はじめに
この記事を書いたきっかけは、個人向けの Microsoftアカウント や 企業向けの Microsoft Entra アカウント(旧名称:Azure AD アカウント)は 始めて扱う人にとっては 理解が難しいと感じたからです。
Microsoft 365 や Azure を学習のため始めようと思っても、さまざまな記事があって どこがスタートなのか良くわからない・・・ということがあると思いました。
そのため、その切り分けの一助になれればと思って、この記事を書きました。
なお、既に Microsoft Entra テナント(旧名:Azure AD テナント)を扱う事が出来る人は この記事は読む必要は無いと思います。
Microsoftアカウント と、Microsoft Entra アカウント(旧名:Azure AD アカウント)
両アカウントの違いを表にしてみました。
アドレス例(★)に記載しましたが、 所属する組織から提供を受けたメールアドレスを見ただけでは、Microsoft Entra テナントに属しているのかを判断することが以外に難しいです。これは、企業が独自ドメインを取得して メールサービスを利用する際に、メールサーバを独自運営するか、プロバイダーや外部サービスを利用するか、Microsoft 365 のサービス(カスタムドメイン)を利用するのかで、状況が違ってくるからです。
Microsoftアカウント | Microsoft Entra アカウント (旧名:Azure AD アカウント) |
|
---|---|---|
アカウントの 別の名称 |
個人アカウント | 組織アカウント または 職場または学校アカウント |
アカウント 発行 |
外部メールアドレスを Microsoftに登録して 利用する ※outlook.jp などの MS提供のフリーアドレス も含む |
Microsoft Entra テナント から管理者が発行 |
アドレス例 (★) |
gmail.com nifty.com outlook.jp (★1) 組織がメールサービスを自営している場合のメールドメイン (★2) 組織がプロバイダ等から提供をうけたメールドメイン |
(★3) xxx.onmicrosoft.com (★4) 組織が Microsoft Entra テナント の カスタムドメイン機能を利用して発行されたメールドメイン |
管理者 | 各個人 | テナント作成者 おもに 組織(企業や学校) |
Azure Portal の利用 | 可能 | 企業のポリシーにより、 許可・拒否あり |
テナントとの関わり | テナントの ゲストアカウント |
テナントのメンバー |
テナント の管理 |
可能 (要:管理者権限) |
可能 (要:管理者権限) |
テナントの 追加作成 |
可能 | 企業のポリシーにより、 許可・拒否あり |
この記事を活用いただき、いま使っているメールアドレスが どのタイプなのかを把握していただき、次のアクション(今のアカウントが使えるのか?、別のアカウントを使うべきかどうか?)を判断する一助になれればと思います。
企業独自のドメインを使っているからと言って、「組織アカウント(職場または学校アカウント)」とは断定はできません。
Microsoft Entra テナント を使わずに発行されたメールアドレスの場合は「組織アカウント(職場または学校アカウント)」では無いのです。(★1 , ★2)
★1 , ★2 のパターンの場合に、Microsoft Entra テナントを 新規作成したい場合には、個人アカウント扱いです。メールアドレスを Microsoftアカウント に登録することで利用できます。
Microsoft Entra テナント から発行されたアカウント =「組織アカウント(職場または学校アカウント)」です。(★3 , ★4)
利用しているアカウントの状態を確認する
この章の手順を実施することで、以下の2点を把握することができます。
- あなたが利用している メールアドレス が 組織アカウント なのかどうか?
- そのアカウントが テナント を発行できる状態なのかどうか?
