次の方法で共有


Office 2016 における ID、認証、承認

概要: Office 2016 認証、サインインの種類、レジストリ設定を使用して、ユーザー サインイン時に提供されるユーザー ID を決定する方法について説明します。

Office アプリケーションは、ビジネスアクティビティとビジネス以外のアクティビティの両方に使用されます。 日中、Excel を使用して Q2 ウィジェットの売上番号を分析し、毎日分解する場合があります。 夜には、同じ個人がExcelでクランチワールドカップの統計に切り替えることができます。 同様に、勤務時間中にWordを使用して製品の仕様を下書きし、その後、彼らのレジャー時間に短編小説を書くにシフトする可能性があります。 Office は、さまざまな役割を持つ個人が使用する汎用性の高いツールです。 これに対応するために、Office 2016 では、ユーザーは 2 つの個別の ID でサインインできます。

  • ほとんどのユーザーが個人のビジネスに使用する Microsoft アカウント

  • Microsoft によって割り当てられたorganization ID。ほとんどのユーザーは、ビジネス、慈善、学校などのorganizationで作業を行うときに使用します。

サインインに使用される資格情報は、個人用または組織用として認識されます。 このサインイン ID は、ユーザーの "ホーム領域" になり、特定のセッションの SharePoint、OneDrive、または Office 365 Services でユーザーがアクセスできるドキュメントを決定します。 一意のサインイン ID はそれぞれ、最近使用した一覧に保存されるため、Office エクスペリエンスを離れずに ID を簡単に切り替えることができます。

利便性を高めるために、ユーザーは簡単にアクセスできるように、オンライン ドキュメント サービスを自分の ID にマウントすることを選択できます。 たとえば、個人用 OneDrive を organization ID にマウントすると、ID を切り替えることなく職場や学校で個人用ドキュメントにアクセスできるようになります。 また、ユーザーが ID を使用して認証する場合、この認証はサインインしたアプリケーションだけでなく、すべての Office アプリケーションで有効です。

良いニュースは、これらの機能はすべて、既定で、すぐに使用できるユーザーに対して機能することです。

Office の認証プロトコル

Office では、ユーザーは、Forms-Based 認証 (FBA)、Windows 統合認証 (WIA)、または Passport Server Side Include (SSI) 認証 ("Passport Tweener" とも呼ばれます) を使用して認証されます。Office 2016 では FBA または WIA を引き続き使用できますが、SSI の代わりに、新しいオープン標準のトークンベースの Open Authorization 2.0 (OAuth 2.0) が使用されるようになりました。 Office で使用できる認証プロトコルの概要については、次の表を参照してください。

Office の認証プロトコル

クライアント Office のバージョン 認証プロトコル サーバー
Office 2010、Office 2013、Office 2016
Forms-Based 認証 (FBA)。 フォーム ベースの認証では、クライアント側リダイレクトを使用して、認証されていないユーザーを HTML フォームに転送し、資格情報を入力できます。 資格情報が検証されると、ユーザーは要求したリソースにリダイレクトされます。
SharePoint Online
Office 2010、Office 2013、Office 2016
Windows 統合認証 (WIA)。 Kerberos プロトコルや NTLM と同様にネゴシエートされます。 このシナリオでは、オペレーティング システムによって認証が行われます。
SharePoint 2010、SharePoint 2013、SharePoint 2016
Office 2010、Office 2013、Office 2016
SSI、または Passport Tweener、Authentication。 ユーザーが Windows Live ID 資格情報または Microsoft アカウントを提供すると、Windows Live ID サービスは、クライアントが Windows Live サービスへのアクセスに使用するパスポート "チケット" を返します。
OneDrive
Office 2013、Office 2016
Open Authorization 2.0 (OAuth 2.0)。 OAuth 2.0 は、リダイレクトベースの一時的な認証を提供します。 ユーザーまたはユーザーの代理として動作する Web アプリケーションは、指定されたネットワーク リソースへの一時的なアクセス承認をリソース所有者に要求できます。 詳細については、「 OAuth 2.0」を参照してください。
OneDrive
Office 2013、Office 2016
Microsoft Online Services サインイン アシスタント。 Microsoft Online Services Sign-In Assistant は、Office 365などのエンド ユーザーのサインイン機能を Microsoft Online Services に提供します。 Microsoft Online Services サインイン アシスタントと IT 担当者の詳細については、「 Microsoft Online Services Sign-In Assistant for IT Professional RTW」を参照してください。 ダウンロードは、Microsoft Configuration Managerまたは同様のソフトウェア配布システムを使用して、Office 365 クライアント展開の一部としてマネージド クライアント システムに配布するためのものです。
Office 365 サービス

Office 2016 でのサインインの種類

Office 2016 では、Microsoft アカウントまたは Microsoft によって割り当てられたorganization ID という 2 種類のユーザー向けのサインインがサポートされています。

Microsoft アカウント (ユーザーの個々のアカウント)。 このアカウントは、以前は Microsoft ID と呼ばれ、ユーザーが Microsoft ネットワークで認証するために必要な資格情報です。 これは、ボランティア活動など、個人的または非ビジネスのタスクに使用されます。 Microsoft アカウントを作成するには、ユーザー名とパスワード、特定の人口統計情報、および "アカウント証明" (代替メール アドレスや電話番号など) を提供します。

マイクロソフトによって割り当てられた組織 ID/マイクロソフトによって割り当てられた Office 365 アカウント ID。 このアカウントは、ビジネスで使用するために作成します。 Office 365 アカウントには、純粋なOffice 365 ID、Active Directory ID、または Active Directory フェデレーション サービス (AD FS) ID の 3 種類のいずれかを指定できます。

