#AzureAD と Microsoft アカウントの重複問題に対する取り組み

  • Article

執筆者: Alex_SimonsMS (in Azure Active Directory, Thought Leadership)

このポストは、9 月 15 日に投稿された Cleaning up the #AzureAD and Microsoft account overlap の翻訳です。

 

皆様、こんにちは。

現在マイクロソフトが提供しているクラウド ID システムには、職場または学校のメールアドレスで作成された Azure Active Directory (AD) アカウントと個人用 Microsoft アカウント (旧称 “Live ID” アカウント) の 2 つがあり、ユーザー エクスペリエンスが非常にわかりづらいと多くのご意見をいただいています。特に、下の画面に表示されるメッセージがよくわからないという声をお聞きします。

特に多いご要望は以下のとおりです。

  1. 開発者: 両方の種類のアカウントに対応するアプリの構築方法を教えてほしい。
  2. IT 担当者: 従業員に業務用メール アドレスで Microsoft アカウントを作成するよう指示してよいのか、IT 担当者が従業員のアカウントを一括プロビジョニングすべきなのか教えてほしい。
  3. ユーザー、従業員: 同じメール アドレスに 2 つのアカウントを紐付ける理由を教えてほしい。

これは、マイクロソフトの異なる部門が別々に 2 つの巨大なクラウド規模の ID システムを構築し、運用してしまっていることがすべての原因です。マイクロソフトでは既にこれらのチームを統合し、この問題の解消に努めています。その結果として、まず 8 月に Microsoft Authenticator という新しい統合版アプリを iOS と Android 向けにリリースしました。

ここでは、この問題を解消するために行った取り組みの成果の一部についてご説明します。以下は、私のチームの PM を務める Ariel Gordon が執筆した記事です。2 つの ID システム間でのサインインやサインアップを統合する取り組みについて書かれています。

記事の内容についてご意見やご提案がありましたら、いつものようにフィードバックをいただけますと幸いです。

Alex Simons (Twitter: @Alex_A_Simons)

プログラム管理ディレクター

Microsoft ID 部門

———–

皆様、こんにちは。

このブログをいつもご覧いただいている皆様は、マイクロソフトが統合 ID サービス (英語) の構築にこれまでかなりの力を注いできたことをご存じかと思います。Azure AD と Microsoft アカウントを統合する取り組みです。この問題は非常に複雑で、解決までにはまだまだやることがたくさんあります。今回は、一般ユーザーと企業ユーザーの ID システムが重複している問題について、今週解決されたことをいくつかお伝えしたいと思います。

なぜ ID が重複しているのか

ユーザーの中には、マイクロソフトのアカウントを 2 つ以上お持ちの方が多くいらっしゃいます。アカウントの種類には、Skype、Office、OneDrive にアクセスするための個人用 Microsoft アカウント (旧称 Live ID) と、Office 365 や Power BI などのビジネス サービスにアクセスするための組織用アカウント (Azure AD のアカウント) があります。

遠隔測定データを調べたところ、職場や学校で配布されたメール アドレスを個人用 Microsoft アカウントのユーザー名に使用しているユーザーは 400 万人以上いることがわかっています。なぜそのようなことが起きているのでしょうか? マイクロソフトでは以下の 4 つがその主な理由であると考えました。

  1. 職場のメール アドレスは使い勝手が良いため、マイクロソフトのアプリやサービス、Amazon、eBay などあらゆるアカウントへのサインアップに利用しているユーザーがいる。
  2. MSDN などマイクロソフトのビジネス サービスの一部が Azure AD に未対応なため、個人用 Microsoft アカウントを使用せざるを得ない。
  3. IT 部門が従業員に職場のメール アドレスで個人用 Microsoft アカウントを作成するよう指示している。または、IT 担当者が一括で作成している場合もある。
  4. 学校で以前運用されていた Live@edu プログラムから Office 365 に移行した際、一部の学生に個人用 Microsoft アカウントが付与された。

つまり、こうしたユーザーが所属する組織が Azure AD テナントを所有している場合に、同じメール アドレスに 2 つの Microsoft ID が紐付けられている場合があるのです。

なぜこれが問題なのか

経緯はさまざまですが、職場のメール アドレスを個人用 Microsoft アカウントのユーザー名に使用することは、ユーザーにとっても IT 担当者にとっても問題があります。どのような問題かというと、たとえば以下のようなことが考えられます。

  • 個人用 Microsoft アカウントが業務上のコンプライアンスを満たしているとユーザーが思い込んでしまったり、ビジネス文書を個人の OneDrive に保存しても問題ないと考えてしまう場合があります。
  • ユーザーが組織を離れると、職場で使用していた業務用メール アドレスにはアクセスできなくなります。この場合、パスワードを忘れると、個人用の Microsoft アカウントにアクセスできなくなります。また、パスワードをリセットすれば IT 担当者がそのユーザーの個人用アカウントにサインインできるようになります。
  • IT 担当者が、アカウントの所有権とセキュリティについて誤った認識を持つきっかけとなる場合があります。ユーザーはコードを職場のメール アドレスにいったん戻すだけで、その後いつでもアカウント名を変更できるようになります。

こうした状況は特に、同じメール アドレスに 2 つのアカウント (Azure AD と Microsoft アカウント) が紐付いているユーザーの混乱の原因となっています。その典型的な例が、次のメッセージです。

