他社の Microsoft 365 アカウントを貸与された場合に困ること

Microsoft 365

業務上の理由で他社から Microsoft 365 のアカウントを貸与された場合にどうしたらよいかという相談をうけることがあります。どういう場合に困るのかという点やなぜその考えになっているのかという部分を考察していきたいと思います。

なぜ他社に Microsoft 365 アカウントを貸与するのか?

まずはこの観点を考えたいと思います。一般的に有償ライセンスをわざわざ払い出すのでなぜそうしないといけないのかという観点ですがほとんどのケースで「セキュリティ」を考慮しての対応のようです。払い出したアカウントに対してセキュリティ対策をすることで安全に使ってもらうというのはとても理解ができるのですが、このアカウントにデバイスのセキュリティをかけていることがあって問題となることが多いように思います。

具体的には「条件付きアクセス」が問題になるケースが多いのですが、そもそもセキュリティを気にするのであればアカウントだけでは片手落ちでありデバイスも一緒に貸与するというのが一般的な考え方です。SES契約でも一般的なケースではこれに該当をするのでアカウントとデバイスをセットなのですが、業務委託の場合はコスト削減のためなのかアカウントだけというのも多いようです。

よくあるトラブル

実際にどういうことが発生するのかという点でよくあるものを記載してみます。自分の所属会社でもMicrosoft 365 を使っているためにセキュリティ対策として自社テナントでデバイスを管理しています。このPCで利用する前提で追加のアカウントを貸与されるのですがそのアカウントの条件付きアクセスをクリアするために同じようにデバイス管理を求めるというものです。

Microsoft の仕様として1台の端末で複数のテナントに登録をして管理することはできません。オンプレミスの AD でドメイン参加すると他のドメインに参加できないのと同じです。

原因はわかったところで対策が必要になるのですがここで揉めたりします。

シンプルな解決方法はデバイスを貸与してもらうことなのは変わりがありません。物理である必要はないのでデスクトップ仮想化サービスでも問題はありません。しかし、コスト削減の中でこの対策が取られている場合にお金がかかるのでこれができないケースが多いです。

そうなると対策としては自社でもう1台デバイスを用意するということになりますが、コスト削減の場合は先方にコストを追加請求するのも難しいわけですから、自社でデバイス費用を持ち出しするかという話になるわけでなかなかこの案も取られません。

ここで考えるのは前提を壊すという選択肢です。

①条件付きアクセスを緩和してもらう
これは状況を説明して除外設定をしてもらうなり、新しいセキュリティの考え方で対応をしていただくことになるわけですが、相手の担当の知識不足で対応が長引くことやセキュリティ部署が別にあったりしてすごい時間がかかるなんてことがよくあります。そして結果としてこの対応ができないなんて回答がくるもよくあります。

②自社のアカウントをゲスト招待してもらう
これも他社からみるとセキュリティについてハンドリングできる範囲が狭くなるのでわざわざアカウントを払い出しているという状況から矛盾することにはなるのですが、これが一般的な対応となります。ただ、理解されるかというと理解されないこともあります。

ここで SIer や有識者に相談するという対応をする方も多く、実際にこの時点で相談を受けることがおおいのですが結論としては同じで「神の一手」はありません。

ここで揉める場合は Microsoft が悪いとか変な方向にいきがちなのですが、Microsoft はいろんな顧客用途に合わせて設定があるだけで、それがビジネスに合わないだけの話なので設定を変更しろという話です。そもそもセキュリティを担保したいのにデバイスを用意しないことは矛盾していないですか?という根本の問題になります。

最後に

何かに似ているなとおもったら Docusign などの電子署名を思い出しました。これもどっちのアカウントでやるのかというのでお互いに譲らずに紙で送付するなんて話を聞きます。最近は Teams や Zoom などのWEB会議でも Copilot や tl;dv などを使いたいために会議招集をいかに早く自社から送るかとかいかに自社側のシステムを使うように話を持っていくかというあります。双方幸せなシナリオはないのですから、譲歩できるかあきらめるかという選択肢を取るしかないわけです。

「システムだからなんとかなるだろう!」という発想はとても理解できますが、対応方法があるのにそれを拒否して他の方法を望んだ場合に無理というのは普通にあります。そもそも1つ対応方法がある時点でシステムとしてはしっかりした設計がされており、考慮不足でもバグでもないという見方ができるわけで「望みすぎ」という一言で片づけられることもあるわけです。

ビジネス速度とセキュリティの天秤は昔からいろんな視点で語られてきました。今回の事例もその1つであり難しいのであれば「お金で解決が早い」という「世の中の真理」が出るだけなのかなと思います。

余談ですが、PCの貸与がないのに下記の条件を必須にしていた会社も見たことがあります……(いいたいことは山ほどありますが自粛)

タイトルとURLをコピーしました