Help us understand the problem. What is going on with this article?

Microsoftアカウントと組織アカウント

Microsoftアカウントと組織アカウントの違いが話題になったので理解した内容を投稿します。

全体像

用途・タイプ 登録者 テナント管理
Microsoftアカウント 個人Windows10ログイン
個人のHotmail、Outlook、Skypeなど
本人 Microsoft
組織アカウント AzureAD
Office365
組織 組織
組織アカウント セルフサインアップテナント 本人 なし
(オンプレAD) 組織Windows10ログイン 組織 組織

Microsoftアカウント

  • Live IDアカウント、Skype IDなど、いろんな名称で呼ばれていた
  • プライベートで作成、利用しているアカウント。
  • 組織アカウントに登録したメールアドレスを使って、Microsoftアカウントを新規取得できない。(登録済みのものは継続利用可能)
  • Visual Studio Expressの利用では、Microsoftアカウント必須(組織アカウントは利用不可)
  • Office 2013以降のFPP版インストールでは、Microsoftアカウント必須(組織アカウントは利用不可)

組織アカウント(AzureAD)

  • Office365の利用で作成するアカウント
  • オンプレADからの同期で作成していたりする

組織アカウント(セルフサインアップテナント)

  • 組織アカウント(AzureAD)としてメールドメインを登録していない場合、知らないうちに作成される
  • 例:ボリュームライセンスセンターを会社メールアドレスで登録する
  • 例:他社のマイクロソフト製品(SharePoint、AIP)、テナントから招待を受ける
  • AzureB2B の受け側(組織アカウント(AzureAD)が無い場合)
  • 知らないうちに登録されるので、管理者不在

セルフサインアップテナントの管理者権限を取得するためには

  1. Office365ポータルにログインする
  2. ユーザ管理から管理者になろうとする
  3. メールドメインのTXTレコードに提示された文字列を登録する

セキュリティ対策

サインイン制限

組織において、MicrosoftアカウントのOutlookやOneDriveは利用させたくないと思います。
テナント制限を実現するには、プロキシ サーバーで以下の2つのHTTPヘッダーを挿入します。

  • Restrict-Access-To-Tenants
  • Restrict-Access-Context

https://docs.microsoft.com/ja-jp/azure/active-directory/manage-apps/tenant-restrictions
https://docs.microsoft.com/ja-jp/archive/blogs/office365-tech-japan/tenant-restrictions

サインイン制限(Microsoftアカウントを許可する)

“Restrict-Access-To-Tenants” ヘッダーに以下を挿入する

  • microsoftservices.onmicrosoft.com
  • MSARealms.onmicrosoft.com

https://jpazureid.github.io/blog/azure-active-directory/tenant-restriction/

困ること

Microsoftアカウントが必須となるシステムがある。一方で情報漏えい対策としてMicrosoftアカウント(個人OutlookやOneDrive)の利用は制限したい。(詰んだ)

Microsoftアカウントを作成したいが、組織のメールアドレスはAzureADに使われており、新規Microsoftアカウントを取得できない。Microsoftアカウントを作成するために個人のメールアドレスを使って、、、とは言えない。

soulhead
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした