会社のブランドを構成する

ID プロバイダーとして Azure Active Directory (Azure AD) を使用する組織の Web ベース アプリ (Microsoft 365 など) にユーザーがサインインするときの一貫したエクスペリエンスを作成します。 サインイン プロセスには、会社のロゴと、ブラウザーの言語に基づいてカスタマイズされたエクスペリエンスを含めることができます。

ライセンスの要件

カスタム ブランドを追加し、"サインインしたままにする" (KMSI) オプションを構成するには、次のいずれかのライセンスが必要です。

  • Azure AD Premium 1
  • Azure AD Premium 2
  • Office 365 (Office アプリの場合)
  • Microsoft 365 (KMSI のみ)

Azure AD のワールドワイド インスタンスを使用している中国のお客様は、Azure AD Premium エディションを使用できます。 中国の 21Vianet が運営する Azure サービスでは、Azure AD Premium エディションは現在サポートされていません。 ライセンスとエディションの詳細については、「Azure AD Premium へのサインアップ」を参照してください。

既定のサインイン エクスペリエンスをカスタマイズする

ユーザーが組織のテナント固有のアプリ (https://outlook.com/woodgrove.com など) にサインインするとき、またはドメイン変数 (https://passwordreset.microsoftonline.com/?whr=woodgrove.com など) を渡すときのサインイン エクスペリエンスをカスタマイズできます。

ユーザーがサインインした後にカスタム ブランドが表示されます。 www.office.com などのサイトでサインイン プロセスを開始したユーザーには、ブランドは表示されません。 ユーザーがサインインした後、ブランドが表示されるまでに 15 分以上かかる場合があります。

すべてのブランド要素は省略可能です。 既定の設定は、変更されていない場合は保持されます。 たとえば、バナー ロゴを指定し、背景画像を指定しなかった場合、サインイン ページには、そのロゴと、接続先のサイト (Microsoft 365 など) の既定の背景画像が表示されます。 さらに、サインイン ページのブランド情報は、個人用 Microsoft アカウントに継承されることはありません。 ユーザーまたはゲストが個人用 Microsoft アカウントを使用してサインインした場合、サインイン ページには組織のブランド情報は反映されません。

画像の要件とそのファイル サイズの要件はさまざまです。 各オプションの要件に注意してください。 場合により、フォト エディターを使用して適切なサイズの画像を作成する必要があります。 すべての画像に推奨される画像タイプは PNG ですが、JPG も使用できます。

  1. ディレクトリのグローバル管理者アカウントを使用して Azure portal にサインインします。

  2. [Azure Active Directory]>[会社のブランド]>[構成] に移動します。

  3. [会社のブランドの構成] ページで、次の情報の一部または全部を指定します。

    [会社のブランドの構成] ページ。全般設定完了済み

    • 言語: 最初にカスタマイズしたブランド構成の言語は、既定のロケールに基づいており、変更できません。 既定のサインイン エクスペリエンスが作成された後、言語固有のカスタマイズされたブランドを追加できます。

    • サインイン ページの背景画像: サインイン ページの背景として表示する PNG または JPG 画像ファイルを選択します。 画像はブラウザーの中央に固定され、表示可能な領域のサイズに合わせて拡大縮小されます。

      被写体に焦点が強く当てられていない画像を使用することをお勧めします。 画面中央に不透明な白いボックスを表示すると、表示可能な領域の大きさに応じて画像の一部を覆うことができます。

    • バナー ロゴ: ユーザーがユーザー名を入力した後のサインイン ページと [マイ アプリ] ポータル ページに表示するロゴの PNG または JPG バージョンを選択します。

      背景とロゴの背景が調和しない可能性があるため、透過画像を使用することをお勧めします。 さらに、画像の周囲にパディングを追加しないことをお勧めします。これを行うとロゴが小さくなる可能性があります。

    • ユーザー名のヒント: ユーザーがユーザー名を忘れた場合に表示するヒント テキストを入力します。 このテキストは、リンクもコードも含まない Unicode にする必要があり、64 文字を超えることはできません。 ゲストがアプリにサインインする場合は、このヒントを追加しないことをお勧めします。

