Změny v účtech Microsoft a Office 365
Vytváříte uživatelům soukromé Microsoft účty na doméně firemního e-mailu? Či jste si jej dokonce vytvořili i vy osobně? Pak byste měli zpozornět při čtení následujících řádků.
Soukromé a firemní účty
Microsoft historicky používal několik systémů pro správu identit uživatelů. Je samozřejmě logické, že s příchodem cloudových online služeb se maximálně snaží o jejich sjednocení. Nyní tedy známe primárně dva typy účtů:
- Firemní nebo školní účet pocházející z Azure AD, tedy i Office 365
- Soukromý účet, neboli účet Microsoft, či dříve Live ID či ještě dřívější Microsoft Passport.
Obě tyto identity mohou mít podobnu běžné e-mailové adresy. V prvním případě se jedná o e-mail na firemní doméně a je spravován čistě ze strany IT oddělení, které se o tuto doménu a uživatelské účty stará.
V druhém případě jde často o e-mail na doménách hotmail.com nebo outlook.com. Ale i jiných, neboť takovýto účet lze založit například i pro již existující e-mail třeba na gmail.com nebo seznam.cz. A dříve i na firemní adresu.
A zde nastal kámen úrazu. Bylo možné založit si soukromý účet pro pracovní adresu. Při přihlašování se k některým službám se pak uživatel mohl setkat s takovouto výzvou:
To z důvodu, že systém samozřejmě zcela logicky nemohl rozpoznat, zda se uživatel vlastně hlásí soukromým či firemním účtem. Pro samotné uživatele to bylo matoucí, protože oba účty mohly ale nemusely mít ve stejném čase stejné či rozdílné heslo. Stejným problémům čelili vývojáři, kteří museli své aplikace přizpůsobit oběma systémům identit.
Z tohoto důvodu se Microsoft rozhodl pro změnu a již delší dobu nelze založit soukromý Microsoft účet na e-mail na doméně, která je ověřena a používána v Azure AD, tedy i Office 365.
Pro již založené účty je doporučeno změnit jejich znění na jinou než firemní doménu v nastavení účtu. Například právě na domény hotmail.com. Tento krok ovšem neprovádějte, pokud na tento účet máte veden přístup do VLSC portálu!
Tato změna ovšem může mít vliv na několik případů užití, které nyní vyžadují lehkou změnu přístupu:
Konfigurace Windows Mobile (Phone)
Pokud jste uživatelům vydávali mobilní telefony a pro jejich aktivaci, konfiguraci, zálohování a synchronizaci nastavení používali soukromý účet Microsoft, měli byste nyní provést upgrade na Windows 10 Mobile. Ten umožňuje aktivaci firemním účtem z Azure AD. Soukromý účet není tedy vůbec potřeba.
Aby se ovšem telefon choval stejně jako v případě soukromého účtu, musí IT podniknout ještě pár drobných nastavení. V rámci Azure AD povolit registraci zařízení a povolit synchronizaci nastavení mezi zařízeními. Pokud vlastníte Premium plán, můžete nastavit i automatickou registraci zařízení k MDM, což usnadní uživatelům konfiguraci zařízení. K nákupu aplikací pak můžete použít Windows Store for Business a distribuovat pomocí něj cíleně aplikace uživatelům, či spravovat jejich firemní nákupy.
Společnosti vlastnící předplatné OneDrive for Business či plánu, který jej obsahuje pak mohou využít i zálohování fotografií, synchronizaci OneNote poznámek a dalších funkcí, které jsou k dispozici soukromým účtům. Nedostupná ovšem zůstane možnost lokalizovat telefon na mapě.
Konfigurace Windows 10
Zde je situace podobná jako u telefonů. U Windows 8.1 je doporučen upgrade na Windows 10, který si s firemními účty plně rozumí. A pokud jste opět využívali soukromé účty pro synchronizaci nastavení mezi počítači, lze tuto volbu zapnout a povolit nyní i pro firemní účty a využít Azure AD. Ostatně je touto volbou doporučeno začít pomalu nahrazovat klasické roamingové profily.
