さまざまなテクノロジがサインインに与える影響Microsoft Teams
シングル サインオン (SSO)、先進認証 (MS)、多要素認証 (MA) などのテクノロジがユーザーのサインインエクスペリエンスにどのように影響するかを理解する必要がある場合、この記事は、ユーザーと管理者が期待できる内容を明確にするのに役立ちます。 また、macOS、Android、iOS デバイスのサインイン動作、複数のアカウントを使用したサインインのしくみ、サインイン画面で自動的に入力された資格情報または "プレフィル" を削除する方法、サインインを制限する方法、共有および管理されたモバイル デバイスでのドメインレス サインインエクスペリエンスを簡略化する方法についても説明します。
サインイン中に Microsoft Team の予想される動作をロールで把握する必要がある場合は、この記事をブックマークします。
Microsoft Teamsと Windows ユーザー: サインインに関する推奨事項
Microsoft では、組織がハイブリッド ドメイン参加またはMicrosoft Entra参加構成で最新バージョンのWindows 10を使用することをお勧めします。 最新バージョンの使用によって、Windows の Web アカウント マネージャーでユーザーのアカウントが準備され、Teams や他の Microsoft アプリケーションへのシングル サインオンが可能になります。 シングルサインオンにより、ユーザー エクスペリエンス (サイレント サインイン) と、セキュリティ対策が改善されます。
Microsoft Teams は先進認証を使用して、サインイン操作をシンプルかつ安全なものとしています。 ユーザーが Teams にサインインする方法については、「Teams にサインインする」を参照してください。
先進認証 (MA) がサインインに与える影響: MA がオンのときにユーザーに表示される内容
先進認証は、ユーザーが職場のメールやパスワードなどの資格情報を既に入力済みであることを Teams が知らせるプロセスの一部であり、アプリを起動するためにもう一度入力する必要はありません。 このエクスペリエンスは、ユーザーが Windows オペレーティング システムや Mac で作業している場合など、いくつかの要因によって異なります。
サインイン動作は、organizationで単一要素認証が有効になっているか、多要素認証が有効になっているかによっても異なります。 多要素認証を使用するには通常、電話による資格情報の確認、固有のコードの提供、PIN の入力、拇印の提示が含まれます。
先進認証は、Teams を使用するすべての組織で使用できます。 ユーザーがプロセスを完了できない場合は、organizationのMicrosoft Entra構成に基づく問題が発生する可能性があります。 詳細については、「Microsoft Teams へのサインインで問題が発生する理由」を参照してください。
最新の認証シナリオごとにユーザーが期待できる動作の概要を次に示します。
ユーザーが職場または学校アカウントで Windows または他の Office アプリに既にサインインしている場合、Teams を起動すると、アプリに直接アクセスします。 ユーザーが資格情報を入力する必要はありません。
Microsoft では、最適なシングル サインオン エクスペリエンスを実現するために、Windows 10 バージョン 1903 以降を使用することをお勧めします。
ユーザーが他の場所で Microsoft の職場または学校アカウントにサインインしていない場合は、Teams の起動時に、単一要素認証または多要素認証 (SFA または MFA) を提供するように求められます。 このプロセスは、サインイン手順に必要な組織の決定に依存します。
ドメインに参加しているコンピューターにユーザーがサインインしている場合、ユーザーが Teams を起動すると、MFA を要求するように組織で設定されているかどうか、または、ユーザーのコンピューターへのサインインで既に MFA が要求されているのかどうかにより、もう 1 つ別の認証手順を実行するよう求められる場合があります。 コンピューターへのサインインで既に MFA が要求されている場合、ユーザーが Teams を開くとアプリが自動的に起動します。
ドメインに参加している PC では、SSO が不可能な場合、Teams はサインイン画面にユーザー プリンシパル名 (UPN) を事前入力することがあります。 特に、organizationがオンプレミスとMicrosoft Entra IDで異なる UPN を使用している場合は、これを望まない場合があります。 その場合は、 次の Windows レジストリ キーを使用して、UPN の事前作成を無効にすることができます。
Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\Teams
SkipUpnPrefill(REG_DWORD)
0x00000001 (1)注意
既定では、".local" または ".corp" で終わるユーザー名のユーザー名の事前入力をスキップまたは無視しているため、これらをオフにするためにレジストリ キーを設定する必要はありません。
ドメインに参加しているコンピューターで別のアカウントにサインインMicrosoft Teams