この問題を解消するために、マイクロソフトは Microsoft アカウントの作成方法について重要な変更を行うことを決定しました。

職場のメール アドレスで Microsoft アカウントにサインアップすることを禁止

本日より、Azure AD で構成済みの電子メール ドメインでは、職場または学校のメール アドレスを使用して Microsoft アカウントを新規作成することが禁止されました。

これにより、組織で Office 365 などの Azure AD に依存しているマイクロソフトのビジネス サービスを使用しており、ドメイン名が Azure AD テナントに追加されている場合、ユーザーはそのドメイン内のメール アドレスを使用して個人用の Microsoft アカウントを新規作成することができなくなりました。

このサインアップ禁止措置は一部の組織向けに限定プレビューとして提供されており、Azure AD で構成されているすべてのドメイン名 (DNS 検証済みのもの) に対して適用されます。この禁止措置は、特に何らかの操作を行わなくても自動で有効化されます。

この措置によってエクスペリエンスはどう変わるのか

職場または学校のメール アドレスでマイクロソフトの一般ユーザー向けアプリにサインアップしようとすると、次のようなメッセージが表示されます。

また、個人用のアカウントと職場/学校のアカウントの両方に対応しているマイクロソフトのアプリにサインアップしようとすると、次のようなメッセージが表示されます。

繰り返しになりますが、この措置は Azure AD テナントに登録されているドメインのメール アドレスに対してのみ適用されます。上記のエラー メッセージのいずれも表示されない場合は、サインアップしようとしているアプリ、またはサインアップに使用している電子メールのドメイン名が例外一覧に含まれています。

一時的な例外措置

残念ながら、マイクロソフトのビジネス サービスには Azure AD をサポートしていないものが一部残っていますが、この問題も順調に解消しつつあります。たとえば、Windows デベロッパー センターは昨年冬に統合が完了し、個人用 Microsoft アカウントと Azure AD アカウントの両方がサポートされるようになりました。他にも、MSDN や Brand Central などのチームと協力して Azure AD への対応を進めています。

なお、プレビュー期間中にいただいたフィードバックに基づき、ビジネス サービスへのサインアップに職場のメール アドレスを使用することは禁止しません。これは、予期せず個人用 Microsoft アカウントへのサインアップに職場や学校のメール アドレスが使用されることを防ぐという重要目標を達成するための一時的な例外措置です。

既存のアカウントはどうなるのか

ここでご説明したサインアップの禁止措置は、アカウントを新規作成する場合のみが対象で、既に職場のメール アドレスで作成した Microsoft アカウントには影響しません。

なお、既にアカウントをお持ちの場合、こちらのサポート記事の手順に従うと個人用 Microsoft アカウントの名前を簡単に変更することができます。個人用 Microsoft アカウントの名前の変更とはユーザー名を変更することであり、職場のメールアドレスや Office 365 などのビジネス サービスにサインインする方法には影響はありません。また、個人データにもまったく影響はなく、サインインする方法が変更されるだけです。追加の (個人用) メール アドレスを使用したり、新しい @outlook.com ドメインのメール アドレスをマイクロソフトから取得したり、新しいユーザー名として電話番号を使用することが可能です。

注: Premier サポートなどマイクロソフトのビジネス サービスにアクセスするために、IT 部門から職場または学校のメール アドレスで個人用 Microsoft アカウントを作成するよう指示された場合は、アカウント名を変更する前に管理チームに問い合わせてください。

まとめと推奨事項

今回の変更は、マイクロソフトの ID システムの統合に向けた大きな取り組みの 1 つです。さらに詳しい情報は、今年中にお伝えする予定です。

IT 担当者の皆様へ: 従業員の個人用 Microsoft アカウントを一括作成しないようにしてください。これが行われることで、多くのお客様から操作性やセキュリティに関する問題が寄せられました。従業員用の Windows デバイスを構成する場合は、Azure AD を利用して Windows 10 に組み込まれているセルフサービス セットアップと MDM への自動登録を活用することをお勧めします。

IT 担当者の皆様へ: 従業員に対し、職場のメール アドレスを使用して個人用 Microsoft アカウントを作成するよう指示しないでください。これは、そのアドレスに関連付けられたコンテンツやリソースの所有者が混乱する原因となります。一部のマイクロソフトのサービスには、職場のメール アドレスで作成した個人用アカントを必要とするものがまだいくつかありますが、前述のとおり、現在その解決に向けて取り組んでおり、一時な例外措置を実施しています。

エンド ユーザーの皆様へ: 利便性を理由に職場のメール アドレスで個人用 Microsoft アカウントを作成している場合は、アカウントの名前の変更をご検討ください。

アプリ開発者の皆様へ: 個人用アカウントと職場のアカウントの両方をサポートしたい場合は、こちらのブログ記事 (英語) をご覧いただき、現在マイクロソフトが取り組んでいる ID スタックの統合についてご確認ください。

この件に関して、ご意見、ご要望がありましたらぜひお気軽にコメントをお寄せください。問題報告もお待ちしております。

ではまた!

Ariel Gordon (Twitter: @askariel)

プリンシパル プログラム マネージャー

Microsoft ID 部門