組織アカウント

皆さんこんにちは、胡田です。何やら不穏なタイトルですが私が退職するという話ではありません。関係者の皆さんご安心ください（笑 今回のネタはかなりニッチな話なのですが、私の友人で下記の状況になって困ってしまった人がいました。それを受けてブログエントリを書きました。地味に重要な箇所だと思ってます。 - マイクロソフトアカウントに紐付いていたAzureサブスクリプションを退職前に全て削除したつもりが後日クレジットカードに請求が来てしまった - マイクロソフトアカウントで確認しようとしてももうサインインできなくなってしまった - パスワードリセットなども、もう以前の会社のメールが使えないのでできない この件では結局以前のメールアドレスを復活させる対応が必要となりました。このような事にならないために今回の話は理解しておいてもらえればと思います。 さて今回のお話は前提知識として下記を要求しています。記事を読んでよくわからない部分があった方は参照いただければと思います。 - [個人アカウントと組織アカウント | Microsoft Cloud Administrators](http://cloud.ebisuda.net/%e5%80%8b%e4%ba%ba%e3%82%a2%e3%82%ab%e3%82%a6%e3%83%b3%e3%83%88%e3%81%a8%e7%b5%84%e7%b9%94%e3%82%a2%e3%82%ab%e3%82%a6%e3%83%b3%e3%83%88/) 組織のメールには組織を抜けたあとにはアクセスできない さて、会社含めて組織に所属している中で、その組織に紐付いたメールアドレスで各種Webサービスのアカウントを作成することは数多くあることだと思います。マイクロソフト系のクラウド管理者だとかなりの高確率でマイクロソフトアカウントを**『組織のメールアドレスで』**持っていますよね。(※実はこれは現在ではもうできなくなっているのですが、昔からやっている人は持っている人が多いのです。) そして、「組織のメールアドレスがIDである」マイクロソフトアカウントはそもそも作成時に「自分がすでに持っているメールアドレスで作成する」という選択肢を使ってアカウントを作っているので、例えばパスワードを忘れてしまってリセットしたい場合や、新しい場所からサインインした時に追加で確認を求められたりする際には(追加でアカウントに電話番号を追加し、それを利用することもできますが)「組織のメールアドレス」に届くメッセージを使うことになります。 逆に組織の管理者であれば組織内のメールアドレスを自由に作成、削除、変更等できます。これは当たり前ですね。ですから「個人に紐付いているアカウントがたまたま組織のメールアドレスだった」という状況でも、組織の管理者は用意にそのアカウントを乗っ取ってしまうことができます。これってちょっと問題ですよね。なので、組織のメールアドレスで新規にマイクロソフトアカウントを作成することが(過去はできましたが)今は禁止されています。 マイクロソフトアカウントへのメールアドレスの追加方法 「マイクロソフトアカウントでIDとして使っているメールアドレスにアクセスできない」状況ではもう復活の手段がなくなってしまうことは理解いただけたでしょうか？ これを防ぐためには「組織のメールアドレス」にアクセスできているうちに、マイクロソフトアカウントのメールアドレス(これはつまりID自体なのですが)を変更する必要があります。このための機能がきちんと準備されています。 (2019/02/13時点の操作方法　※画面自体はすぐに変更になる可能性が高いです。) https://account.microsoft.com/profile/　にアクセス。 これを編集するためには下記のように追加で本人確認が必要です。ここを突破できるうちにメールアドレスを変更しておくのが肝なんです。 そして、下記のようにメールや電話番号を追加したり、プライマリエイリアスを変更したりなどの操作が行えます。 退職前にはここから個人でいつでもアクセスできるメールアドレスをまず追加し、その追加したメールアドレスをプライマリに変更するのが良いでしょう。さらに、個人でいつでもアクセスできる電話番号も追加しておくことも強くお勧めします。 注意 さて、ここまで書いておいて非常に申し訳ないのですが、実はこの対処を行って「プライマリエイリアス」の変更まで行うと、各種のサービスでおかしなことになる例がありました。私の場合には個人のマイクロソフトアカウントに紐付いているAzure EAポータル上のアカウントおよびそのAzureサブスクリプション周りでおかしな挙動になりました。 あきらかにMicrosoftさん側のバグだと私は思っているのですが…(サポートの方には伝達済み)。そのうち直ることを祈りつつ…。 