    • サインイン ページのテキスト: サインイン ページの下部に表示するテキストを入力します。 このテキストを使用して、ヘルプ デスクの電話番号や法的声明などの追加情報を伝達できます。 このテキストは Unicode にする必要があり、1024 文字以下にする必要があります。

      新しい段落を開始するには、Enter キーを 2 回使用します。 また、テキストの書式設定を変更して、太字、斜体、下線、またはクリック可能なリンクを含めることもできます。 テキストに書式設定を追加するには、次の構文を使用します。

      ハイパーリンク: [text](link)

      太字: **text** または __text__

      斜体: *text* または _text_

      下線: ++text++

    重要

    サインイン ページのテキストに追加されたハイパーリンクは、デスクトップ アプリケーションやモバイル アプリケーションなどのネイティブ環境では、テキストとしてレンダリングされます。

  • 詳細設定

    [会社のブランドの構成] ページ。詳細設定完了済み

    • サインイン ページの背景色: 低帯域幅の接続状況で背景画像の代わりに表示する色を 16 進数形式で指定します (#FFFFFF など)。 バナー ロゴまたは組織のプライマリ カラーを使用することをお勧めします。

    • 正方形のロゴ イメージ: 新しい Windows 10 Enterprise デバイスのセットアップ プロセス中に表示する組織のロゴの PNG または JPG 画像を選択します。 この画像は Windows 認証でのみ使用され、デプロイで Windows Autopilot を使用しているテナント、または他の Windows 10 エクスペリエンスのパスワード入力ページにのみ表示されます。 場合によっては、同意ダイアログに表示されることもあります。

      背景とロゴの背景が調和しない可能性があるため、透過画像を使用することをお勧めします。 さらに、画像の周囲にパディングを追加しないことをお勧めします。これを行うとロゴが小さくなる可能性があります。

    • 正方形のロゴの画像、濃色のテーマ: 上記の正方形のロゴ イメージと同じです。 このロゴ イメージは、OOBE (out-of-box experience) 中に Windows 10 の Azure AD 参加画面などの暗い背景で正方形のロゴ イメージが使用されるときに使用されます。 ロゴが白、濃い青、および黒の背景で見やすく表示される場合は、このイメージを追加する必要はありません。

    重要

    透明なロゴは、正方形のロゴ イメージでサポートされています。 透明なロゴに使用されるカラー パレットは、正方形のロゴ イメージを使用する Microsoft 365 のアプリやサービス内で使用される背景 (白、薄いグレー、濃いグレー、黒の背景など) と競合するおそれがあります。 正方形のイメージ ロゴをすべての状況で正しくレンダリングするには、単色の背景を使用する必要があります。

    • サインインしたままにするオプションを表示する: このオプションをオンにすると、ユーザーは明示的にサインアウトするまで Azure AD にサインインした状態を維持できるようになります。このオプションをオフにすると、ユーザーはブラウザーを閉じて再度開くたびにサインインする必要があります。 この機能について詳しくは、この記事の「[サインインの状態を維持しますか?] プロンプトに関する詳細」セクションを参照してください。
  1. ブランド情報の追加が完了したら、構成パネルの左上隅にある [保存] を選択します。

    このプロセスによって最初のカスタム ブランド構成が作成され、それがテナントの既定値になります。 既定のカスタム ブランド構成は、すべての言語固有のブランド構成のフォールバック オプションとして機能します。 この構成は、作成後に削除することはできません。

    重要

    企業のブランド構成をテナントにさらに追加するには、 [Contoso - 会社のブランド] ページで [新しい言語] を選択する必要があります。 これにより [会社のブランドの構成] ページが開き、上記と同じ手順に従うことができます。

ブラウザー言語でサインイン エクスペリエンスをカスタマイズする

すべてのユーザーのための包括的なエクスペリエンスを作成するために、ブラウザーの言語に基づいてサインイン エクスペリエンスをカスタマイズできます。 新しい言語を追加する前に、既定のカスタム ブランド エクスペリエンスを作成する必要があります。

