Microsoft アカウント

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

Microsoft アカウントがユーザーのセキュリティとプライバシーを強化するしくみと、組織内のコンシューマー アカウントの種類を管理する方法について説明します。

Microsoft アカウントとは何ですか。

Windows 10を実行している Microsoft サイト、サービス、プロパティ、およびコンピューターは、ユーザーを識別する方法として Microsoft アカウントを使用できます。 以前は Windows Live ID と呼ばれていた Microsoft アカウント。 Microsoft アカウントにはユーザー定義のシークレットがあり、一意のメール アドレスとパスワードで構成されます。

ユーザーが Microsoft アカウントでサインインすると、デバイスはクラウド サービスに接続されます。 ユーザーは、設定、基本設定、アプリの多くをデバイス間で共有できます。

Microsoft アカウントのしくみ

ユーザーは、Microsoft アカウントを使用して、1 つの資格情報セットを使用して、このサービスをサポートする Web サイトにサインインできます。 ユーザーの資格情報は、Web サイトに関連付けられている Microsoft アカウント認証サーバーによって検証されます。 Microsoft Store は、この関連付けの例です。 Microsoft アカウントの使用が有効になっている Web サイトに新しいユーザーがサインインすると、ユーザーは最も近い認証サーバーにリダイレクトされ、ユーザー名とパスワードを求められます。 Windows では、Schannel セキュリティ サポート プロバイダーを使用して、この関数のトランスポート レベルのセキュリティ/セキュリティで保護されたソケットレイヤー (TLS/SSL) 接続を開きます。 ユーザーには、資格情報マネージャーを使用して資格情報を格納するオプションがあります。

Microsoft アカウントの使用が有効になっている Web サイトにユーザーがサインインすると、コンピューターに時間制限付きの Cookie がインストールされます。 Cookie には、トリプル DES 暗号化 ID タグが含まれています。 暗号化された ID タグは、認証サーバーと Web サイトの間で合意されています。 ID タグが Web サイトに送信され、Web サイトはユーザーのコンピューターに別の時間制限付き暗号化 HTTP Cookie を配置します。 Cookie は有効ですが、ユーザーはユーザー名とパスワードを入力する必要はありません。 ユーザーが Microsoft アカウントからアクティブにサインアウトすると、これらの Cookie は削除されます。

Note

ローカル Windows アカウント機能は、マネージド環境で使用できるオプションです。

Microsoft アカウントの作成方法

詐欺を防ぐために、Microsoft システムは、ユーザーが Microsoft アカウントを作成するときにユーザーの IP アドレスを確認します。 同じ IP アドレスを使用して複数の Microsoft アカウントを作成しようとするユーザーは、より多くのアカウントを作成できなくなります。 Microsoft アカウントは、企業内のドメイン ユーザーのグループなど、バッチで作成するようには設計されていません。

Microsoft アカウントを作成するには、ユーザーに次の 2 つのオプションがあります。

  • 既存のメール アドレスを使用します。 ユーザーは、有効なメール アドレスを使用して Microsoft アカウントにサインアップできます。 このサービスは、要求元のユーザーのメール アドレスを Microsoft アカウントに変換します。 ユーザーは、Microsoft アカウントに使用する別のパスワードを選択できます。

  • Microsoft のメール アドレスにサインアップします。 ユーザーは、Microsoft Webmail サービスを使用してメール アカウントにサインアップできます。 ユーザーは、このアカウントを使用して、Microsoft アカウントの使用が有効になっている Web サイトにサインインできます。

Microsoft アカウント情報の保護方法

資格情報は 2 回暗号化されます。 最初の暗号化は、アカウントのパスワードに基づいています。 資格情報は、インターネット経由で送信されると再び暗号化されます。 保存されている資格情報データは、他の Microsoft サービスや Microsoft 以外のサービスでは使用できません。

  • 強力なパスワードが必要です。 空白のパスワードは許可されません。

    詳細については、「 Microsoft アカウントを安全かつ安全に保つために役立つ方法」を参照してください。

  • セカンダリの身元証明が必要です。 ユーザーがサポートされている 2 台目の Windows コンピューターのユーザー プロファイル情報と設定に初めてアクセスするには、そのデバイスの信頼を確立する必要があります。 信頼を確立するには、ユーザーが二次的な ID 証明を提供する必要があります。 ユーザーは、携帯電話番号に送信されるコードを入力するか、アカウント設定でユーザーが指定した別の電子メール アドレスに送信される手順に従って、ID を証明できます。

