象社員のサインインを最終ブロック
- アカウントを soft delete(30日以内であれば復元可能)
- 共有メールボックス・配布リストからのメンバー除去
- グループメンバーシップの最終確認
メールボックス・データ
- 分離対象ユーザーのメールボックスをエクスポート(PSTファイル等)してアーカイブ
- エクスポート確認後、メールボックスを削除
- OneDrive データのアーカイブ・削除
- SharePointサイトのアーカイブ・削除
ライセンス
- 不要ライセンスの解約・減数(CSP)
- EA契約の True-up での減数手続き
- アドオンライセンスの整理
- 余剰ライセンスの再利用先検討
ガバナンス
- 分離プロジェクト用の限定 Sensitivity Label を削除
- 共存期間用 DLP ポリシーの解除
- Information Barrier の解除
- 監査ログのアーカイブ(法定保存期間に応じて)
ドメイン
- 旧テナントから分離対象ドメインの完全削除(既に完了している場合は確認のみ)
- 旧 → 新 への転送ルール解除
- DNSレコードの整理(不要になった旧 SPF include等)
データ削除の前に必ずやること
最終バックアップ を取得し、削除前データのアーカイブを別ストレージ(外部HDD、別Azureサブスクリプション等)に保管します。データ削除は不可逆操作のため、慎重に。
法的・規制上の保存義務がある場合は、TSA終了後も特定データの保持が必要です。法務・コンプライアンス担当と確認してください。
プロジェクト完了報告
最終クリーンアップ後、プロジェクト完了報告書をまとめます。
報告書の構成例
- プロジェクト概要:分離対象、期間、関係者
- 実施内容のサマリ:移行したオブジェクト数、データ容量
- コスト総括:プロジェクト費、ライセンス増分、TCO実績
- KPI実績:メール送受信成功率、ヘルプデスク対応時間等
- 残課題と将来対応:解決しなかった事項、将来の課題
- 教訓(Lessons Learned):次回の同種プロジェクトに活かすべき知見
分離プロジェクト完了後の継続運用
分離は終わっても、以下の運用は継続します。
旧テナント側
- 縮小したライセンス・人員規模での運用
- 余剰ライセンスの再利用または削減
- 残された業務システムの再評価
新テナント側
- 新規構築されたテナントの運用定着
- セキュリティポリシーの継続的調整
- 新組織独自の業務システム導入
両組織の関係
- TSA終了後も継続的な業務連携が必要な場合は、正式な業務契約(マスターサービス契約等)に移行
- B2Bコラボレーション(Cross-Tenant Access)の継続設定
経営への最終報告のポイント
経営層には以下を簡潔に:
- TSA期限内で分離完了:◯/✕
- プロジェクト総費用:実績/予算比
- 想定外の追加コスト発生:◯/✕、内訳
- 業務影響:重大インシデント件数
- 譲渡契約上の義務遵守:◯/✕
まとめ:テナント分離完全ガイド全11回を振り返る
このシリーズでは、テナント分離プロジェクトを11回にわたって解説してきました。
- 第1回:概要と全体の流れ
- 第2回:分離 vs 共存運用の判断
- 第3回:事前アセスメント
- 第4回:M365 テナント分離の手順
- 第5回:GWS テナント分離
- 第6回:共有データの境界線問題
- 第7回:共存期間中のアクセス制御
- 第8回:ドメイン分離とDNSカットオーバー
- 第9回:分離向け移行ツール比較
- 第10回:ライセンスコスト試算
- 第11回(本記事):検証と旧テナントクリーンアップ
事業譲渡・スピンオフのIT分離は、TSA期限のプレッシャー、共有データの仕分けの難しさ、共存期間中のアクセス制御、ライセンスコストの増加など、独特の難所が多いプロジェクトです。
情シス365のテナント分離支援
100名以上のM365テナント分離は、情シス365にお任せください。アセスメントから移行ツール選定、カットオーバー、TSA期間中のサポート、最終クリーンアップまでワンストップで伴走します。