Microsoft アカウント

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

Microsoft アカウントを使用してユーザーのセキュリティとプライバシーを強化する方法と、組織内のコンシューマー アカウントの種類を管理する方法について説明します。

Microsoft アカウントとは何ですか。

Windows 10 を実行している Microsoft のサイト、サービス、プロパティ、およびコンピューターは、ユーザーの識別方法として Microsoft アカウントを使用できます。 Microsoft アカウントは、以前は Windows Live ID と呼ばれていました。 Microsoft アカウントはユーザー定義のシークレットを含み、一意のメール アドレスとパスワードで構成されます。

ユーザーが Microsoft アカウントでサインインすると、デバイスがクラウド サービスに接続されます。 ユーザーは、設定、基本設定、アプリの多くをデバイス間で共有できます。

Microsoft アカウントのしくみ

ユーザーは、Microsoft アカウントを使用して、1 つの資格情報セットを使用することでこのサービスをサポートする Web サイトにサインインできます。 ユーザーの資格情報は、Web サイトに関連付けられている Microsoft アカウント認証サーバーによって検証されます。 この関連付けの例が Microsoft Store です。 Microsoft アカウントの使用が有効になっている Web サイトに新しいユーザーがサインインすると、そのユーザーは最も近い認証サーバーにリダイレクトされ、ユーザー名とパスワードを要求されます。 Windows では、Schannel セキュリティ サポート プロバイダーを使用して、この機能のトランスポート層セキュリティまたは Secure Sockets Layer (TLS/SSL) 接続を開きます。 ユーザーには、資格情報マネージャーを使用して資格情報を格納するオプションがあります。

ユーザーが Microsoft アカウントの使用が有効になっている Web サイトにサインインすると、時間制限付きの Cookie がコンピューターにインストールされます。 Cookie には、トリプル DES で暗号化された ID タグが含まれています。 暗号化された ID タグは、認証サーバーと Web サイトの間で合意されています。 ID タグは Web サイトに送信され、Web サイトはユーザーのコンピューターに別の時間制限付きで暗号化された HTTP Cookie を配置します。 Cookie が有効な間、ユーザーはユーザー名とパスワードを入力する必要がありません。 ユーザーが Microsoft アカウントからアクティブにサインアウトすると、これらの Cookie は削除されます。

注意

ローカルの Windows アカウントの機能は、引き続きオプションとしてマネージド環境で使用できます。

Microsoft アカウントの作成方法

詐欺を防ぐために、Microsoft システムは、ユーザーが Microsoft アカウントを作成するときにユーザーの IP アドレスを確認します。 同じ IP アドレスを使用して複数の Microsoft アカウントを作成しようとしたユーザーは、それ以上多くのアカウントを作成できません。 Microsoft アカウントは、企業内のドメイン ユーザーのグループなどで、バッチで作成するようには設計されていません。

Microsoft アカウントを作成する場合、ユーザーには次の 2 つのオプションがあります。

• 既に持っているメール アドレスを使う。 ユーザーは、有効なメール アドレスを使用して Microsoft アカウントにサインアップできます。 このサービスでは、要求元のユーザーのメール アドレスが Microsoft アカウントに変換されます。 ユーザーは、Microsoft アカウントに使用する別のパスワードを選択できます。

• Microsoft メール アドレスにサインアップする。 ユーザーは、Microsoft Web メール サービスを通じてメール アカウントにサインアップできます。 ユーザーは、そのアカウントを使用して、Microsoft アカウントの使用が有効になっている Web サイトにサインインできます。

Microsoft アカウント情報を保護する方法

資格情報は 2 回暗号化されます。 最初の暗号化は、アカウントのパスワードに基づいています。 資格情報は、インターネット経由で送信されると再び暗号化されます。 保存されている資格情報データは、他の Microsoft サービスや Microsoft 以外のサービスでは使用できません。

• 強力なパスワードが必要です。 空のパスワードは使用できません。

  詳細については、「Microsoft アカウントを安全にセキュリティで保護する方法」を参照してください。

• セカンダリの身元証明が必要です。 ユーザーが 2 番目のサポートされている Windows コンピューターで初めてプロファイル情報と設定にアクセスするには、そのデバイスで信頼を構築する必要があります。 信頼を構築するには、ユーザーが二次的な身元証明を提供する必要があります。 ユーザーは、携帯電話番号に送信されるコードを入力するか、アカウント設定でユーザーが指定した代替メール アドレスに送信される手順に従って、自分の身元を証明できます。

• すべてのユーザー プロファイル データは、クラウドに送信される前に、クライアント上で暗号化されます。 プロファイル データが保護されるように、既定では、ユーザー データはワイヤレス ワイド エリア ネットワーク経由でローミングされません。 デバイスから離れるすべてのデータと設定は、TLS/SSL プロトコルを介して送信されます。