ドメインに参加しているコンピューターのユーザーが、同じ Active Directory ドメイン内の別のアカウントを使用して Teams にサイン インできない場合があります。
macOS ユーザーとMicrosoft Teamsサインイン プロンプト
macOS では、Teams はユーザーにユーザー名と資格情報の入力を求めるメッセージを表示し、organizationの設定によっては多要素認証を求めるメッセージが表示される場合があります。 ユーザーが資格情報を入力すると、入力を再度求められることはありません。 これ以降、ユーザーが同じコンピューターで作業している場合は常に、Teams が自動的に起動します。
iOS ユーザーと Android ユーザーのサインインをMicrosoft Teamsする
サインインすると、モバイルユーザーには、デバイス上で現在サインインしているまたは以前にサインインしたすべての Microsoft 365 アカウントの一覧が表示されます。 ユーザーは、任意のアカウントをタップしてサインインできます。 モバイル サインインには2つのシナリオがあります:
選択したアカウントが現在他のOffice 365または Microsoft 365 アプリにサインインしている場合、ユーザーは Teams に直接移動します。 ユーザーは資格情報を入力する必要はありません。
ユーザーが他の場所で Microsoft 365 アカウントにサインインしていない場合は、モバイル サインイン ポリシー用に構成されたorganizationに応じて、単一要素認証または多要素認証 (SFA または MFA) を提供するように求められます。
注意
このセクションで説明するようにユーザーがサインインエクスペリエンスを体験するには、デバイスで Teams for iOS バージョン 2.0.13 (ビルド 2020061704) 以降、または Teams for Android バージョン 1416/1.0.0.2020061702 以降が実行されている必要があります。
複数のアカウントでMicrosoft Teamsを使用する
IOS と Android の Teams では、複数の仕事用または学校用、および複数の個人用アカウントを並べて使うことができます。 Teams のデスクトップ アプリケーションでは1 つの職場または学校のアカウントと 1 つの個人用のアカウントが2020 年 12 月にはサポートされていますが、後日複数の職場/学校のアカウントをサポートできるようになります。
次の画像は、ユーザーが複数のアカウントを Teams モバイル アプリケーション に追加する方法を示しています。
サインインをMicrosoft Teamsに制限する
組織では、企業が承認したアプリを管理対象デバイスで使用する方法を制限する必要がある場合があります。たとえば、学生や従業員が他の組織のデータにアクセスしたり、個人のシナリオで企業が承認したアプリを使用したりする機能を制限できます。 これらの制限は、Teams アプリケーションが認識するデバイスポリシーを設定することによって設定できます。
モバイル デバイスでのサインインMicrosoft Teams制限する方法
登録済みデバイス上の iOS および Android 用の Teams アプリは、アプリ内で 1 つの企業アカウントのみをプロビジョニングできるように構成できます。 この機能は、iOS 用のマネージド App Configuration チャネルまたは Android 用 Android Enterprise チャネルを使用する MDM プロバイダーで機能します。
Microsoft Intuneに登録されているユーザーの場合は、Intune ポータルを使用してアカウント構成設定をデプロイできます。
MDM プロバイダーでアカウント セットアップ構成が構成され、ユーザーがデバイスを登録した後、iOS と Android の Teams は、許可されたアカウントのみ Teams サインイン ページに表示します。 ユーザーはこのページで許可されているアカウントをタップして、サインインできます。
管理対象デバイスの Azure Intune ポータルで次の構成パラメーターを設定します。
| プラットフォーム | キー | 値 |
|---|---|---|
| iOS | IntuneMAMAllowedAccountsOnly |
有効: 使用できるアカウントは、IntuneMAMUPN キーで定義された管理対象ユーザー アカウントのみです。 無効 (または大文字と小文字を区別しない値が Enabled と一致しない): 任意のアカウントが許可されます。 |
| iOS | IntuneMAMUPN | Teams. へのサインインが許可されているアカウントの UPN です。 Intune に登録されているデバイスの場合、{{userprincipalname}} トークンを使用して、登録済みのユーザーアカウントを表すことができます。 |
| Android | com.microsoft.intune.mam.AllowedAccountUPNs | このキーで定義された管理対象ユーザーアカウントのみ許可されます。 1 つ以上のセミコロン;]- 区切られた UPNs。 Intune に登録されているデバイスの場合、{{userprincipalname}} トークンを使用して、登録済みのユーザーアカウントを表すことができます。 |
