office365のライセンスに想定外のライセンスが割り当てられている（セルフサービスサインアップ）

office365ライセンスに本来割り当ててないライセンスが割り当たっていた時のお話し。

例：

正常なライセンス状態：
M365EDU_A3_FACULTY

異常なライセンス状態：
M365EDU_A3_FACULTY、STANDARDWOFFPACK_FACULTY ← ★このSTANDARD・・・が余分に割り当てられている

ライセンス状態の確認方法

Microsoft365管理センター > ユーザー > アクティブなユーザー > ユーザーを検索
表示されたユーザーをクリック > ライセンスとアプリ
※ここには日本語表記で表示されます

原因

Azure Active Directory の「セルフサービスサインアップ」 という機能が原因。
ライセンスの付与は管理者が Microsoft 365 管理センターや Windows PowerShell で行う方法以外に、ユーザー自身がメールアドレスを登録して利用する「セルフサービスサインアップ」 という方法があります。
そこに学校や職場で利用しているメールアドレスを入力して登録してくださいとあるのでそのまま利用者はメールアドレスを登録し、進めることで学校や職場側のライセンスに追加で「セルフサービスサインアップ」したライセンスも
割り当てられてしまうのです。

影響

利用者に利用させたくないアプリがあり、管理者側で禁止していても「セルフサービスサインアップ」でライセンスが割り当たり、利用できてしまいます。

対処

Microsoft365管理者側で「セルフサービスサインアップ」させないよう設定変更します。

留意事項
本設定は、テナント全体に対して適用されます

Windows PowerShell を管理者として起動します。

以下コマンドを実行し、Microsoft365へ接続します。
Connect-MsolService

以下コマンドを実行し、現在の設定状況を確認します。
[True] で出力される場合は、無効化されておりません。
Get-MsolCompanyInformation | select AllowAdHocSubscriptions,AllowEmailVerifiedUsers

【出力例】
AllowAdHocSubscriptions AllowEmailVerifiedUsers
———————– ———————–
True True

【補足】
・AllowAdHocSubscriptions : 既存ユーザー および、未登録のユーザーの両方に対して、セルフサインアップ機能を無効化 (禁止) の設定状況
・AllowEmailVerifiedUsers : Office 365 テナントに未登録のユーザーに対してのみ、セルフサインアップ機能を無効化 (禁止) の設定状況

以下コマンドを実行し、設定値を変更します。
Set-MsolCompanySettings -AllowAdHocSubscriptions $False

まとめ

今回はたまたま気付きましたが、学校や職場で禁止しているものがこのような抜け道（？）みたいなところで利用できてしまうのは困ったものですね。
ただ、もともと「セルフサービスサインアップ」を禁止するコマンドも存在しているのなら気付いてない管理者が悪いと言われればそれまでなのですが・・・
Microsoft365管理者の方は、一度ライセンスを確認したほうがよいかもしれないですね。