Microsoft365セルフサービスサインアップの闇
はじめに
セルフサービスサインアップという言葉を聞いたことはあるでしょうか?Microsoftさんのサービスには、メールアドレスの登録のみで利用が可能になるサービスがいくつかあります。Microsoft365やOffice365を利用する際にこのセルフサービスサインアップで作成されたテナントが邪魔になることがあります。また、構築中の環境であってもセルフサービスサインアップしたアカウントが突然クラウド上のアカウントとして生まれてしまう挙動をする場合があります。数年前にMicrosoftさんが仕様変更した影響なんですが、いろいろと問題が発生することがあるためご紹介します。
セルフサービスサインアップとは?
組織が所有するメールアドレスを使ってMicrosftが提供する無料サービスなどにサインアップを行います。サービスの利用にはメールアドレスの確認のみで利用開始が可能となります。セルフサービスサインアップしたアカウントの情報はMicrosoft365管理センター(Azure管理センター)で非管理テナントとして管理されます。
そもそもの問題点
上の画像でもある通り、Microsoft365のテナントが自動的に作成されてしまい、ドメインは所有権確認されていない状態で登録までされてしまいます。この状態でMicrosoft365を新規契約した場合、本来利用したい組織が所有するドメインは利用ができません。またMicrosoft365構築中の環境においてもセルフサービスサインアップを利用されると勝手にユーザが作成されてしまう動きをします。
セルフサービスサインアップが利用可能なサービス
セルフサービスサインアップの対象となるサービスは下記の通りとなります。この記事では代表的なサービスのみを記載します。すべてのサービスを確認される場合はメーカーページをご確認ください。
サービス名 | 概要 |
---|---|
Power BI | Power BIユーザーは、直感的な新しい方法でデータの視覚化、発見の共有、共同作業を行うことができます。 組織が既に購読している場合は、ユーザーに制限された高度な機能への無料アクセスを提供する「Power BI Pro 個人ユーザー試用版」のライセンスが追加で表示される場合があります。 |
Microsoft Power Apps | PowerApps では、管理者が作成したアプリ、または他のユーザーが作成して共有したアプリを実行することで組織データを管理することができます。アプリはスマートフォンなどのモバイル デバイスで動作します。または Dynamics 365 を開くことによって、ブラウザで実行することもできます。無限の多様性を備えるアプリを作成することができます。すべて、C# などのプログラミング言語は必要ありません。 |
Dynamics 365 for Financials | 中小企業向けの完全なビジネス ソリューションおよび財務管理ソリューションを提供します。Dynamics 365 for Financials を使用することで、使用開始の 1 日目から注文、販売、請求書やレポートの作成が容易になります。 |
Microsoft Dynamics 365 for Operations | ビジネスのスピードを加速できます。Dynamics 365 for Operations の完全な ERP ツールは、グローバルなスケーラビリティとデジタル インテリジェンスを提供し、企業のペースに応じた成長をサポートします。 |
Microsoft Business Center | Microsoft Business Center は、Microsoft 製品とサービス契約 (MPSA) を通じて購入したお客様向けポータルです。 |
Microsoft ボリューム ライセンス サービス センター | Microsoft ボリューム ライセンス サービス センターには、Enterprise、Select、Education (キャンパスまたは学校)、オープンバリュー、オープン ライセンス、ISV ロイヤルティ契約で購入したライセンスが表示されます。 |
Microsoft Stream | 組織全体でビデオをアップロードおよび共有して、コミュニケーション力、共同作業、学習の向上を実現します。 |
Power Automate | Power Automateは、ファイルの同期、通知の取得、データの収集など、お気に入りのアプリとサービスの間で自動化されたワークフローをセットアップするのに役立つ製品です。 |
それなりの規模の組織になるとどうやってもボリュームライセンスでのライセンス管理を行っているはずで、VLSCまでもがセルフサインアップの対象となるところがなんとも悩ましい感じですね。昔はVLSCは専用アカウントとして管理されていたため、Microsoft365管理センターに勝手にユーザが出来上がることはなかったんですよね。。