アカウントの状態を確認するためには、利用している アカウント(メールアドレス)が Azure AD を 利用できる状態なのかを確認しましょう。
以下の URL(Azure Active Directory)へ アクセスして、「サインイン」をクリックしてください。
https://azure.microsoft.com/ja-jp/services/active-directory/
続いて表示された 以下の サインイン 画面 には、現在 所持している メールアドレス を入力して、「次へ」をクリックてください。続いて 表示される画面によって アカウントの状態を判断することができます。なお、パスワードの入力欄が表示されたら パスワードも入力してください。
このサインインでは、以下のような結果になると思いますので、それぞれの説明を参照ください。
- サインインできた
① 組織の名称 で サインインできた
② 既定のディレクトリ で サインインできた
③ Azure Active Directory の画面が表示された - サインインできない
④ エラーパターン1:アカウントが無い
⑤ エラーパターン2:パスワードが不明
⑥ エラーパターン3:企業のアカウントでブロックされた
⑦ エラーパターン4:個人アカウントがブロックされた
サインイン に 成功した場合
① 組織の名称 で サインイン できた
以下のような画面が表示された場合は、組織アカウント での サインイン に成功しました。
あなたのメールアドレスは、すでに Azure AD に 登録されていて 管理者 または 一般ユーザー として利用可能な状態です。
ここで、左ペインで「ユーザー」をクリックすると、組織に所属するユーザーの一覧を見る事ができますが、管理者から許可されていない操作(ユーザーの追加や削除)は行えないようになっています。
※組織によっては、ユーザーの一覧が表示できないように 制御されている場合があります。
項目名 | 値 |
---|---|
名前 | 所属する組織の名前 (会社名など) |
プライマリドメイン | 会社のドメイン または xxx.onmicrosoft.com |
この状態のアカウントの事を、「職場または学校アカウント」と言います。
これを略して、「組織アカウント」とも呼ばれます。両方 覚えておきましょう。
② 既定のディレクトリ が 表示された
以下の画面のように、「既定のディレクトリ」と表示された場合です。
あなたは、既に Azureサブスクリプション を サインアップ済み なようです(過去・現在 問わず)
Azure AD は、Azureサブスクリプションをサインアップした時に「既定のディレクトリ」という名称で自動作成されるようになっているのです。
このとき、「ユーザー」の一覧を表示してみると、あなたの個人アカウントが テナントのゲストユーザーとして登録されており、グローバル管理者 の権限を持っている事も確認することができます。
項目名 | 値 |
---|---|
名前 | 既定のディレクトリ |
プライマリドメイン | xxx.onmicrosoft.com ※ xxx の部分は、個人のメールアドレスっぽい名前 |
この場合は、所持しているアカウントは「Microsoftアカウント」であり、自身で管理することができる テナント を所持している状態です。
③ Azure Active Directory が 表示された
以下の画面のように、「Azure Active Directory」と表示された場合です。
なお、初めて Azure のサイトへサインインした状態のため テナント が未作成の状態です。
この状態は、「プライマリドメイン」の欄が 空欄 になっている点や、右上 で メールアドレスの下部の赤枠部分が 空欄 であることで確認できます。
項目名 | 値 |
---|---|
名前 | (空欄) |
プライマリドメイン | (空欄) |
この状態のアカウントの事を、「Microsoftアカウント」と言い、いま あなたはテナントを持っていません。
エラー が 表示された場合
④ エラーパターン1:アカウントが無い
以下のエラーメッセージ 1 または 2 が発生した場合は、そのメールアドレスは Microsoft に登録がありません。
【エラーメッセージ:1】
そのユーザー名のアカウントが見つかりませんでした。別のユーザー名を入力するか、新しいMicrosoftアカウントを取得してください。
【エラーメッセージ:2】
このユーザー名は間違っている可能性があります。正しく入力したことをご確認ください。入力に問題がない場合は、管理者にお問合せください。
この場合は、Azure AD を利用するためには 新しく Microsoftアカウント として登録が必要な状態です。
以下の サイトで Microsoftアカウントの作成方法を記載しておきましたので参考にしてみてください。
Microsoftアカウントへの登録が完了したら、本記事を最初から見ながらやり直してみてください。
