セルフサインアップテナントについて

Microsoft Entra ID

Microsoft が対応をしたために新規で作成されることがなくなったためにお目にかかるケースは激減したと思いますが、いまだに負の遺産が存在して困るケースがあるので、セルフサインアップテナントについて簡単にまとめたいと思います。
Azure Active Directory のセルフサービス サインアップについて

セルフサインアップテナントとは何か?

シンプルにいうと管理者不在のAzure ADテナント(Microsoft Entra テナント)のことです。
※Microsoft用語でいうところの「セルフサインアップ サービスの利用により自動生成された管理者不在の非管理テナント」のことです。バイラルテナントとよばれることもあります。

具体例をあげるとAzure AD(Entra ID)に招待されたときに、招待されたドメインがAzure AD(Entra ID)を使っていない場合に、Azure AD(Entra ID)を作成するというフローが「以前は」ありました。
※Power BI/Microsoft Power Apps/Power AutomateやDynamics 365などで発生するシナリオもありますが割愛します。

通常の場合は管理者がAzure ADテナント(Microsoft Entraテナント)を作ります。具体的にはAzure/Microsoft 365/Dynamics 365/Other といったサービスを使うときに意識をせずとも自動で作られるというほうが正しいかもしれません。

管理者が知らないシナリオで勝手に会社のドメインでAzure ADテナント(Microsoft Entraテナント)ができているのがこのセルフサインアップテナントの困るところです。

詳細を知りたい技術者の方はこちらをご覧ください。
B2B コラボレーション用の非管理アカウントが作成されなくなりました

実際に何が困るのか?

「管理者不在」ということが一番の問題になるのですが、具体的には実際にAzure AD(Entra ID)でドメインを登録しようとしたときに「できない」ということが一番困ります。

昔はあまりこの観点が知られていなかったために事前調査を怠った場合はテナント統合とかで既存テナントに新規でドメイン追加するタイミング(移行当日)で気付くなんてこともありました。
※ユーザーや顧客調整までしてあるのに本番延期になる。有名SIerさんで2回ほど、、、げふんげふん

Azure AD(Entra ID)の仕様で複数テナントに同じドメインの登録はできません。登録をしようとするとエラーメッセージでどういう状況か気付くことができるので、通常は事前の確認をすることでセルフサインアップテナントの存在に気付くということができます。

ここからは今後検証する予定なのですが、テナントの有り無しで動きが変わる場合に自社のアドレスでサインアップテナントの状況を知らないとヘルプデスクとしての回答が間違う可能性があるのではというのが気になっています。

セルフサインアップテナントの解決方法

管理者が望む望まないに関係なく、存在しているという事実があるのでテナントとして通常のテナントとして設定しておいて使わないというのが現実的だと考えています。

セルフアインアップテナントはいわゆる非管理テナントですので、通常のAzure/Microsoft 365/Dynamics 365/Other などでAzure AD(Entra ID)を使うとき同様に管理するのがよいと思います(放置して困るのも管理者やヘルプデスクなので、どうせ時間使うなら正しくしたほうがよい)

セルフサービス サインアップで登録されたドメインの対処方法 のリンクを参考に対応ください

実際のフロー(ITproの方向け)

Microsoftのこちらのサイトで確認することができます。

過去のIDのフロー(MSのサイトより抜粋)

現在のIDのフロー(MSのサイトより抜粋)

過去から比べると上の図で言うところの赤い枠の部分がなくなったのが確認できます。

※ちょっとモヤモヤしているが検証していない点
Azure AD(Entra ID)のユーザー設定にある下記の図でいうところの赤枠の部分がセルフサインアップテナントの制御だったと聞いたことあるのですが、該当のLearn見てもいまいちわかりません。
https://learn.microsoft.com/ja-jp/azure/active-directory/fundamentals/users-default-permissions#restrict-member-users-default-permissions

これが「いいえ」だと昔のフローになる可能性あるのかなとか思ったけど公式ブログに「B2B コラボレーション用の非管理 (バイラル) アカウントが廃止されました」と書いてあるので深追いしていません。

最後に

セルフサインアップテナントはMicrosoft製品を使っている会社ではなく使っていない会社が困るものです。全く使っていない場合で古くからシャドーITであったり社外との共有などでMicrosoft製品を使われている場合に発生している可能性があり、管理者やサポートする人がしらないと困るケースも出てくることが予想されます。

思い当る方はMicrosoft 365 (Azureでも可能)で自社のドメインを入れるとすぐに状況がわかりますので、調べてみる(もらう)ということをしてもよいかと思います。

過去記事:自分のMicrosoft 365 環境を作ってみる
過去記事:Microsoft 365 Developer Program

タイトルとURLをコピーしました