  1. ディレクトリのグローバル管理者アカウントを使用して Azure portal にサインインします。

  2. [Azure Active Directory]>[会社のブランド]>[+ New language] (+ 新しい言語) を選択します。

エクスペリエンスをカスタマイズするプロセスは、ドロップダウン リストから [言語] を選択する点を除き、既定のサインイン エクスペリエンスと同じです。

選択した言語で [サインイン ページのテキスト] を追加することをお勧めします。

カスタム ブランドを編集する

カスタム ブランドがテナントに追加されている場合、既に指定されている詳細を編集できます。 各設定について詳しくは、この記事のカスタム ブランドの追加に関するセクションを参照してください。

  1. ディレクトリのグローバル管理者アカウントを使用して Azure portal にサインインします。

  2. [Azure Active Directory]>[会社のブランド] に移動します。

  3. 一覧からカスタム ブランド項目を選択します。

  4. [会社のブランドを編集する] ページで、必要な詳細を編集します。

  5. [保存] を選択します。

    サインイン ページのブランドに加えた変更が表示されるまでに、最大 1 時間かかる場合があります。

[サインインの状態を維持しますか?] に関する詳細 prompt

ユーザーが正常にサインインすると、[サインインの状態を維持しますか?] プロンプトが表示されます。 このプロセスは、サインインしたままにする (KMSI) と呼ばれます。 ユーザーがこのプロンプトに [はい] と応答すると、KMSI サービスにより永続的な更新トークンが付与されます。 フェデレーション テナントの場合、このプロンプトは、ユーザーがフェデレーション ID サービスで正常に認証された後に表示されます。

次の図は、プロンプトで KMSI を使用するマネージド テナントとフェデレーション テナントのユーザー サインイン フローを示しています。 このフローにはスマート ロジックが含まれていて、機械学習システムによってリスクの高いサインインまたは共有デバイスからのサインインが検出されると、 [サインインの状態を維持しますか?] オプションは表示されなくなります。

KMSI は、既定のカスタム ブランドでのみ使用できます。 言語固有のブランドには追加できません。 SharePoint Online と Office 2010 の一部の機能は、ユーザーがサインインしたままにすることを選択できるかどうかに依存します。 [サインインしたままにするオプションを表示する] オプションをオフにすると、サインイン プロセス中にユーザーにその他の予期しないプロンプトが表示される場合があります。

マネージド テナントとフェデレーション テナントのユーザー サインイン フローを示す図

KMSI サービスの使用については、「ライセンスの要件」セクションを参照してください。

[サインインの状態を維持しますか?] のトラブルシューティング issues

ユーザーが [サインインの状態を維持しますか?] プロンプトに応答せず、サインイン試行を破棄した場合、Azure AD の [サインイン] ページにサインイン ログ エントリが表示されます。 ユーザーに表示されるプロンプトは、"割り込み" と呼ばれます。

[サインインの状態を維持しますか?] プロンプトの例

Azure AD のサインイン ログで、サインイン エラーの詳細を確認できます。 一覧から影響を受けたユーザーを選択し、[基本情報] セクションで次の詳細を見つけます。

  • サインイン エラー コード: 50140
  • エラーの理由: ユーザーがサインインしたときの "サインインしたままにする" 割り込みによりエラーが発生しました。

ユーザーに割り込みが表示されないようにするには、ブランドの詳細設定で [サインインしたままにするオプションを表示する] 設定を [いいえ] に設定します。 この設定により、Azure AD ディレクトリ内のすべてのユーザーに対して KMSI プロンプトが無効になります。

また、条件付きアクセスで永続的なブラウザー セッション制御を使用して、ユーザーに KMSI プロンプトが表示されないようにすることもできます。 このオプションを使用すると、選択したユーザー グループ (グローバル管理者など) に対して KMSI プロンプトを無効にできます。ディレクトリ内の他のすべてのユーザーのサインイン動作は影響を受けません。

ユーザーにベネフィットがある場合にのみ KMSI プロンプトが表示されるようにするには、次のような場合に意図的に KMSI プロンプトが表示されないようにします。

  • ユーザーがシームレス SSO と統合 Windows 認証 (IWA) を使用してサインインしている
  • ユーザーが Active Directory フェデレーション サービス (AD FS) と IWA を使用してサインインしている
  • ユーザーがテナントのゲストである
  • ユーザーのリスク スコアが高い
  • ユーザーまたは管理者の同意フロー中にサインインが発生する
  • 永続的なブラウザー セッション制御が条件付きアクセス ポリシーで構成されている

次のステップ