Office 2016 における ID、認証、承認

概要: Office 2016 認証、ログオンの種類、およびレジストリ設定を使用して、ユーザー ログオン時に提供されるユーザー ID を決定する方法について説明します。

新しい Office では、Office アプリケーションはビジネス アクティビティと非ビジネス アクティビティの両方に使用されます。 Excel を使用して、日単位で Q2 ウィジェットの売上をクランチし、World Cup の統計を夜間にクランチしたり、Word を使用して、夜間に日短のストーリーごとに製品の仕様を記述したりできます。 Office は 2 つの異なるロールで同じ個人によって使用されるツールであるため、新しい Office には、ユーザーが Office 2016 にログオンできる 2 つの ID が用意されています。

  • ほとんどのユーザーが個人のビジネスに使用する Microsoft アカウント

  • Microsoft によって割り当てられる組織 ID 。ほとんどのユーザーは、企業、非営利団体、学校など、組織の業務を行う際に使用します。

サインインに使用される資格情報は、個人用または組織用として認識されます。 そのサインイン ID はユーザーの "ホーム領域" になり、特定のセッションの SharePoint、OneDrive、または Office 365 Services でユーザーがアクセスできるドキュメントを決定します。 一意のサインイン ID は、Office エクスペリエンスを離れることなく ID を簡単に切り替えることができるように、最近使用したリストに保存されます。

ユーザーは、各自の ID に対してオンライン ドキュメント サービスをマウントすることによって、ドキュメントに簡単にアクセスできます。 たとえば、個人 OneDrive を組織 ID にマウントして、ID を切り替えることなく職場または学校で個人のドキュメントにアクセスできます。 また、ユーザーが ID を使用して認証を行う場合、この認証は、サインインしたアプリケーションだけでなく、すべての Office アプリケーションに対して有効です。

これらの機能はユーザーに対して既定で有効になっており、標準で使用できます。

Office の認証プロトコル

Office では、ユーザーは、Forms-Based認証 (FBA)、Windows 統合認証 (WIA)、または Passport Server Side Include (SSI) 認証 ("Passport Tweener" とも呼ばれます) を使用して認証されます。 Office 2016 では、FBA または WIA を引き続き使用できますが、SSI の代わりに、新しいオープン 標準のトークンベースの Open Authorization 2.0 (OAuth 2.0) が使用されるようになりました。 Office で使用できる認証プロトコルの概要については、次の表を参照してください。

Office の認証プロトコル

クライアント Office のバージョン 認証プロトコル サーバー
Office 2010、Office 2013、Office 2016
Forms-Based Authentication (FBA). Forms based authentication uses client-side redirection to forward unauthenticated users to an HTML form where they can enter their credentials. After the credentials are validated, users are redirected to the resources that they requested.
SharePoint Online
Office 2010、Office 2013、Office 2016
Windows 統合認証 (WIA)。 Kerberos プロトコルや NTLM と同様にネゴシエートされます。 このシナリオでは、オペレーティング システムによって認証が行われます。
SharePoint 2010、SharePoint 2013、SharePoint 2016
Office 2010、Office 2013、Office 2016
SSI、または Passport Tweener、Authentication。 ユーザーが Windows Live ID 資格情報または Microsoft アカウントを提供すると、Windows Live ID サービスは、クライアントが Windows Live サービスへのアクセスに使用するパスポート "チケット" を返します。
OneDrive
Office 2013、Office 2016
Open Authorization 2.0 (OAuth 2.0)。 OAuth 2.0 は、リダイレクトベースの一時的な認証を提供します。 ユーザーまたはユーザーの代理として動作する Web アプリケーションは、指定されたネットワーク リソースへの一時的なアクセス承認をリソース所有者に要求できます。 詳細については、「 OAuth 2.0」を参照してください。
OneDrive
Office 2013、Office 2016
Microsoft Online Services サインイン アシスタント。 Microsoft Online Services Sign-In アシスタントは、Office 365などの Microsoft Online Services にエンド ユーザー サインイン機能を提供します。 Microsoft Online Services サインイン アシスタントと IT 担当者の詳細については、「 Microsoft Online Services Sign-In Assistant for IT Professionals RTW」を参照してください。 ダウンロードは、Microsoft Configuration Managerまたは同様のソフトウェア配布システムを使用して、Office 365 クライアント展開の一環としてマネージド クライアント システムに配布するためのダウンロードです。
Office 365 サービス

Office 2016 のログオンの種類

ユーザーが Office 2016 にサインインするとき、Microsoft アカウントまたは Microsoft によって割り当てられた組織 ID の 2 種類のログオンがサポートされます。

Microsoft アカウント (ユーザーの個々のアカウント)。 このアカウントは、以前は Microsoft ID と呼ばれ、ユーザーが Microsoft ネットワークでの認証に使用する資格情報であり、ボランティア作業などの個人または非ビジネスの仕事によく使用されます。 Microsoft アカウントを作成するために、ユーザーはユーザー名とパスワード、特定の人口統計情報、および代替の電子メール アドレスや電話番号などの "アカウント証明" を提供します。

マイクロソフトによって割り当てられた組織 ID/マイクロソフトによって割り当てられた Office 365 アカウント ID。 このアカウントは、ビジネスで使用するために作成します。 Office 365 アカウントには、純粋なOffice 365 ID、Active Directory ID、またはActive Directory フェデレーション サービス (AD FS) ID の 3 種類のいずれかを指定できます。 次に、これらについて説明します。

  • Office 365 ID。 この ID は、管理者がOffice 365 ドメインを設定し、次のように .onmicrosoft.com という形式<user>@<org>で作成されます。

    sally@contoso.onmicrosoft.com

  • Organization ID that is assigned by Microsoft that is validated against a user's Active Directory ID. An organization ID that is assigned by Microsoft and validated against Active Directory as follows:

