マイクロソフト、アンマネージド Azure AD ゲスト アカウントをブロックすることを開始
Azure AD のアンマネージド アカウントの必要性の排除
マイクロソフトの9月2日の発表で使用された言語は、テナントは「B2B コラボレーションのアンマネージド Azure AD アカウントに別れを告げる」は混乱を招いた。問題は、マイクロソフトが、管理されていない(または「ウイルス」)Azure ADアカウントが投稿にあることをまったく説明していないことです。一部の人々は、彼らのイニシアチブが何であるかについて混乱しているかもしれません。
ブログは利用した人のことを指しています セルフサービスサインアップ Azure AD ゲスト アカウントを作成するには “Azure AD でドメインが検証されていない場合に、職場の電子メール アドレスの所有権を検証する."これは、 “ユーザーは、組織の IT 部門によって管理されていないテナントにアカウントを作成します."
マネージド テナントとアンマネージド テナント
Azure AD は、多くのテナント ディレクトリで構成されます。マネージド テナントは、Microsoft 365 や Dynamics 365 などのサービスをサポートするために作成されたグローバル管理者 (マネージャー) を持つテナントです。すべての Microsoft 365 組織には、マネージド Azure AD テナントがあります。
Microsoft が 2016 年に Azure B2B コラボレーションを導入したとき、外部ユーザーが外部ユーザーの電子メール アドレスを使用してマネージド テナントのゲスト メンバーにサインアップし、その存在を検証する機能を作成しました。ゲスト アカウントは、ゲストが SharePoint Online のドキュメントやチームのドキュメントなどの一部のリソースにアクセスするテナントのディレクトリに存在します。Azure AD は、ゲスト アカウントをソース テナントのディレクトリにあるユーザーの実際のアカウントにリンクしようとします。これらのゲストの一部は、Azure AD を使用しない電子メール ドメインから来ており、Microsoft はユーザーの電子メール ドメインに基づいてアンマネージド テナントを使用してアカウントを保存します。
実用的な例を見てみましょう。外部ユーザーの電子メール アドレスを Microsoft 365 グループまたはチームのメンバーシップに追加します。このアクションにより、Azure AD はゲスト アカウントを作成し、外部ユーザーへの招待状を生成して招待状を引き換え、電子メール アドレスを確認します。ユーザーは招待を電子メールで受信し、承諾します。Azure AD は、ユーザーが本物であることに満足し、ゲスト アカウントに招待を承諾したとマークします。外部ユーザーは、ゲストアカウントを使用してグループまたはゲストに参加でき、すべてがうまくいきます。
このスキームは、電子メール ドメインを所有する組織が、Microsoft 365 などのサービスを使用するために Azure AD を使用することを決定するまで機能します。その時点で、組織は管理されていないテナントとその管理されていないアカウントを引き継ぐ必要があります。このプロセスは よく知られ、文書化されているしかし、それはサービスへの組織の円滑なオンボーディングを妨げます。
Azure AD のアンマネージド アカウントはもうありません
現在起こっていることは、Microsoftが外部ユーザーが電子メールアドレスを使用して検証する機能を削除することで、管理されていないアカウントとテナントを作成する必要性を排除していることです。代わりに、外部ユーザーが次のユーザーから来ていない場合は、次のようにします。
- 別の Azure AD テナント。
- Google などの Azure AD とフェデレーションするディレクトリ。
- コンシューマー マイクロソフト サービス (MSA)。
Microsoft は、ワンタイム パスワード (OTP) を使用して電子メール アドレスを検証するか、電子メール アドレスを使用してコンシューマー アカウントを作成するようユーザーに要求します。Microsoft は、顧客組織に既に存在するゲスト アカウントによって使用されているアンマネージド Azure AD アカウントは引き続き機能することを強調しています。新しい引き換えプロセス(図1)は、新しいゲストアカウントにのみ適用されます。
Azure AD のアンマネージド アカウントのクリーンアップ
マイクロソフトの投稿によると、一部のテナントでは、ディレクトリに数千のアンマネージド Azure AD アカウントがあることがわかります。前述のように、これらのアカウントは引き続き機能しますが、クリーンアップする場合 (基本的には、管理されていないアカウントを持つユーザーに Azure AD への再検証を強制するため)、Microsoft 役立つ一連のツールがあります.
