Microsoft の個人用アカウントと組織アカウントの問題について

おすすめ

インターネット上にさんざんブログや考察があるのでただのまとめとなってしまうのですが、運用トラブルとしてこの観点はいまだに聞くので記載します。具体的には Teams の招待などの Microsoft Entra B2B コラボレーションの際にトラブルになるというのをよく聞きます。このような Microsoftの負の遺産的なものは TIPS として把握しておくとトラブル対応時に役立ちます

公式文章:https://jpazasms.github.io/blog/AzureSubscriptionManagement/20181108a/

同じような負の遺産の記事

個人用アカウントと組織アカウントってなに?

私の周りのエンジニア界隈では無償アカウントと有償アカウントという言い方をされているケースが多いです。実は Microsoft 365 Personal や Entra ID Free など例外はあるので、この言い方は正しくありません。他にもいろんな呼び方をされるので下記で一度整理をしていきます。

個人用アカウントとは?

一般的には無償アカウントです。個人用アカウントや Microsoft アカウントと言われるアカウントとなります。MSA と言われることもありますが、Microsoft Accountの大文字部分を使った略称です。※なぜ MsA ではないのかモヤモヤする。
⇒「マイクロソフト創業当時はMicro-softだったので、MSの略称ができた(2語なのでsを大文字にする人が多かった)」との情報いただきました。横山哲也さんありがとうございました!

具体的には outlook.jp/outlook.com/hotmail.com などが個人用アカウントに該当します。(いずれもいま新規で作れるものを記載)

利用用途としては Gmail 同様のフリーメールとして利用というのが昔は一番多かったのですが、いまはWindowsのログイン時に使うケースなどもありますし Microsoft 365 Personal や MCP試験を受けるときなどにも使うので多岐にわたっています。

この Microsoft アカウントの歴史は古く、いろんな名称で呼ばれていました。私は .NET Passport のイメージが強いですし、少し下の年代の人は Microsoft Passport と言ったりするので、整理のために Wiki を転載します。

Microsoft アカウント(マイクロソフトアカウント、以前は Microsoft Wallet[1]、Microsoft Passport[2]、.NET Passport、Microsoft Passport Network、Windows Live ID)は、マイクロソフトが開発し提供するシングルサインオンWebサービスである。Microsoft アカウントにより、ユーザーは1つのアカウントで複数のウェブサイトへログインすることが可能となる。

Microsoft アカウント

組織アカウントとは?

一般的には有償アカウントです。職場または学校アカウントや Microsoft Entra アカウントといわれるアカウントとなります。

具体的には xxx.onmicrosoft.com(xxx部分はユニークで初期設定時に設定する)と Microsoft Entra IDに設定している独自ドメインのものが該当します。Exchange Online を利用している場合は会社の独自メールアドレスを登録しているケースが多いかと思います。

利用用途としては Microsoft Entra ID で管理しているものなのですが、Azure や Microsoft 365 やDynamics 365 などでの利用となります。

この点を詳しく書いたのはこちらのブログになります。

無償アカウントと有償アカウントって何が違うの?

機能面では理解している方が多いですが、Microsoft アカウントの歴史は古いがゆえに理由が記載されることがあまりないので情報がなくて困っている人が多い部分だと思います。

結論からいうと「認証するシステム」が違います。

無償アカウントはMicrosoftアカウントを認証するための認証基盤で作られています。
これは有償アカウントで利用している Microsoft Entra ID とは別物です。

無償アカウント用の認証基盤につかうもの:MSA
有償アカウント用の認証基盤につかうもの:Microsoft Entra ID

シンプルに言うと上記二つがあり、これがサービスによっては連携している(両方使える)と考えるとわかりやすいかと思います。

何が問題になるのか?

