とあるゲストユーザーが、ついこの間までアクセスできていたSharePointサイトにアクセスできなくなった、という問い合わせがあった。
状況からの推測した対応で解決したので、確定情報ではないけれど備忘録でまとめてみた。
対象ユーザーの症状と、切り分け
-
いままで、マイクロソフトアカウントでアクセスしていたゲストユーザー
-
そのMSアカウントは、会社メールアドレス(not Office365)
-
突然アクセスできなくなった
-
[会社メールアドレス]にはこのサイトにアクセス権がありません。管理者に問い合わせてください、的なメッセージ
切り分けで、プライベートブラウズでアクセスしてもらったところ、MSアカウントでサインインを求められ、正常にSharePointサイトを開けた、とのこと。
推測される原因
-
MSアカウント作成以降に、AzureADアカウント払い出されて
-
それは会社メールアドレスと同じ(=MSアカウントもおなじ)
-
Azure ADアカウントでログインし、かつMSアカウントでログインしていない状態でサイトにアクセスしたので、ブロックされてた
・・・のではなかろうか。
裏付けのため、Azure ADあるはずと思い、先方のドメインがOffice365を使っていないか調べる方法で調べてみたら、TXT=MSxxxxの文字列がある。
また、AzureADのゲストユーザー一覧で同じ組織(=ドメイン)のユーザーを見ると、アカウントのソースに、MSアカウントとAzure ADアカウントの両方のユーザーが存在。
ということで、
- 最初はMSアカウントを作って使っていたユーザーだったけど、あとからAzureADアカウントを作成されていて、
- MSアカウントの認証がきれていて、AzureADアカウントでログインしている状態で
- SharePointサイトにアクセスしようとして弾かれた
と推測した。
ゲストユーザーへの伝えたこと
プライベートブラウズで使ってください、とだけ伝えてます。
ブラウザでOutlook.com開いてログインし、それからサイトURL開いてもらう、というのも手なのですが、確実な手順にするためこの方法を選びました。
どうするのが一番すっきり?
MSアカウントを、テナントから全削除。それから再招待する。
そのうえで、再招待時はAzure ADアカウントで初回ログインしてもらう。
再招待するまでの手順は、前回の投稿にまとめてます。
なんでこうなるの?
現在は、Azure ADで使っているドメインでは、MSアカウントは作成できないようになってる。
しかそし、以前に会社メールアドレスでMSアカウントを作成していた場合、あるいは会社メールアドレスでMSアカウントを作ってからAzure ADに会社メールアドレスのドメインが登録された場合は、この問題に引っかかる可能性あり。これは既存の仕組み上だと回避不可だな・・・。
2016年の記事だけど。
#AzureAD と Microsoft アカウントの重複問題に対する取り組み
まとめ
いままでアクセスできていたゲストユーザーがアクセスできなくなった時、このケースが当てはまるかも。参考まで。