新しい Microsoftアカウント でサインインすれば「③ Azure Active Directory の画面が表示された」の状態になるはずです。
⑤ エラーパターン2:パスワードが不明
以下のエラーが発生した場合は、このメールアドレスは Microsoftアカウント に登録があります。
しかし、ご本人としては 覚えがないか パスワードを失念してしまっていて、サインインが出来ない状態です。
【エラーメッセージ】
アカウントまたはパスワードが正しくありません。パスワードを忘れた場合はリセットしてください。
Azureのサービスを利用した覚えがなくても、Microsoftのサービス(Skype や Office365 Solo、個人向けTeamsを利用、Surfaceを購入、Xboxを持っている等)を使った事があれば ユーザー登録されている場合があります。
実は、Azure のサイトには Microsoftへユーザー登録さえあれば サインインする事が可能なのです。
※Microsoftへユーザー登録された状態のメールアドレスのことを、「Microsoftアカウント」と言います。
この場合は、「パスワードを忘れた場合」(赤枠)のリンクを クリック して、パスワードの再設定操作を行う事ができます。
パスワードの再設定 が 完了したら、本記事を最初から見ながらやり直してみてください。
どうしてもパスワードの復元ができない状況になってしまっていたら、別の 新しいメールアドレス を用意して Microsoftアカウント を新規登録してみるのも1つの対策です。
⑥ エラーパターン3:企業のアカウントでブロックされた
パスワードでの認証に成功したあと、以下のエラーが発生する事があります。
【エラーメッセージ】
ここからアクセスすることはできません
このアプリケーションには機密情報が含まれているため、次からのみアクセスできます。
この場合は、そのメールアドレスは Microsoft Entra テナント から発行された 組織アカウント です。
しかし、組織が定めた制御によって 社外からのアクセスを禁止されている状態です。
会社によって、認められた場所(社内など)や、認められた端末(業務PCや業務スマホ)からしかアクセスできない・・・という事を意味しています。
この状態は「条件付きアクセス」で サービスへのアクセスを制御されています。
これがどういう事なのかは、以下のサイト(条件付きアクセスの章)で解説していますので、参考にしてみてください。
この場合は、会社から認められた場所や端末から 再度 サインイン を試してみてください。
ただし、サインインはできたとしても、別の機能制限に引っ掛かったりする場合もありえます。
機能制限に引っ掛かる理由は、そのテナントの管理者から その操作の実施を認められていないという事です。
その場合には 組織アカウント を使って 検証などの作業を行うことは ひとまずあきらめて、別途 Microsoftアカウント(個人のメールアドレスを登録する方法)を利用することが回避策になります。手順は 以下のサイト に記載してありますので、参考にしてください。
Microsoftアカウントへの登録が完了したら、本記事を最初から見ながらやり直してみてください。
新しい Microsoftアカウント でサインインすれば「③ Azure Active Directory の画面が表示された」の状態になるはずです。
⑦ エラーパターン4:アカウントがブロックされた
パスワードでの認証に成功したあと、以下のエラーが発生する事があります。
【エラーメッセージ】
アクセスがブロックされました
[組織名] IT部門により、アクセスできる組織が制限されています。アクセスを取得するには、[組織名] IT部門にお問合せください。
この場合は、そのメールアドレスは あなたが所有する 個人 または 別組織 のアカウントなのですが、組織によって その PC を使って、外部へのアクセスを禁止されている場合です。
この状態は「テナント制限」で PC が利用できるテナントを制御された状態です。
これがどういう事なのかは、以下のサイト(テナント制限の章)で解説していますので、参考にしてみてください。
この場合は、会社支給以外の プライベートな PC から 再度 サインイン を試してみてください。
サインインに成功したら、本記事を最初から見て 状況を判断してみてください。
PC に テナント制限 が適用されている場合は、その PC では、自社以外の テナント を利用することができません。検証のために 新規でテナントを発行しても 新規テナントにサインインすることができないため、検証作業のために 別のネットワーク環境&別のPC が必要になることを意味しています。
さいごに
本記事で紹介をさせていただいたとおり、初めてテナントを扱いたいと考えた時に、自分のアカウントと テナントの状態がどうなっているのか、慣れるまでは とても判りづらい状況になっています。
皆さんが 自由自在に テナントを扱えるようになるための 一助となれれば 幸いです。