アカウント セットアップ構成が設定されると、Teams はサインイン機能を制限し、登録されたデバイス上の許可されたアカウントのみにアクセスを許可します。
管理対象の iOS/iPadOS デバイスのアプリ構成ポリシーを作成するには、「管理対象の iOS/iPadOS デバイスのアプリ構成ポリシーの追加」を参照してください。
管理対象の Android デバイスのアプリ構成ポリシーを作成するには、「管理対象の Android デバイスのアプリ構成ポリシーの追加」を参照してください。
デスクトップ デバイスでの Teams のサインインを制限する方法
Windows および macOS 上のMicrosoft Teamsアプリでは、organizationへのサインインを制限するデバイス ポリシーのサポートが得られます。 ポリシーは、MDM (モバイル デバイス管理) や GPO (グループ ポリシー オブジェクト) などの通常のデバイス管理ソリューションで設定できます。
このポリシーがデバイスで構成されている場合、ユーザーは、ポリシーで定義されている "テナント許可リスト" に含まれるMicrosoft Entra テナントに所属するアカウントでのみサインインできます。 ポリシーは、最初のアカウントと追加のアカウントを含むすべてのサイン インに適用されます。 organizationが複数のMicrosoft Entraテナントにまたがる場合は、許可リストに複数のテナント ID を含めることができます。 別のアカウントを追加するためのリンクは、Teams アプリに引き続き表示される場合がありますが、操作できません。
注意
- このポリシーでは、サインインのみが制限されます。ユーザーを他のMicrosoft Entraテナントのゲストとして招待したり、他のテナント (ユーザーがゲストとして招待された場合) に切り替えたりする機能は制限されません。
- このポリシーには Windows バージョン 1.3.00.30866 以降の Teams および MacOS バージョン 1.3.00.30882 (2020 年 11 月半ばにリリースされました) の Teams が必要です。
Windows 管理用テンプレート ファイル (ADMX/ADML) のポリシーは、ダウンロード センターから利用できます (管理テンプレート ファイルを説明する名前は、「特定のテナントのアカウントの Teams へのサインインを制限する」です)。 Windows レジストリに手動でキーを設定することもできます。
- 値の名前: RestrictTeamsSignInToAccountsFromTenantList
- 値の種類: 文字列
- 値のデータ: テナント ID またはコンマ区切りのテナント ID のリスト
- パス: 次のいずれかを使用します。
Computer\HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Cloud\Office\16.0\Teams Computer\HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Office\16.0\Teams Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Teams
例: ソフトウェア\ポリシー\Microsoft\Office\16.0\Teams\RestrictTeamsSignInToAccountsFromTenantList = テナント ID またはソフトウェア\ポリシー\Microsoft\Office\16.0\Teams\RestrictTeamsSignInToAccountsFromTenantList = テナント ID 1、テナント ID 2、テナント ID 3
MacOS のポリシーMacOS に管理されているデバイスは、.plist を使用して、サインイン制限を展開します。 構成プロファイルは、(優先順位の名前を示す) キーによって識別されたエントリで構成される .plist ファイルです。その後に、基本設定の性質に応じて、値が表示されます。 値には、単純 (数値など) または複合のいずれかを指定できます。たとえば、基本設定の入れ子リストがあります。
- ドメイン: com.microsoft.teams
- キー: RestrictTeamsSignInToAccountsFromTenantList
- データ型: 文字列
- コメント: テナント ID のコンマ区切りリストMicrosoft Entra入力します
グローバル サインインとMicrosoft Teams
共有デバイスでのサインイン エクスペリエンスの向上により、Frontline Worker に手間のかからないサインインが提供されます。 従業員は、共有デバイスプールからデバイスを選択し、1回サインインするだけで、シフト中は"自分のものにする" ということができます。 これらのユーザーは、シフトの最後に、サインアウトすると、デバイスに対してグローバルにサイン アウトできます。 詳細については、「Teams をサインアウトする」を参照してください。 これにより、デバイスから個人情報と会社情報がすべて削除され、デバイスがデバイスプールに返されます。 この機能を取得するには、デバイスを共有モードで設定する必要があります。 サインアウトする前に、デバイスでアクティブな会議または通話を終了してください。