  • Office 365 ID。 Office 365 ID は、管理者がOffice 365 ドメインを設定し、user>@<org.onmicrosoft.com> という形式<で作成されます。たとえば、次のようになります。

    sally@contoso.onmicrosoft.com

  • ユーザーの Active Directory ID に対して検証される Microsoft によって割り当てられた組織 ID。

  1. まず、[オンプレミス ドメイン]\<ユーザー> アカウントを持つユーザーが、organization リソースへのアクセスを試みます。

  2. 次に、リソースによってユーザーに対する認証が要求されます。

  3. その後、ユーザーは組織のユーザー名とパスワードを入力します。

  4. 最後に、そのユーザー名とパスワードが組織の AD データベースに対して検証され、ユーザーが認証されて、要求したリソースへのアクセス権が付与されます。

  • Microsoft によって割り当てられ、ユーザーのActive Directory フェデレーション サービス (AD FS) (AD FS) ID に対して検証されたorganization ID。
  1. 最初に、<組織>.onmicrosoft.com のアカウントを持つユーザーが、パートナー組織リソースへのアクセスを試みます。

  2. リソースによってユーザーに対する認証が要求されます。

  3. 次に、ユーザーは組織のユーザー名とパスワードを入力します。

  4. 次に、そのユーザー名とパスワードがorganization AD DS データベースに対して検証されます。

  5. 最後に、同じユーザー名とパスワードがパートナーのフェデレーション AD DS データベースに渡され、ユーザーが認証され、要求されたリソースへのアクセス権が付与されます。

オンプレミス リソースの場合、Office 2016 では認証に domain\alias ユーザー名が使用されます。 フェデレーション リソースの場合、Office 2016 では認証にユーザー名が alias@org.onmicrosoft.com 使用されます。

レジストリ設定を使用して、サインイン時にユーザーに提供する ID の種類を決定する

既定では、Office 2016 はレジストリ キーで構成されています。 これらのキーには、ユーザーが Office 2016 リソースにアクセスしようとしたときに、Microsoft によって割り当てられたユーザーの Microsoft アカウント ID とorganization ID が表示されます。 ただし、この設定を変更して、Microsoft アカウントのみが表示されるようにすることも、organization ID を表示することも、どちらも表示しないようにすることもできます。 この設定は、コンピューター レジストリで変更されます。

ユーザーに提供される Office 2016 ログオンの種類を変更するには

  1. レジストリ エディターで次のパスへ移動します。

    HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\SignIn\SignInOptions

  2. SignInOptions の値を次の表のいずれかの値に設定します。 SignInOptions 設定の種類は、DWORD です。

    SignInOptions の設定

SignInOptions の設定値 設定値の意味 ユーザーに与える影響
0
Microsoft アカウントまたは組織 ID
ユーザーはサインインして、Microsoft アカウントまたはorganizationによって割り当てられたアカウントで Office コンテンツにアクセスできます。
1
Microsoft アカウントのみ
ユーザーは Microsoft アカウントでのみサインインできます。
2
組織のみ
ユーザーは、organizationによって割り当てられたユーザー ID を使用してサインインする必要があります。 Microsoft Entra ID のユーザー ID または Windows Server 上の Active Directory Domain Services (AD DS) のユーザー ID を使用できます。
3
AD DS のみ
ユーザーは、Windows Server 上の Active Directory ドメイン サービス (AD DS) のユーザー ID でのみサインインできます。
4
どちらも許可しない
ユーザーはどの ID でもサインインできません。

[Office へのサインインをブロックする] 設定を無効にするか、構成しない場合、既定の設定は 0 です。つまり、ユーザーは自分の Microsoft アカウントまたはorganizationによって割り当てられたアカウントを使用してサインインできます。

レジストリ設定を使用して、ユーザーがインターネット上の Office 2016 リソースに接続できないようにする

既定では、Office 2016 では、インターネット上にある Office 2016 ファイルにアクセスできます。 この設定を変更して、ユーザーがこれらのリソースを表示することを禁止できます。

ユーザーが Office 2016 インターネット リソースに接続することを許可または禁止するには

  1. レジストリ エディターで次のパスへ移動します。

    Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Internet\UseOnlineContent

  2. UseOnlineContent を次のいずれかの値に設定します。

    Office 2016 UseOnlineContent 値

UseOnlineContent の値 値の型 説明
0
DWORD
ユーザーがインターネット上の Office 2016 リソースにアクセスできないようにします。
1
DWORD
ユーザーがインターネット上の Office 2016 リソースへのアクセスをオプトインできるようにします。
2
DWORD
(既定値)ユーザーがインターネット上の Office 2016 リソースにアクセスできるようにします。

削除されたサインイン ID に関連付けられている Office プロファイルと資格情報を削除する

ユーザーが Microsoft アカウント ID または organization ID を使用して Office アプリにログインすると、システムはレジストリでその ID に一致する Office プロファイルと資格情報を作成します。 サインイン ページには、その ID を削除するオプションがユーザーに表示されます。 このオプションは、"自分の名前ではない" のすぐ下にあります。 ユーザーのアバターまたは写真と名前の近くに質問します。 ユーザーが ID オプションの 1 つを削除すると、サインイン ページから削除されます。 ただし、対応する Office プロファイルと資格情報は短時間キャッシュに残ります。 キャッシュに情報を保持するとセキュリティ リスクが発生する場合 (たとえば、ユーザーがorganizationを離れた場合)、その Office プロファイル設定をレジストリから直ちに削除します。

まだキャッシュされている可能性がある Office プロファイルを削除する

  1. レジストリ エディターで次のパスへ移動します。

    HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity\Identities

  2. 削除する Office プロファイルを選択し、[削除] を選択 します

  3. Identity ハイブで、Profiles ノードに移動して、同じ ID を選択します。(右クリックして) ショートカット メニューを開き、[削除] をクリックします。