このあたりの地雷を踏まないようにするためには、「プライマリエイリアスの変更」はそれが絶対に必要な場面において、最悪色々な悪影響が出てしまったとしても大丈夫な状況でのみ行ってください。念の為。 ※私は責任取れませんのであしからず…。 ただ、私自身の個人アカウントは実験も含めて10回くらいプライマリエイリアスの変更を実施して、現在問題なく動いているという事実はありますので、そこまで恐れなくてもいいかも？ 組織の管理者としてはやはり組織アカウントのみを使うべき このような問題も理解すると、より一層、組織としては「組織アカウント」を使うべきであり、「個人アカウント」はあくまでも個人利用のために使うことが望ましいことがわかります。 使えるからと言って、個人アカウントであるマイクロソフトアカウントを組織で契約しているAzure環境の管理者アカウントにしてしまったりするとのちのち面倒なことになります。このブログでも何度も繰り返していることですが、くれぐれもご注意ください。 でも、まだまだマイクロソフトアカウントでの使用例が後を絶たないんですよね…、このブログを見てくれている管理者の方は是非組織アカウントを使っていってもらえればと思います。 関連エントリ 下記のエントリも関連していますので、合わせてごらんいただければと思います。 - [個人アカウントと組織アカウント | Microsoft Cloud Administrators](http://cloud.ebisuda.net/%e5%80%8b%e4%ba%ba%e3%82%a2%e3%82%ab%e3%82%a6%e3%83%b3%e3%83%88%e3%81%a8%e7%b5%84%e7%b9%94%e3%82%a2%e3%82%ab%e3%82%a6%e3%83%b3%e3%83%88/) - [クラウド時代のマイクロソフト系インフラ管理者はまずAzure Active Directoryを理解し活用しましょう | Microsoft Cloud Administrators](http://cloud.ebisuda.net/%e3%82%af%e3%83%a9%e3%82%a6%e3%83%89%e6%99%82%e4%bb%a3%e3%81%ae%e3%83%9e%e3%82%a4%e3%82%af%e3%83%ad%e3%82%bd%e3%83%95%e3%83%88%e7%b3%bb%e3%82%a4%e3%83%b3%e3%83%95%e3%83%a9%e7%ae%a1%e7%90%86%e8%80%85/) - [アカウントの種類は何を使うべきか？ – チャットでいただいた質問への回答 | Microsoft Cloud Administrators](http://cloud.ebisuda.net/%e3%82%a2%e3%82%ab%e3%82%a6%e3%83%b3%e3%83%88%e3%81%ae%e7%a8%ae%e9%a1%9e%e3%81%af%e4%bd%95%e3%82%92%e4%bd%bf%e3%81%86%e3%81%b9%e3%81%8d%e3%81%8b%ef%bc%9f-%e3%83%81%e3%83%a3%e3%83%83%e3%83%88/) - [「マイクロソフトアカウントと組織アカウントを変換したい」という質問への回答 | Microsoft Cloud Administrators](http://cloud.ebisuda.net/%e3%80%8c%e3%83%9e%e3%82%a4%e3%82%af%e3%83%ad%e3%82%bd%e3%83%95%e3%83%88%e3%82%a2%e3%82%ab%e3%82%a6%e3%83%b3%e3%83%88%e3%81%a8%e7%b5%84%e7%b9%94%e3%82%a2%e3%82%ab%e3%82%a6%e3%83%b3%e3%83%88%e3%82%92/)

皆さんこんにちは。胡田です。今日は家族で動物園に行ったのですが、複数のヤギにかまってくれとせがまれるおじさんがいてびっくりしました。常連さんでヤギからしっかりと認識されているのでしょうか。…羨ましいです。 さて、このサイトに設置してあるチャットで複数の別の人から「マイクロソフトアカウントと組織アカウントを変換したい」という同じ質問をなんども受けるのでエントリとして公開しておきたいと思います。皆さんだいたい下記のエントリを見たあとに質問してくれています。まず下記が前提知識ということで先に読んでいただけると良いと思います。 - [個人アカウントと組織アカウント | Microsoft Cloud Administrators](http://cloud.ebisuda.net/%e5%80%8b%e4%ba%ba%e3%82%a2%e3%82%ab%e3%82%a6%e3%83%b3%e3%83%88%e3%81%a8%e7%b5%84%e7%b9%94%e3%82%a2%e3%82%ab%e3%82%a6%e3%83%b3%e3%83%88/) - [アカウントの種類は何を使うべきか？ – チャットでいただいた質問への回答 | Microsoft Cloud Administrators](http://cloud.ebisuda.net/%e3%82%a2%e3%82%ab%e3%82%a6%e3%83%b3%e3%83%88%e3%81%ae%e7%a8%ae%e9%a1%9e%e3%81%af%e4%bd%95%e3%82%92%e4%bd%bf%e3%81%86%e3%81%b9%e3%81%8d%e3%81%8b%ef%bc%9f-%e3%83%81%e3%83%a3%e3%83%83%e3%83%88/) さて、この上で「マイクロソフトアカウントに変換できますか？」「組織アカウントに変換できますか？」という質問を受けます。 まず、結論を先に言ってしまうと「変換はできません」という回答になります。残念。 そもそもマイクロソフトアカウントと組織アカウントは完全に別物です。変換できるたぐいのものでもありません。確かに機能的に似ているところがありますし、どちらを使うか？という選択肢がある場面も多いため変換したくなる気持ちもわかりますが…、そもそも論としてあとから変換したくならないようにはじめから「企業であれば組織アカウントを統一的に使う」というのが私のお勧めです。これまでのエントリでも解説したとおりです。 でも、そのうえでこのような回答が多いというのは、話を聞いてみるとどうやら「企業利用だが、よくわからずにマイクロソフトアカウントでつかい初めてしまったけれども、あとから、はじめから組織アカウントを使っておくべきだったことに気がついた」というケースが多いようです。変換自体はできないのですが、設定項目によっては「移行」ができるケースがありますので代表的なところで2つほど紹介しましょう。 Azureの管理アカウントをマイクロソフトアカウントから組織アカウントに変更する Azureには様々な管理アカウントの種類があります。契約によってその管理アカウントの種類も違います。ちょっと種類多すぎですし、きちんと説明しようとすると膨大な説明量になってしまうのでこのエントリでは説明しませんが、「全ての項目に関してマイクロソフトアカウントと組織アカウントの両方が使える」状態に現状はあります。(※昔はマイクロソフトアカウントしか使えなかった時期もありました) ですので、Azure管理に関しては - 組織アカウントを管理者として追加する - マイクロソフトアカウントを管理者から削除する というステップで多くの場所で組織アカウントへの管理に切り替えることができます。変換ではなく切り替えですね。 サブスクリプションのサービスアカウントに関してもマイクロソフトアカウントから組織アカウントへの所有者変更(サブスクリプション転送)も可能です。これを行えば管理上の全ての場所からマイクロソフトアカウントを消すことが可能です。 ただし、この変更にともなってサブスクリプションの規定のディレクトリの変更が発生するケースが大半ですし、それに伴ってサブスクリプションへの管理権限がリセットされる動きとなります。一部のサブスクリプション内のサービスも影響をうけるケースがあります(Azure Automation等)リスクを承知した上であってもおいそれと実施すべきではない作業ではあります。 が、やればできます。 ここは重要なものでなければやってしまってもいいとは思いますが、企業であつかっているような重要なサブスクリプションであればプロにお金をはらって作業をお願いすることをお勧めします。くれぐれもお伝えしたいのはこれはAzureを販売してもらった企業にただでサポートしてもらったり、作業してもらったりするような簡単なものではない(ケースがある)という事です。 イレギュラーなことをすると簡単にAzure上の管理データベース上で不整合が発生しますので注意下さい…。 Windowsのログインアカウント Windowsのログインアカウントとしてマイクロソフトアカウントや組織アカウントが利用できますのでそれを変更したいとお考えの方もいると思います。残念ながらこれは私の知る限り簡単に変更はできないと思っています。 ですが発想を変えてもらうのが良いと思っています。 新規に組織アカウントでそのWindowsにはいれるように構成して、いちから使えばいいんです。ただそれだけです。新しいPCを買ってきてそこでPCをセットアップして新しいアカウントで使い出すのと一緒のことですから。 え?データ移行やアプリケーションのインストールや、各種設定をし直すのが大変ですか? もしもそうであるならば、その事自体が問題であり改善すべきだと私は考えます。 データはクラウドに保持。各種セキュリティポリシーもWindowsの設定もクラウド上で構成され、同一IDに対しては自動適用される。アプリケーションも自動的に展開される。