Microsoft アカウントのセキュリティ情報

ユーザーは、サポートされているバージョンの Windows を実行しているコンピューターのアカウント インターフェイスを使用して、Microsoft アカウントにセキュリティ情報を追加できます。 ユーザーは [アカウント] で、アカウントの作成時に指定したセキュリティ情報を更新できます。 このセキュリティ情報には、代替のメール アドレスまたは電話番号が含まれているため、パスワードを侵害された場合や忘れた場合は、確認コードを送信して身元を確認できます。 ユーザーは、自分の Microsoft アカウントを使用して、個人の OneDrive またはメール アプリに企業データを格納できる可能性があります。 アカウント オーナーは、安全のため、このセキュリティ情報を最新の状態に保つ必要があります。

企業内の Microsoft アカウント

Microsoft アカウントはコンシューマーにサービスを提供するように設計されていますが、企業内で個人の Microsoft アカウントを使用することでドメイン ユーザーがベネフィットを得られる場合があります。 次のリストは、いくつかの利点についての説明です。

• Microsoft Store アプリのダウンロード。 企業が Microsoft Store を通じてアプリまたはソフトウェアを配布することを選択した場合、エンタープライズ ユーザーは Microsoft アカウントを使用して、いずれかのバージョンの Windows 10、Windows 8.1、Windows 8、または Windows RT を実行している最大 5 台のデバイスにアプリをダウンロードして使用できます。

• シングル サインオン。 エンタープライズ ユーザーは、Microsoft アカウントの資格情報を使用して、Windows 10、Windows 8.1、Windows 8、または Windows RT を実行しているデバイスにサインインできます。 このシナリオでは、Windows は Microsoft Store アプリと連携して、アプリで認証されたエクスペリエンスを提供します。 ユーザーは、Microsoft アカウントを Microsoft Store アプリまたは Web サイトのサインイン資格情報に関連付けて、これらの資格情報が、サポートされているバージョンを実行するすべてのデバイス間でローミングされるようにすることができます。

• 個人用の設定の同期。 ユーザーは、最も頻繁に使用するオペレーティング システムの設定を Microsoft アカウントに関連付けることができます。 これらの設定は、ユーザーがサポートされているバージョンの Windows を実行し、クラウドに接続されているいずれかのデバイスにそのアカウントでサインインするといつでも使用できます。 ユーザーがサインインした後、そのデバイスは、自動的にクラウドからユーザーの設定を取得し、それらをデバイスに適用しようと試みます。

• アプリの同期。 Microsoft Store アプリでは、ユーザー固有の設定を格納して、これらの設定を任意のデバイスで使用できるようにします。 オペレーティング システムの設定と同様に、これらのユーザー固有のアプリの設定は、サポートされているバージョンの Windows が実行され、クラウドに接続されているいずれかのデバイスにユーザーが同じ Microsoft アカウントでサインインするといつでも利用できます。 ユーザーがサインインした後、そのデバイスは、アプリがインストールされるときに自動的にクラウドから設定をダウンロードして適用します。

• ソーシャル メディア サービスの統合。 ユーザーの友人や同僚の連絡先情報と状態は、Outlook、Facebook、Twitter、LinkedIn などのサイトから自動的に最新の状態を維持します。 ユーザーは、OneDrive、Facebook、Flickr などのサイトから写真、ドキュメント、およびその他のファイルにアクセスして共有することもできます。

ドメイン内の Microsoft アカウントを管理する

Microsoft アカウントを企業に導入すると、IT やビジネスのモデルによって、複雑さが増すことも、ソリューションが提供されることもあります。 企業でこれらのアカウントの種類を使用できるようにする前に、次の考慮事項に対処する必要があります。

• Microsoft アカウントの使用を制限する

• 接続されているアカウントを構成する

• 企業内で Microsoft アカウントをプロビジョニングする

• アカウントのアクティビティを監査する

• パスワードをリセットする

• アプリのインストールと使用を制限する

Microsoft アカウントの使用を制限する

次のグループ ポリシー設定が、企業内で Microsoft アカウントの使用を制御するのに役立ちます。

• アプリとサービス: Microsoft アカウントユーザー認証をブロックする

• アカウント:Microsoft アカウントをブロックする

アプリとサービス: Microsoft アカウントユーザー認証をブロックする

この設定は、ユーザーがアプリまたはサービスの認証用に Microsoft アカウントを提供できるかどうかを制御します。

この設定を有効にすると、デバイス上のすべてのアプリとサービスが認証に Microsoft アカウントを使用できなくなります。 この設定は、既存のデバイスのユーザーと新しいユーザーの両方に適用されます。