以前は組織アカウントという考えがありませんでした。そのため Microsoft のサービスを使うために会社のメールアドレスで個人用アカウントを作るケースが多くありました。

私の周りではドメイン参加しているからパソコンのアカウントとしては Windows アカウントは必要なわけではないが、Skypeなどのサービス利用のために作っている会社が多かった印象です。(情シスが作成代行するというのもよく見る光景でした)

その後に Microsoft Entra ID(旧:Azure AD) ができて、会社のメールアドレスを Exchange Online に移行したことによって、まったく同じメールアドレスで個人用アカウント/組織アカウントの両方が存在するということが発生したのです。

いまは重複してアカウントが作れない仕様となっていますが2018年ぐらいまでは作れる仕様となっていたので負の遺産をそのままにしているケースがあります。

これにより何が困るのかというと「自分がどっちのIDでサインインしているかがわからない」というユーザーによる様々なトラブルです。

困るサンプルの例を書くと
①Teamsでゲスト招待を送る(送る側からすれば組織のメールアドレスに送ったつもり)
②ゲスト招待を処理する(送られた人のブラウザで個人/組織のどちらで入っていたかによって自動で処理されるもことがある)

このケースでゲスト招待の処理によっては「うまく入れないよ!」という問い合わせに発展して、現場で処理しきれずに、情シスにエスカレーションされるなんてことがあるのかと思います。わかる人からすれば「自分の会社の情シスに聞いてください!」という話ですが、問題の原因は自分にあるのに招待した側の情シスに質問をする理不尽なシナリオです。※数年前の某大型案件で Microsoftのサポート とやりとりましたが、結局招待しなおしや後述する対応を推奨されました。

いまも起こり続ける問題

「いまは重複してアカウントが作れない仕様となっている」と書きましたが、これは Microsoft Entra ID を使っている場合となります。言い換えるとまったく使っていない場合は制御がされていないため、後々 Microsoft Entra ID を使う場合に問題が起きるということはあります。

具体的なシナリオで多いのは Google Workspace を利用している会社が Microsoft 365 に移行をした場合などが該当します。

Windows は利用するためにローカルアカウント/Microsoft アカウント/職場または学校アカウントのいずれかを利用します。ここで Active Directory(AD) や Microsoft Entra ID を使っていない場合で企業で使う場合は消去法で Microsoft アカウント を使うケースが多いです。これは Microsoft のクラウド戦略によるもので Microsoft アカウントの画面が優先されるからという部分が大きいです。ローカルアカウントが作れないわけではないのですが手間なので使わないケースが多いようです。

このアカウントはユーザーが利用するときに使うものなのでわかりやすいものである必要があるため任意で取得したものを使うのではなく、会社ドメインで新規で Microsoft アカウント を作るということが多いようです。

つまり消去法で会社ドメインで Microsoft アカウント を作っているが Microsoft Entra ID を使うことになるとトラブルになるリスクを持つことになるという環境が出来上がってしまいます。

どうすればいいかという話になるでしょうが、、、本当にどうしたらいいんでしょう?
ローカルアカウントで作っているという話はよく聞きますが、よいワークアラウンドをお持ちの方は是非教えてください。

シンプルな解決方法

重複した場合に組織のメールアドレスを変更するわけにはいかないと思いますので、個人のメールアドレスを変更するというのが一番シンプルな方法になるかと思います。

個人アカウントの名前を変更することもできます。つまり、別のメールアドレスを使ってサインインします。 新しいメールアドレス (エイリアス) を作成するか、既存のメールアドレスをプライマリエイリアスに設定することができます。

どのアカウントを使用しますか?

少しピントがずれた日本語ですが、サインインするメールアドレスをほかのものに変えることができるよというのが主旨です。組織アカウントはそのアカウントを使い続けて、個人用アカウントは別のものに変えることで全く同じメールアドレスで個人用アカウントと組織アカウントがあるという状況をなくすというのが解決方法となります。

まとめ

いまはできないように制御されていますが、個人用アカウントと組織アカウントを同じアドレスで作ることができました。今もそれを放置している場合に問題が起こる可能性がある。

また、Microsoft Entra ID を使っていないが会社ドメインで Microsoft アカウントを作っていると Microsoft Entra ID を使い始めたときに問題が発生する可能性があります。

上記に対して原因と対応方法を理解した上で関係者と適切なコミュニケーションをとれるようになっていただければ幸いです。

相手が激昂していて怒りのやり場に困っているときはロジックではなく感情論で「私も困っているのです!」と Microsoft に矛先を向けるというのもありです(違

タイトルとURLをコピーしました