こういう環境にしてしまえば、特になにも恐れることは無いですよね。 そもそもPCなんていつ壊れるかもわかりませんし、複数のPCで作業することだってあるでしょうし、スマフォでだって作業するでしょうし、マルウェアにやられて初期化しなくちゃいけなくなることだってありえますし、Windows Updateが失敗するかもしれないし、いつでも簡単にリセット可能な状況にしておくことが重要だし、結果的に生産性が高まると私は考えるのです。 まとめ というわけで、まとめとしては - マイクロソフトアカウントと組織アカウントは「変換」はできない - 「変換」はできないがアカウント権限付け替え等をして組織アカウントに「移行」することはできるケースが多い - Azureサブスクリプションのサービス管理者だけは要注意 - Windowsはアカウントの変換とか考えないでクラウドを活用してそもそも気軽に初期化可能にしてしまいましょう ということになります。 参考になるところがあれば幸いです。 引き続き右下のチャットより質問や「いやそういうことじゃなくてね・・・」という情報をお待ちしております。

マイクロソフトのクラウドサービスを利用しようとしたり、クラウドプラットフォーム上でIDを作成、管理しようとしたり、Windows 10をセットアップしようとしたときにまず1番最初に混乱するのが「個人アカウント」と「組織アカウント」の違いだと思います。両方の種類のIDが使えるサービス、片方のIDしか使えないサービス、両方のIDが使えるんだけど、実は領域が別れているサービスなど、多種多様な状況です。私自身かなり長期間に渡って苦しめられてきたというのが正直な所です。 少々技術的に細かい話にもなってしまいますが、しっかりと説明してみたいと思います。 なお、私個人のおすすめは「使える所は全て組織アカウントで統一する」です。 (2021/09/29追記)動画で改めて解説しました YouTube の動画にて改めてこのテーマをまた別の角度から解説しました。ブログ記事と合わせてご覧ください。 https://youtu.be/s1Rm7M2tMAg (2021/09/19追記)Windows 11, Windows 10の両方をカバーし、さらに管理者側の話にも踏み込んだYouTube動画を作成しました本エントリは解説の角度が違いますので、両方見ていただくとより理解が深まります。是非動画も本エントリも両方ご覧いただければと思います。 https://youtu.be/zC5n5S6wfH8 **(2019/06/30追記)**Windows 10の初期セットアップで「個人用に設定」「組織用に設定」のどちらを選択したらいいのか？このページから「Windows 10の初期セットアップで「個人用に設定」「組織用に設定」のどちらを選択したらいいのか？」という質問があまりにも大量に寄せられるので、Windows 10の初期セットアップに特化した解説動画を作成しました。 Windows 10の初期セットアップにお困りの方は下記動画をご覧いただければと思います。 ※動画を見ていただければ初期セットアップは完了できると思います。あとでこのエントリの残りの文章も読んでいただけるとより深く理解いただけると思います。 (2020/02/19追記)Windows 10再インストール手順このページを見たから「『個人用に設定』と『組織用に設定』を間違って設定してしまったがあとから変更できますか？」という質問を数十回単位で質問頂いています。色々とやり方はあるのですが、基本的に「データをすべてクラウドに置いておいた上でWindows 10を再インストールしてしまう」という方法が非常におすすめです。その方法を動画で解説しましたので、是非御覧ください。 歴史的経緯まず最初にこの話には歴史的経緯があるのだということを認識しておくのがおすすめです。そして、特に「Azure」関連で度々の仕様変更があり、それが複雑さに拍車をかけています。具体的には当初、「個人アカウント」でしかAzureの管理ができない時代がありました。 ですが、その後、Office 365の普及=Azure ADの普及=「組織アカウント」の普及に伴って、Azureの管理がどんどん「個人アカウント」ではなく、「組織アカウント」で行うべきものに変化してきました。 この影響を受けて個人アカウントと組織アカウントの混在や、役割の変化、ドキュメントによって言っていることが違う…等の混乱を生むことになった…というのが私の理解です。 ですので、過去のドキュメントを見る時にはこのあたりも注意してもらうのが良いと思います。 注意：このあたり人によっては全く違う見解、意見を持っているかとは思います。石を投げないで下さい。 