設定とデータのローミングに関する管理者向けの FAQ

Windows 8.1 では常に、コンシューマーの Microsoft アカウントが設定の同期に使用されていました。 企業ユーザーは、その Active Directory ドメイン アカウントに Microsoft アカウントを接続することによって設定の同期を利用することができました。Windows 10 以降では、この Microsoft アカウントの接続機能が、プライマリ/セカンダリ アカウント フレームワークによって置き換えられています。

プライマリ アカウントは、Windows へのサインインに使用するアカウントとして定義されています。 Microsoft アカウントや Microsoft Entra アカウント、オンプレミスの Active Directory アカウント、ローカル アカウントが該当します。 Windows 10 以降のユーザーは、プライマリ アカウントに加え、1 つまたは複数のセカンダリ クラウド アカウントを各自のデバイスに追加することができます。 一般に、セカンダリ アカウントとは、Microsoft アカウントや Microsoft Entra アカウントのほか、Gmail や Facebook といったアカウントのことを指します。 セカンダリ アカウントで、シングル サインオンや Windows ストアなど他のサービスにアクセスすることはできますが、設定の同期機能にアクセスすることはできません。

デバイス上の異なるユーザー アカウントのデータがミックスされることはありません。 設定の同期には次の 2 つの規則があります。

• Windows の設定は常にプライマリ アカウントでローミングされます。
• アプリのデータは、そのアプリを取得する際に使われたアカウントでタグ付けされます。 同期されるのは、プライマリ アカウントでタグ付けされたアプリだけです。アプリの所有権タグは、Windows ストアやモバイル デバイス管理 (MDM) 経由でアプリをサイド ローディングしたときに決定されます。

アプリケーション所有者を特定できない場合は、プライマリ アカウントでローミングされます。 デバイスが Windows 8 や Windows 8.1 から Windows 10 以降にアップグレードされると、すべてのアプリが Microsoft アカウントで取得されたようにタグ付けされます。 これは、ほとんどのユーザーがアプリを Windows ストアを通じて取得し、Windows 10 以前の Microsoft Entra アカウントでは Windows ストアのサポートがなかったために起こります。 オフライン ライセンスでインストールされたアプリは、そのデバイス上のプライマリ アカウントでタグ付けされます。

Windows 10 以降へのアップグレード後も、ドメインに参加しているユーザーで Active Directory ドメインと Microsoft Entra ID が接続されていない場合は、引き続き Microsoft アカウントでユーザー設定を同期します。

一方、オンプレミスの Active Directory ドメインが Microsoft Entra ID と接続されている場合、お使いのデバイスは、接続されている Microsoft Entra アカウントを使用して設定を同期します。 Microsoft Entra 管理者によって Enterprise State Roaming が有効にされていない場合、接続されている Microsoft Entra アカウントは設定の同期を中止します。 Windows 10 以降を実行していて、Microsoft Entra の ID でサインインしている場合、管理者が Microsoft Entra ID を介した設定の同期を有効にするとすぐに Windows の設定の同期が開始されます。

個人データを会社のデバイスに保存している場合は、Windows OS とアプリケーションのデータが Microsoft Entra ID と同期されることを知っておいてください。 これには、次のような意味があります。

• 個人の Microsoft アカウントの設定が、職場または学校の Microsoft Entra アカウントの設定から変更されます。 これは、Microsoft アカウントと Microsoft Entra の設定の同期が別のアカウントを使用するようになるためです。
• 従来、Active Directory に接続された Microsoft アカウント経由で同期されていた個人データ (Wi-Fi のパスワード、Web の資格情報、Internet Explorer のお気に入りなど) は今後、Microsoft Entra ID 経由で同期されます。

November 2015 以降のリリースの Windows 10 では、Enterprise State Roaming が一度に 1 つのアカウントでのみサポートされます。 職場や学校の Microsoft Entra アカウントで Windows にサインインした場合は、すべてのデータが Microsoft Entra ID 経由で同期されます。 個人用 Microsoft アカウントで Windows にサインインした場合は、すべてのデータが Microsoft アカウント経由で同期されます。 ユニバーサル アプリ データはデバイスのプライマリ サインイン アカウントのみを使用してローミングされ、アプリのライセンスがプライマリ アカウントによって所有されている場合にのみローミングされます。 セカンダリ アカウントによって所有されているアプリのユニバーサル アプリ データは同期されません。

異なる Microsoft Entra テナントの複数の Microsoft Entra アカウントが同じデバイス上にある場合は、Microsoft Entra テナントごとに Azure Rights Management サービスと通信するようにデバイスのレジストリを更新する必要があります。