Pokud využíváte Microsoft Intune či jiné kompatibilní MDM, můžete takto docílit i zálohování BitLocker obnovovacích klíčů na OneDrive for Business a stejně jako u telefonu zajistit nákupy aplikací přes Windows Store for Business. I Cortana (ač v češtině nedostupná) podporuje firemní účty.
Všechny aktualizované a vestavěné UWP aplikace již také umí pracovat s firemním účtem, zvláště, pokud nastavíte GPO politikou volbu "Nevyžadovat účet Microsoft". Takže i OneNote i aplikace jako je Microsoft To-Do.
Publikace Windows Store aplikací
I pro publikaci aplikací do obchodu pomocí Windows Dev Center lze nyní využít firemní identity, postačí jej správně nastavit pro spojení s Azure AD v nastavení. Při vytváření nového účtu již máte i na vybranou rovnou. Takto vytvořeného LOB vývojáře pak můžete rovnou přizvat i do Windows Store for Business.
Přístup k MSDN
Jednotlivé přístupy k MSDN jsou postupně migrovány na nový portál My Visual Studio . Starý portál firemní identity nepodporuje a pokud se stále hlásíte k němu, nepodnikejte žádné změny.
Portál nový ovšem již firemní identity podporuje. Pokud byl váš účet převeden, můžete firemní identitu v nastavení přidat jako alternativní k soukromému. Na firemní účet lze pak aktivovat například Azure benefity. V případě, že ještě účet na My Visual Studio vytvořen nemáte, může Vás firma pozvat rovnou na účet firemní. Ovšem pozor na to, že přihlašovací jméno pozvánky musí být shodné s přihlašovacím jménem v Office 365 (Azure AD).
Přístup k VLSC
Nové smlouvy jsou již procesovány v Business Center portálu, který firemní identity podporuje. Ovšem pozor! Pokud se do něj přihlašujete poprvé, učiňte tak účtem globálního správce stávající Office 365 (Azure AD) organizace, pokud takovou máte a chcete s ní licence propojit. Portál při přihlášení totiž Azure AD vytváří pod přihlášenou e-mailovou adresou. Což by mohlo lehce negativně ovlivnit vytvoření Vaší Office 365 organizace, pokud jej chcete mít více pod kontrolou (jiná volba jazyka a regionu).
V případě, že přistupujete stále do starého Volume License Service Center, tento firemní identity nepodporuje a v tomto případě ani neměňte svoje soukromé přihlašovací jméno a vyčkejte převedení Vašich licencí na nový portál.
Přístup k MPN a MCP
Přístup do MPN portálu a k MCP benefitům firemní účty nepodporuje. Je to logické, neboť tyto informace s vámi cestují, ať jste přiřazen jakékoliv firmě a jsou skutečně vaše vlastní, soukromé. V budoucnu bude pravděpodobně možné účty přidružit, aby přístup byl možný oběma účty.
Závěrem
Aplikace jako je Office 365 ProPlus či OneDrive na zařízeních umí pracovat s více identitami. Můžete tak například mít sadu Office aktivovánu na firemní účet a používat soukromý OneDrive (pokud firemní IT dovolilo).
Znáte další portály, které jsem nejmenoval a které zatím mají s firemní identitou problém? Případně jste našli další rozdíly mezi v chování mezi soukromým a firemním účtem? Podělte se v komentářích. Je samozřejmé, že změna nenastane přes noc a Microsoft na ní usilovně pracuje. Ostatně uživatelů, kteří mají takto registrované účty není málo.
Bližší informace o celé této problematice a změně najdete v článku Cleaning up the Azure AD and Microsoft Account overlap.
Aktualizováno 3. července 2017 upřesněním změn u MSDN od Jirky Buriana z MSDN Blog CZ/SK.