  1. まず、[オンプレミス ドメイン]\<ユーザー> アカウントを持つユーザーが組織のリソースにアクセスしようとします。

  2. 次に、リソースによってユーザーに対する認証が要求されます。

  3. その後、ユーザーは組織のユーザー名とパスワードを入力します。

  4. 最後に、そのユーザー名とパスワードが組織の AD データベースに対して検証され、ユーザーが認証されて、要求したリソースへのアクセス権が付与されます。

  • ユーザーのActive Directory フェデレーション サービス (AD FS) ID に対して検証される Microsoft によって割り当てられた組織 ID。 Microsoft によって割り当てられ、Active Directory フェデレーション サービス (AD FS) (AD FS) に対して次のように検証される組織 ID。
  1. まず、org.onmicrosoft.com を持つ 1 人が パートナー 組織のリソースにアクセスしようとします。

  2. リソースによってユーザーに対する認証が要求されます。

  3. 次に、ユーザーは組織のユーザー名とパスワードを入力します。

  4. その後、そのユーザー名とパスワードが組織の AD DS データベースに対して検証されます。

  5. 最後に、同じユーザー名とパスワードがパートナーのフェデレーション AD DS データベースに渡され、ユーザーが認証され、要求されたリソースへのアクセス権が付与されます。

オンプレミス リソースの場合、Office 2016 では認証にドメイン\エイリアス ユーザー名が使用されます。 フェデレーション リソースの場合、Office 2016 では認証に alias@org.onmicrosoft.com ユーザー名が使用されます。

レジストリ設定を使用してユーザーのログオン時に表示する ID の種類を決定する

既定では、ユーザーが Office 2016 リソースにアクセスしようとすると、Office 2016 には、ユーザーの Microsoft アカウント ID と Microsoft によって割り当てられた組織 ID を表示するように設定されたレジストリ キーが含まれます。 ただし、これを変更して、Microsoft アカウントのみが表示されるようにしたり、組織 ID を表示したり、表示したりしないようにすることもできます。 この設定は、コンピューター レジストリで変更されます。

ユーザーに提供される Office 2016 ログオンの種類を変更するには

  1. レジストリ エディターで次のパスへ移動します。

    HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\SignIn\SignInOptions

  2. SignInOptions の値を次の表のいずれかの値に設定します。 SignInOptions 設定の種類は、DWORD です。

    SignInOptions の設定

SignInOptions の設定値 設定値の意味 ユーザーに与える影響
0
Microsoft アカウントまたは組織 ID
ユーザーは、自分の Microsoft アカウントまたは組織によって割り当てられているアカウントを使用して、Office コンテンツにサインインしてアクセスできます。
1
Microsoft アカウントのみ
ユーザーは Microsoft アカウントでのみサインインできます。
2
組織のみ
Users can sign in only by using the user ID that is assigned by your organization. This can be either a user ID in Azure Active Directory or a user ID in Active Directory Domain Services (AD DS) on Windows Server.
3
AD DS のみ
ユーザーは、Windows Server 上の Active Directory ドメイン サービス (AD DS) のユーザー ID でのみサインインできます。
4
どちらも許可しない
ユーザーはどの ID でもサインインできません。

[Office へのサインインをブロックする] 設定を無効にするか、構成しない場合、既定の設定は 0 です。この場合、ユーザーは、Microsoft アカウントまたは組織によって割り当てられたアカウントでサインインできます。

レジストリ設定を使用して、ユーザーがインターネット上の Office 2016 リソースに接続できないようにする

既定では、Office 2016 では、ユーザーはインターネット上にある Office 2016 ファイルにアクセスできます。 この設定を変更して、ユーザーがこれらのリソースを表示することを禁止できます。

ユーザーが Office 2016 インターネット リソースに接続できないようにするには

  1. レジストリ エディターで次のパスへ移動します。

    Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Internet\UseOnlineContent

  2. UseOnlineContent の値を次のいずれかに設定します。

    Office 2016 UseOnlineContent 値

UseOnlineContent の値 値の型 説明
0
DWORD
ユーザーがインターネット上の Office 2016 リソースにアクセスすることを許可しないでください。
1
DWORD
ユーザーがインターネット上の Office 2016 リソースへのアクセスをオプトインできるようにします。
2
DWORD
(既定値)ユーザーがインターネット上の Office 2016 リソースにアクセスできるようにします。

削除されたログオン ID に関連付けられている Office プロファイルおよび資格情報を削除する

ユーザーが Microsoft アカウント ID または組織 ID を使用して Office アプリにログインすると、レジストリに一致する Office プロファイルとその ID の資格情報が作成されます。 ログオン ページでは、ユーザーにその ID を削除するオプションが表示されます。このオプションは、"Not user name?" (ユーザー名ではありません) の下に表示されます。 ユーザーのアバターまたは写真と名前の近くにある質問。 ユーザーがいずれかの ID オプションを削除することを選択した場合は、ログオン ページから削除されます。 ただし、その対応する Office プロファイルと資格情報は、実際には短時間キャッシュに残ります。 組織からユーザーが起動された場合など、セキュリティ上の問題である場合は、その Office プロファイル設定をレジストリからすぐに削除する必要があります。 これを行うには、レジストリ内のそのユーザーの Office プロファイルを参照し、削除します。

まだキャッシュされている可能性がある Office プロファイルを削除する

  1. レジストリ エディターで次のパスへ移動します。

    HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity\Identities

  2. 削除する Office プロファイルを選択し、[削除] を選択 します

  3. Identity ハイブで、Profiles ノードに移動して、同じ ID を選択します。(右クリックして) ショートカット メニューを開き、[削除] をクリックします。