Android: Android デバイスを共有モードで設定する方法については、「Android で 共有デバイス モードを使用する方法」を参照してください。
iOS: iOS でデバイスを共有モードに設定するには、「 iOS で共有デバイス モードを使用する方法」を参照してください。 デバイスが共有モードに設定されたら、アプリ ストアから Teams アプリをダウンロードします。
サインインエクスペリエンスは、Teams の標準的なサインイン操作と似ています。
ドメインレス サインインを使用してサインイン エクスペリエンスを簡素化する
共有デバイスと管理対象デバイスのユーザーのサインイン画面でドメイン名を事前入力することで、Teams for iOS および Android でのサインイン エクスペリエンスを簡略化できます。 ユーザーは、UPN の最初の部分 (ドメイン名なし) を入力してサインインします。 たとえば、ユーザー名が 123456@contoso.com または adelev@contoso.comの場合、ユーザーは、それぞれ "123456" または "adelev" とパスワードのみを使用してサインインできます。
Teams へのサインインは、特に、定期的にサインインおよびサインアウトする共有デバイス上の現場担当者などの従業員にとって、より迅速かつ簡単です。
注意
ユーザーがこのセクションで説明するサインイン エクスペリエンスを体験するには、デバイスで Teams for iOS バージョン 6.6.0 以降、または Teams for Android バージョン 1416/1.0.0.2024053003 以降が実行されている必要があります。
| 名前 | 値 |
|---|---|
| domain_name | 追加するテナントのドメインを提供する文字列値。 複数のドメインを追加するには、セミコロンで区切られた値を使用します。 |
| enable_numeric_emp_id_keypad | 従業員 ID がすべて数値であり、簡単に入力できるように数値キーパッドを有効にする必要があることを示すために使用されるブール値。 値が設定されていない場合は、英数字キーボードが開きます。 |
Teams では、iOS 用のマネージド App Configuration チャネルまたは Android 用の Android Enterprise チャネルを使用する MDM プロバイダーと連携するアプリ構成を使用します。
Microsoft Intuneを使用している場合は、「Microsoft Intuneを使用して Teams for iOS と Android でコラボレーション エクスペリエンスを管理する」を参照してください。
Graph APIを使用してアプリ構成ポリシーを適用するには、「managedDeviceMobileAppConfiguration リソースの種類」を参照してください。
カスタム アプリのドメインレス サインインを有効にする
Teams でのドメインレス サインインは、すべての主要な MDM プロバイダーでサポートされているアプリ構成チャネルに依存します。 Android および iOS 上のすべてのサード パーティ製またはカスタム LOB アプリケーションでは、ドメインレスサインインをサポートできます。その他の作業もあります。
アプリでドメインレス サインインを実装するには、次の手順に従います。
アプリのdomain_nameアプリ構成キーを設定します。
エンタープライズでマネージド App Configurationと Android を使用して構成を読み取ります。 iOS と Android のコードで値を読み取る方法のサンプルを次に示します。
iOS:
UserDefaults.standard.object(forKey:"com.apple.configuration.managed")["domain_name"]アンドロイド:
appRestrictions.getString("domain_name")マネージド構成を読み取って適用し、TestDPC を使用してセットアップを構成およびテストする方法について説明します。
サインイン エクスペリエンスをカスタマイズしてユーザー名を収集し、取得したdomain_nameを画面に事前入力します。 Microsoft 認証ライブラリ (MSAL) を使用している場合は、次の呼び出しを行って、画面上のユーザー名を収集するトークンポストを取得できます。
SMS サインイン
SMS ベースの認証を使用すると、ユーザー名とパスワードを指定したり、知ったりすることなくサインインできます。 ユーザーはサインイン プロンプトで電話番号を入力し、サインインを完了するために使用する SMS 認証コードを受け取ります。 この認証方法により、特に現場担当者向けのアプリやサービスへのアクセスが簡素化されます。
詳細については、「Microsoft Entra IDを使用した SMS ベース認証のユーザーの構成と有効化」を参照してください。
Microsoft Teamsの URL と IP アドレス範囲
Teams を使用するには、インターネットへの接続が必要です。 Office 365 の各プラン、政府機関向けまたはその他のクラウドを使用するユーザーが到達する必要があるエンドポイントについては、「Office 365 の URL と IP アドレスの範囲」を参照してください。