ドキュメントを読んだ後、テナントで手順をテストしました。一部の PowerShell 構成が必要です。以下をインストールする必要があります。
さらに、 Get-MsIdUnmanagedExternalUser コマンドレットは、管理されていない (ウイルス) アカウントを検索するには、 msidentity.microsoft.graph モジュール。テナントでコードを実行するために私がしたことは次のとおりです。ご覧のとおり、3つのアカウントが特定されました。
Import-Module msidentitytools,microsoft.graph Connect-MgGraph -Scope User.Read.All Select-MgProfile Beta Get-MsIdUnmanagedExternalUser Id DisplayName Mail UserPrincipalName -- ----------- ---- ----------------- 39cac377-02cc-4919-ad44-d9f1a7cc5eae Glen Weaver gweaver@gwdevelop.com gweaver_gedevelop.com#EX... 3e97b38b-6031-4501-bdba-4d05fff67ec6 Michael Conroy michaeld@conroycons.com michaeld_conroycons.com#EXT... 94687a75-7a3e-4001-b15e-7fc91cc7ac4e Norbert Platz n.platz@devs.de n.platz@devs.de#EX...
ご想像のとおり、3つのアカウントは電子メールドメインに属していました。Azure AD は使用しません。私は、2016 年 9 月に、当時の Office 365 グループ (現在の Microsoft 365 グループ) に対する Azure B2B コラボレーション サポートを導入した直後に、アカウントを作成しました。ザ 外部ユーザー状態 各アカウントのプロパティが[承諾済み]に設定され、ユーザーがテナントのゲスト ユーザーになるように招待を引き換えたことを意味します。
管理されていないアカウントに Microsoft の新しい引き換えプロセスを強制的に実行するには、次のコマンドを実行します。 Get-MsIdUnmanagedExternalUser もう一度、結果をリセット – MsIdExternalUserにパイプします。このアクションにより、Azure AD は各アカウントのメール アドレスへの招待を再発行し、 外部ユーザー状態 プロパティを保留中承諾にします。
Get-MsIdUnmanagedExternalUser | Reset-MsIdExternalUser Id InviteRedeemUrl -- --------------- d325b1e4-c6d8-4d24-b384-05bd145abf6f https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft... bb1112fc-c0b1-4b0e-a43b-dfd0914c8345 https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft...
招待を引き換えるかどうかは各外部ユーザー次第であり、引き換える場合は、 新しい償還プロセス.ゲストが招待を引き換えないことを選択した場合は、妥当な期間が経過した後にゲストのアカウントを削除することを検討できます。
文句を言うのにあまり多くない
テナント間のアクセス ポリシーの出現は、ゲスト アカウントと Azure B2B コラボレーションが以前よりも重要でなくなったことを意味します。私たちは皆、経験から学んでおり、Microsoftは、管理されていないテナントと管理されていない(またはウイルスの)アカウントは、2016年ほど良いアイデアではないことを学んだようです。
私はマイクロソフトがやっていることに欠点を見ることができません。これにより、テナントは必要に応じて管理されていないゲスト アカウントをそのまま残すことができ、組織がこれらのアカウントを管理状態に移行することを決定した場合にツールを使用できます。招待の引き換えプロセスを再度行うように求められている人々のためのいくつかの小さな混乱を除いて、不平を言うことはあまりありません。
いつも、たくさんの変化があります。マイクロソフトが Office 365 全体で行うすべての更新プログラムに遅れずについていくことは困難です。購読する Office 365 for IT プロフェッショナル 電子書籍では、何が起こるか、なぜそれが起こるのか、テナントにとって新しい機能や機能が何を意味するのかについて、毎月の洞察を得ることができます。