個人アカウント＝マイクロソフトアカウント 組織アカウント=Azure Active Directoryのアカウント=Office 365のアカウントまず一番最初に理解すべきことは、個人アカウントが「マイクロソフトアカウント」であり、組織アカウントは「Azure Active Directoryのアカウント(=Office 365のアカウント)」であるということです。それぞれは「誰が管理者なのか」という点で明確に大きな違いがあります。 「個人アカウント=マイクロソフトアカウント」は個人が勝手に作成できるマイクロソフトアカウントは以下のURLから作成できるアカウントです。 - [https://signup.live.com/](https://signup.live.com/) 無料で作成できるにもかかわらずメールアドレスを取得し、outllok.comでメールの送受信をおこなったり、OneDriveでオンラインストレージを保有し、PCとも同期ができてしまうような非常にお得なアカウントです。 新規にxxx@outlook.com, xxx@outlook.jp, xxx@hotmail.com等のメールアドレスを取得してアカウントを作成することも、すでに自分が利用しているメールアドレスをつかってアカウントを作成することもできます。 マイクロソフトアカウントはWindows 10とも統合されており、マイクロソフトアカウントでWindows 10にログインすることもできます。他にも様々なマイクロソフトのクラウドサービスにて使用することができるアカウントになります。 無料で作成できるアカウントにもかかわらずメールもオンラインストレージもついてくるなんて本当にいい時代になりましたね。(マイクロソフトアカウントに限らずの話ですが) このマイクロソフトアカウントの最大のポイントは**「個人が勝手に作成できる個人利用のためのアカウント」**という所です。単純にインターネット接続とブラウザだけあれば簡単にマイクロソフトアカウントが作成できます。誰かに承認を得る必要もなければ、組織でコンセンサスを取る必要もありません。作成したければいくらでも勝手に作成できます。 マイクロソフトアカウントはあくまでも個人が自分で作成したアカウントであるという位置づけです。ですから、マイクロソフトアカウントに登録してある情報を編集しようと思っても、それができるのはあくまでも本人だけです。だれか管理者に頼んでパスワードをリセットしてもらったり、メールアドレスを追加してもらったり…というようなことは発生しませんし、他の人にはできません。 ※組織の管理者によって従業員ひとりひとりのマイクロソフトアカウントを作成して配布する…というような運用をされているところがあってもおかしくありません。ですが、このような運用は本来意図されているものではなく、やめたほうが良いでしょう。(規約をよく読むと禁止されている事かもしれません。) 「組織アカウント=Azure Active Directoryのアカウント=Office 365のアカウント」は管理者が作成する組織アカウントは別の呼び方としては「学校および職場のアカウント」と呼ばれます。つまり学校や職場等の組織において作成、利用されるアカウントです。このアカウントは組織的に作成、利用されますので、勝手に個人が作成することはできません。きちんと管理者がネーミングルールや各種セキュリティポリシーを設定しつつ、入学、入社等のタイミングで作成し、利用者に払い出す形となるのが通常です。 これはまさに、オンプレミス時代のActive Directoryのアカウントを想像してもらえれば良いと思います。ドメインの管理者が全体に対して権限を持ち、管理をしていました。それのクラウド時代のクラウド上のアカウントの呼び方が「組織アカウント」なのです。 この「組織アカウント」は実体としてはAzure Active Directory上のアカウントになります。 あえてそういう呼び方はしませんが、オンプレミスのActive Directory上のユーザーアカウントも分類するなら個人アカウントではなく、組織アカウントと考えられますね。 こちらも最大のポイントは「管理者が作成、管理するものであり、個人では勝手に作成できない組織のためのアカウント」という所です。 Windows 10も進化が進み、新しいバージョンでは直接組織アカウントを使ってWindows 10にログインすることができるようになっています。 組織アカウントはマイクロソフトのクラウドサービスを組織で利用する時に必要となる組織アカウントはマイクロソフトのクラウドサービスを組織で利用する時に必要となります。実はマイクロソフトのクラウドサービスの出始めのころは「組織アカウント」という呼び方も「Azure Active Directory」もほぼ説明されていませんでした。 Office 365の前身のBPOSというクラウドサービスのときには単にBPOSに対してIDを作成する、IDを同期するという概念だったと記憶しています。(※昔のことなので記憶違いかもしれません。) ...