1. 各 Microsoft Entra テナントの GUID を見つけます。 Microsoft Entra 管理センターにサインインし、[ID]、[概要]、[プロパティ]、[テナント ID] の順に移動します。
2. GUID を特定したら、レジストリ キー HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\SettingSync\WinMSIPC<tenant ID GUID> を追加する必要があります。 テナント ID の GUID キーから、AllowedRMSServerUrls という名前の新しい複数行文字列値 (REG-MULTI-SZ) を作成します。 そのデータに対して、デバイスがアクセスする他の Azure テナントのライセンス配布ポイントの URL を指定します。
3. ライセンス配布ポイントの URL は、AADRM モジュールから Get-AadrmConfiguration コマンドレットを実行することによって見つけることができます。 LicensingIntranetDistributionPointUrl の値と LicensingExtranetDistributionPointUrl の値とが異なる場合は、両方の値を指定します。 同じ値である場合は、その値を一度指定してください。

ローミングが利用できるのは、ユニバーサル Windows アプリに限られます。 既存の Windows デスクトップ アプリケーションでローミングを利用する方法としては、次の 2 つの選択肢があります。

• Desktop Bridge を使用する。既存の Windows デスクトップ アプリをユニバーサル Windows プラットフォームに移行できます。 そこから、ごくわずかな変更をコードに加えることで、Microsoft Entra のアプリ データ ローミングを利用できるようになります。 既存のデスクトップ アプリは、そのデータのローミングに必要なアプリ ID を Desktop Bridge から得ることができます。
• User Experience Virtualization (UE-V) を使用する。Win32 アプリについては、UE-V を使用して既存の Windows デスクトップ アプリ用のカスタム設定テンプレートを作成し、ローミングを有効にできます。 この方法を選んだ場合、アプリの開発者がそのコードを変更する必要はありません。 UE-V は、Microsoft Desktop Optimization Pack をお持ちのお客様のオンプレミスの Active Directory ローミングに限られます。

管理者は、次の UE-V グループ ポリシーを使用して Windows OS の設定やユニバーサル アプリ データのローミングを変更することで、Windows デスクトップ アプリのデータをローミングするように UE-V を構成できます。

• Roam Windows settings (Windows 設定のローミング) グループ ポリシー
• Don't synchronize Windows Apps (Windows アプリを同期しない) グループ ポリシー
• アプリケーション セクションでの Internet Explorer ローミング

Enterprise State Roaming は同期されたすべてのデータを Microsoft クラウドに格納します。 オンプレミスのローミング ソリューションとしては UE-V をご利用ください。

2022 年 11 月より前は、Azure Rights Management を使用してすべてのユーザー データがセキュリティで保護されていました。

2022 年 11 月から、Microsoft ではすべてのデータ暗号化に Azure Rights Management を使用しなくなりました。 マイクロソフトは、顧客データの保護に積極的に取り組んでいます。 パスワードなどの特定の機密データは、セキュリティの追加レイヤーを確保するために、Microsoft Entra テナントから派生したキーを使用してクライアント側で暗号化されます。 すべてのユーザー データ (機密ではないデータを含む) は、転送中とクラウドでの保存時に暗号化されます。 ローミングされる機密データ項目と非機密データ項目の一覧については、「Windows ローミング設定リファレンス」を参照してください。

Windows 10 以降では、管理者は MDM またはグループ ポリシーを使用して、マネージド デバイス上のすべての設定同期グループの同期を無効にすることができます。

設定アプリから [アカウント]>[設定の同期] の順に移動します。 このページから、設定のローミングに使用されているアカウントを確認したり、ローミング対象となる設定グループの有効と無効を個別に切り替えたりすることができます。

設定のローミングに関して、マイクロソフトでは UE-V や Enterprise State Roaming など、いくつかのソリューションを提供しています。 データをクラウドに移すことに関して勤務先が積極的でない、または準備が整っていない場合は、主要なローミング テクノロジとして UE-V を使用することをお勧めします。 既存の Windows デスクトップ アプリケーションのローミングに対応する必要がある一方で、クラウドへの移行を勤務先が積極的に推進している場合は、Enterprise State Roaming と UE-V を併用することをお勧めします。 UE-V と Enterprise State Roaming は類似したテクノロジですが、相互に排他的ではありません。 組織がユーザーが必要とするローミング サービスを確実に提供できるように、互いに補完します。

Enterprise State Roaming と UE-V の両方を使用している場合は、Enterprise State Roaming がデバイス上の主要なローミング エージェントになります。 UE-V は、Win32 アプリケーションを補うために使用されます。

• Enterprise State Roaming がデバイス上の主要なローミング エージェントになります。 UE-V は、"Win32 とのギャップ" を補うために使用されます。
• Windows の設定や UWP のモダン アプリのデータに対する UE-V ローミングは、UE-V のグループ ポリシーを使用する際には無効にする必要があります。 これらの設定は既に Enterprise State Roaming で補われています。

Enterprise State Roaming は Windows 10 以降のクライアント SKU でサポートされていますが、サーバー SKU ではサポートされません。 ハイパーバイザー コンピューターでクライアント VM がホストされており、その仮想マシンにリモートでサインインしている場合、データはローミングされます。 複数のユーザーが同じ OS を共有しており、ユーザーがリモートからサーバーにログインしてデスクトップとまったく同じようにその環境を利用している場合、ローミングは正常に機能しない場合があります。 後者のセッション ベースのシナリオは公式対応していません。

次のステップ

概要については、「Enterprise State Roaming の概要」を参照してください