  • すべてのユーザー プロファイル データは、クラウドに送信される前にクライアントで暗号化されます。 プロファイル データが保護されるように、ユーザー データは既定でワイヤレスワイドエリア ネットワーク経由でローミングされません。 デバイスから離れるすべてのデータと設定は、TLS/SSL プロトコルを介して送信されます。

Microsoft アカウントのセキュリティ情報

ユーザーは、サポートされているバージョンの Windows を実行しているコンピューターのアカウント インターフェイスを使用して、Microsoft アカウントにセキュリティ情報を追加できます。 アカウントでは、ユーザーは自分のアカウントの作成時に指定したセキュリティ情報を更新できます。 このセキュリティ情報には、代替メール アドレスまたは電話番号が含まれているため、パスワードが侵害されたり忘れられたりした場合は、確認コードを送信して自分の ID を確認できます。 ユーザーは、Microsoft アカウントを使用して個人の OneDrive または電子メール アプリに企業データを格納できる可能性があります。 安全な方法は、アカウント所有者がこのセキュリティ情報を最新の状態に保つことです。

企業内の Microsoft アカウント

Microsoft アカウントはコンシューマーにサービスを提供するように設計されていますが、企業で個人の Microsoft アカウントを使用することでドメイン ユーザーがメリットを得られる場合があります。 次の一覧では、いくつかの利点について説明します。

  • Microsoft Store アプリをダウンロードします。 企業が Microsoft Store 経由でアプリまたはソフトウェアを配布することを選択した場合、エンタープライズ ユーザーは Microsoft アカウントを使用して、任意のバージョンのWindows 10、Windows 8.1、Windows 8、またはWindows RTを実行している最大 5 台のデバイスでアプリをダウンロードして使用できます。

  • シングル サインオン。 エンタープライズ ユーザーは、Microsoft アカウントの資格情報を使用して、Windows 10、Windows 8.1、Windows 8、またはWindows RTを実行しているデバイスにサインインできます。 このシナリオでは、Windows は Microsoft Store アプリと連携して、アプリで認証されたエクスペリエンスを提供します。 ユーザーは、Microsoft Store アプリまたは Web サイトのサインイン資格情報に Microsoft アカウントを関連付けて、サポートされているバージョンを実行するすべてのデバイスでこれらの資格情報をローミングできます。

  • 個人用設定の同期。 ユーザーは、最もよく使用されるオペレーティング システムの設定を Microsoft アカウントに関連付けることができます。 これらの設定は、サポートされているバージョンの Windows を実行し、クラウドに接続しているすべてのデバイスで、ユーザーがそのアカウントでサインインするたびに使用できます。 ユーザーがサインインすると、デバイスは自動的にユーザーの設定をクラウドから取得し、デバイスに適用しようとします。

  • アプリの同期。 Microsoft Store アプリは、ユーザー固有の設定を格納して、これらの設定を任意のデバイスで使用できるようにします。 オペレーティング システムの設定と同様に、これらのユーザー固有のアプリ設定は、サポートされているバージョンの Windows を実行し、クラウドに接続しているすべてのデバイスで、ユーザーが同じ Microsoft アカウントでサインインするたびに使用できます。 ユーザーがサインインした後、そのデバイスは、アプリがインストールされるときに自動的にクラウドから設定をダウンロードして適用します。

  • 統合されたソーシャル メディア サービス。 Outlook、Facebook、Twitter、LinkedIn などのサイトから、ユーザーの友人や関連付けの連絡先情報と状態が自動的に最新の状態に維持されます。 ユーザーは、OneDrive、Facebook、Flickr などのサイトから写真、ドキュメント、その他のファイルにアクセスして共有することもできます。

ドメイン内の Microsoft アカウントを管理する

IT モデルやビジネス モデルによっては、Microsoft アカウントを企業に導入すると、複雑さが増したり、ソリューションが提供されたりすることがあります。 企業でこれらのアカウントの種類の使用を許可する前に、次の考慮事項に対処する必要があります。

Microsoft アカウントの使用を制限する

次のグループ ポリシー設定は、エンタープライズでの Microsoft アカウントの使用を制御するのに役立ちます。

アプリとサービス: Microsoft アカウントユーザー認証をブロックする

この設定は、ユーザーがアプリまたはサービスの認証に Microsoft アカウントを提供できるかどうかを制御します。

この設定を有効にすると、デバイス上のすべてのアプリとサービスが認証に Microsoft アカウントを使用できなくなります。 この設定は、既存のデバイス ユーザーと新しいユーザーの両方に適用されます。