Microsoft アカウントを使用してユーザーを既に認証しているアプリまたはサービスは、認証キャッシュの有効期限が切れるまで、この設定を有効にしても影響を受けません。 キャッシュされたトークンが Microsoft アカウントを認証しないように、ユーザーがデバイスにサインインする前に、この設定を有効にすることをお勧めします。

この設定が無効になっているか、未構成の場合、アプリとサービスは認証に Microsoft アカウントを使用できます。 既定では、この設定は無効になっています。

この設定は、ユーザーが Microsoft アカウントを使用してデバイスにサインインできるかどうか、または Web ベースのアプリで認証するためにユーザーがブラウザーを介して Microsoft アカウントを提供できるかどうかには影響しません。

この設定のパスは "コンピューターの構成\管理用テンプレート\Windows コンポーネント\Microsoft アカウント" です。

アカウント:Microsoft アカウントをブロックする

この設定により、設定アプリを使用して、Microsoft サービスと一部のバックグラウンド サービスのシングル サインオン認証用に Microsoft アカウントを追加したり、他のアプリやサービスへのシングル サインオンに Microsoft アカウントを使用したりできなくなります。

この設定が有効になっている場合、ユーザーには次の 2 つのオプションがあります。

• ユーザーは Microsoft アカウントを追加できない。 接続されている既存のアカウントは引き続きデバイスにサインインできます (それらは [サインイン] ページに表示されます)。 ただし、ユーザーが設定アプリを使用して新しい接続済みアカウントを追加したり、ローカル アカウントを Microsoft アカウントに接続したりすることはできません。

• ユーザーは Microsoft アカウントの追加またはサインインができない。 ユーザーは、新しい接続済みアカウントを追加 (または、ローカル アカウントを Microsoft アカウントに接続) したり、[設定] を使用して既存の接続済みアカウントを使用したりすることができません。

この設定は、アプリ認証のための Microsoft アカウントの追加には影響しません。 たとえば、この設定が有効になっている場合でも、ユーザーはメールなどのアプリで認証用の Microsoft アカウントを提供できますが、他のアプリやサービスのシングル サインオン認証には Microsoft アカウントを使用できません。 その他のアプリとサービスでは、ユーザーに認証が求められます。

既定では、この設定は構成されていません。

この設定のパスは "コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション" です。

接続されているアカウントを構成する

ユーザーは、Microsoft アカウントを自分のドメイン アカウントに接続し、アカウント間で設定と基本設定を同期できます。 アカウント間で設定と基本設定を同期すると、ユーザーの他のデバイスに同じデスクトップの背景、アプリの設定、ブラウザーの履歴とお気に入り、およびその他の Microsoft アカウント設定が表示されます。

接続されているアカウントを切断する

ユーザーは、いつでも自分のドメイン アカウントから Microsoft アカウントを切断できます。PC の設定で、[ユーザー]>[切断]>[完了] を選択します。

注意

Microsoft アカウントをドメイン アカウントに接続すると、Windows で高い特権を要する一部のタスクへのアクセスが制限される場合があります。 たとえば、タスク スケジューラでは、接続されている Microsoft アカウントのアクセスが評価された後、失敗します。 このシナリオでは、アカウント オーナーがアカウントを切断する必要があります。

企業内で Microsoft アカウントをプロビジョニングする

Microsoft アカウントは個人ユーザー アカウントです。 Microsoft は、企業向けに Microsoft アカウントをプロビジョニングする方法を提供していません。 企業はドメイン アカウントを使用する必要があります。

アカウントのアクティビティを監査する

Microsoft アカウントはインターネット ベースであるため、アカウントがドメイン アカウントに関連付けられていない限り、Windows には Microsoft アカウントを監査する方法がありません。 ユーザーはアカウントを切断したり、いつでもドメインを離れたりことができるため、ドメインに関連付けられていないアカウントのアクティビティを監査することができません。

パスワードのリセット

Microsoft アカウントのオーナーのみが、アカウントに関連付けられているパスワードを変更できます。 ユーザーは、Microsoft アカウントのサインイン ポータルで自分の Microsoft アカウントのパスワードを変更できます。

アプリのインストールと使用を制限する

組織内では、アプリケーション制御ポリシーを設定して、Microsoft アカウントのアプリのインストールと使用を規制できます。 詳細については、「AppLocker」と「AppLocker でのパッケージ アプリの規則とパッケージ アプリのインストーラーの規則」を参照してください。

こちらもご覧ください

• プライバシーの管理: サインイン時の Microsoft アカウントの使用と結果のインターネット通信

• アクセス制御の概要