非管理テナントが見つかった場合の対応
ドメインがセルフサービスサインアップで利用されている場合、契約したMicrosoft365での利用ができません。以下の流れで対応が必要になります。
- 利用したいドメインのメールアドレスでご自身がメール受信できるアカウントを使って、セルフサービスサインアップに登録
- 作成されたアカウントでMicrosoft365管理センターにログイン
- 管理者になるかの画面が表示されるので[Yes, I want to be the admin]をクリック
- ドメイン所有権確認用のTXTレコードが表示されるので、DNSに登録
- Microsoft管理センターの[ユーザ]タブでカスタムドメインを使用しないユーザ(xxxxx.onmicrosoft.com)を作成します
- 5で作成したユーザにグロバール管理者の権限を割り当てます
- [ドメイン]タブを開き、登録されているカスタムドメインを選択して[削除]を押下します
カスタムドメインを削除すると全部のユーザのログインアドレスがxxxx@xxxx.onmicrosoft.comに強制変更されますのでアカウント事に設定する必要はありませんが、ログインIDが変更になりますので、利用しているユーザへの案内は必須になります。ドメイン削除後はすぐに利用可能になりません。削除から1日程度間をあけてMicrosoft365の構築作業を始めてください。
その後の対応
ここまでの操作で新規契約したMicrosft365へのカスタムドメイン登録が可能になっているはずです。ただしセルフサービスサインアップはまだ利用可能な状態となっており、予期せぬユーザが突然Microsft365に登録されたり、構築中にも勝手にユーザが登録されてしまったりするので、この記事ではセルフサービスサインアップを制御する方法をご紹介します。
利用コマンド
この作業において利用するコマンドはMicrosoft Online のコマンドレットになりますインストール方法や接続方法については別途「Office365 Powershellモジュールまとめ」で記載しておりますので合わせてご確認ください。
コマンド | 詳細 |
---|---|
Set-MsolCompanySettings | 企業レベルのコンフィギュレーション設定 |
コマンドオプションについて
この例では、会社が管理するアカウントとしてMicrosft365に登録済みのアカウントはセルフサービスサインアップを許可する、メール検証のみで利用されるアカウントは拒否する設定を行います。以下のオプションを設定します。
オプション | 詳細 |
---|---|
-AllowEmailVerifiedUsers | メール検証の有効化・無効化オプション |
-AllowAdHocSubscriptions | 登録済みのアカウントを強制するかどうかのオプション |
実際のソースコード
一回実行してもらえればテナント全体に適用されます。ソースコードは下記の通りです。組織の環境に合わせてID/PWは指定してくださいね。
#初期設定 #環境に合わせて変更してください。 $UserName = "管理者アカウント名" $Passwd = "管理者パスワード" $CvtPass = ConvertTo-SecureString $Passwd -AsPlainText -Force $UserCredential = New-Object System.Management.Automation.PSCredential($UserName,$CvtPass) #Microsoft Onlineへの接続 Connect-MsolService -Credential $UserCredential #メール検証無効化、登録済みアカウント利用必須 Set-MsolCompanySettings -AllowEmailVerifiedUsers $false -AllowAdHocSubscriptions $true
これでセルフサービスサインアップは利用はできるが、システム管理者で管理していけるようになるかと思います。セルフサービスサインアップで作成されてしまうユーザにMicrosft365のライセンスが勝手にあたってしまうことはありませんのでご安心ください。ライセンス適用をスクリプトなどで自動化している場合は、スクリプトの仕様によっては勝手にライセンスが適用されますのでよくご確認ください。
まとめ
今回はセルフサービスサインアップについて触れていきました。サービスを素早く利用させるための仕組みとして導入されたようですが、システム管理者目線では悩ましい結果になるものと思います。せめてVLSCなどのライセンス管理用アカウントは別管理にしてもらいたいというのが勝手な希望だったりもします。Microsft365構築時にも問題となることがありますのでベンダーさんとよく相談して進めてくださいね。それでは本記事が皆様の導入・運用の一助となりましたら幸いです。