Microsoft アカウントを使用したユーザーを既に認証しているアプリまたはサービスは、認証キャッシュの有効期限が切れるまでこの設定を有効にしても影響を受けません。 キャッシュされたトークンが Microsoft アカウントを認証できないように、ユーザーがデバイスにサインインする前に、この設定を有効にすることをお勧めします。

この設定が無効になっているか、構成されていない場合、アプリとサービスは認証に Microsoft アカウントを使用できます。 既定では、この設定は無効になっています。

この設定は、ユーザーが Microsoft アカウントを使用してデバイスにサインインできるかどうか、またはユーザーが Web ベースのアプリで認証するためにブラウザー経由で Microsoft アカウントを提供できるかどうかには影響しません。

この設定のパスは 、コンピューターの構成\管理用テンプレート\Windows コンポーネント\Microsoft アカウントです。

アカウント:Microsoft アカウントをブロックする

この設定により、設定アプリを使用して、Microsoft サービスと一部のバックグラウンド サービスのシングル サインオン認証用に Microsoft アカウントを追加したり、他のアプリやサービスへのシングル サインオンに Microsoft アカウントを使用したりできなくなります。

この設定を有効にすると、ユーザーには次の 2 つのオプションがあります。

  • ユーザーは Microsoft アカウントを追加できません。 接続されている既存のアカウントは引き続きデバイスにサインインできます ([ サインイン ] ページに表示されます)。 ただし、ユーザーは設定アプリを使用して新しい接続済みアカウントを追加したり、ローカル アカウントを Microsoft アカウントに接続したりすることはできません。

  • ユーザーは Microsoft アカウントで追加またはサインインできません。 ユーザーは、新しい接続済みアカウントを追加したり 、ローカル アカウントを Microsoft アカウントに接続したり、設定を使用して既存の接続済みアカウントを使用したりすることはできません。

この設定は、アプリ認証用の Microsoft アカウントの追加には影響しません。 たとえば、この設定が有効になっている場合でも、ユーザーはメールなどのアプリで認証を行う Microsoft アカウントを提供できますが、他のアプリやサービスのシングル サインオン認証には Microsoft アカウントを使用できません。 他のアプリとサービスの場合、ユーザーは認証を求められます。

この設定は、既定では構成されていません。

この設定のパスは 、コンピューターの構成\Windows の設定\セキュリティ設定\ローカル ポリシー\セキュリティ オプションです。

接続されているアカウントを構成する

ユーザーは、Microsoft アカウントを自分のドメイン アカウントに接続し、アカウント間で設定と基本設定を同期できます。 アカウント間で設定と設定を同期することで、ユーザーは同じデスクトップの背景、アプリの設定、ブラウザーの履歴とお気に入り、その他の Microsoft アカウント設定を他のデバイスに表示します。

接続されているアカウントを切断する

ユーザーはいつでも自分のドメイン アカウントから Microsoft アカウントを切断できます。 PC の設定で、[ ユーザー>の切断>の完了] を選択します。

Note

Microsoft アカウントをドメイン アカウントに接続すると、Windows の一部の高い特権タスクへのアクセスが制限される場合があります。 たとえば、タスク スケジューラは接続された Microsoft アカウントのアクセスを評価し、失敗します。 このシナリオでは、アカウント所有者はアカウントを切断する必要があります。

企業で Microsoft アカウントをプロビジョニングする

Microsoft アカウントはプライベート ユーザー アカウントです。 Microsoft は、企業向けに Microsoft アカウントをプロビジョニングする方法を提供していません。 企業はドメイン アカウントを使用する必要があります。

アカウントのアクティビティを監査する

Microsoft アカウントはインターネット ベースであるため、アカウントがドメイン アカウントに関連付けられていない限り、Windows には Microsoft アカウントを監査する方法がありません。 ユーザーはいつでもアカウントを切断したり、ドメインから退出したりできるため、ドメインに関連付けられていないアカウントのアクティビティを監査することはできません。

パスワードのリセット

アカウントに関連付けられているパスワードを変更できるのは、Microsoft アカウントの所有者だけです。 ユーザーは、 Microsoft アカウント サインイン ポータルで Microsoft アカウントのパスワードを変更できます。

アプリのインストールと使用を制限する

組織内では、アプリケーション制御ポリシーを設定して、Microsoft アカウントのアプリのインストールと使用を規制できます。 詳細については、「 AppLocker 」と「 パッケージ アプリ」および「AppLocker のパッケージ アプリ インストーラー規則」を参照してください。

関連項目