Microsoftアカウントと組織アカウントの違いが話題になったので理解した内容を投稿します。
全体像
||用途・タイプ|登録者|テナント管理|
|---|---|---|---|---|
|Microsoftアカウント|個人Windows10ログイン
個人のHotmail、Outlook、Skypeなど|本人|Microsoft|
|組織アカウント|AzureAD
Office365|組織|組織|
|組織アカウント|セルフサインアップテナント|本人|なし|
|(オンプレAD)|組織Windows10ログイン|組織|組織|
Microsoftアカウント
- Live IDアカウント、Skype IDなど、いろんな名称で呼ばれていた
- プライベートで作成、利用しているアカウント。
- 組織アカウントに登録したメールアドレスを使って、Microsoftアカウントを新規取得できない。(登録済みのものは継続利用可能)
- Visual Studio Expressの利用では、Microsoftアカウント必須(組織アカウントは利用不可)
- Office 2013以降のFPP版インストールでは、Microsoftアカウント必須(組織アカウントは利用不可)
組織アカウント(AzureAD)
- Office365の利用で作成するアカウント
- オンプレADからの同期で作成していたりする
組織アカウント(セルフサインアップテナント)
- 組織アカウント(AzureAD)としてメールドメインを登録していない場合、知らないうちに作成される
- 例:ボリュームライセンスセンターを会社メールアドレスで登録する
- 例:他社のマイクロソフト製品(SharePoint、AIP)、テナントから招待を受ける
- AzureB2B の受け側(組織アカウント(AzureAD)が無い場合)
- 知らないうちに登録されるので、管理者不在
セルフサインアップテナントの管理者権限を取得するためには
- Office365ポータルにログインする
- ユーザ管理から管理者になろうとする
- メールドメインのTXTレコードに提示された文字列を登録する
セキュリティ対策
サインイン制限
組織において、MicrosoftアカウントのOutlookやOneDriveは利用させたくないと思います。
テナント制限を実現するには、プロキシ サーバーで以下の2つのHTTPヘッダーを挿入します。
- Restrict-Access-To-Tenants
- Restrict-Access-Context
https://docs.microsoft.com/ja-jp/azure/active-directory/manage-apps/tenant-restrictions
https://docs.microsoft.com/ja-jp/archive/blogs/office365-tech-japan/tenant-restrictions
サインイン制限(Microsoftアカウントを許可する)
“Restrict-Access-To-Tenants” ヘッダーに以下を挿入する
- microsoftservices.onmicrosoft.com
- MSARealms.onmicrosoft.com
困ること
Microsoftアカウントが必須となるシステムがある。一方で情報漏えい対策としてMicrosoftアカウント(個人OutlookやOneDrive)の利用は制限したい。(詰んだ)
Microsoftアカウントを作成したいが、組織のメールアドレスはAzureADに使われており、新規Microsoftアカウントを取得できない。Microsoftアカウントを作成するために個人のメールアドレスを使って、、、とは言えない。