Office 2016 における ID、認証、承認Identity, authentication, and authorization in Office 2016

概要: Office 2016 認証、ログオンの種類、レジストリ設定を使用して、ユーザーのログオン時に提供されるユーザー id を特定する方法について説明します。Summary: Describes Office 2016 authentication, logon types, and how to use registry settings to determine which user identities are offered at user logon.

新しい Office では、ビジネスアクティビティと非ビジネスアクティビティの両方に Office アプリケーションが使用されます。In the new Office, Office applications are used for both business and non-business activities. 1人のユーザーが Excel を使用して、day と処理ワールドカップの統計情報によって第2のウィジェットの売上高を処理することができます。A person may use Excel to crunch Q2 widget sales numbers by day and crunch World Cup stats by night, or use Word to write product specifications by day and short stories by night. Office は、2つの異なる役割で同じ個人によって使用されるツールであるため、新しい Office では、ユーザーが Office 2016 にログオンするための2つの id を提供しています。Because Office is a tool that is used by the same individual in two different roles, the new Office offers two identities with which users can log on to Office 2016:

  • Microsoft アカウント ( ほとんどのユーザーが個人のビジネスに使用する)A Microsoft account, which most people use for personal business

  • Microsoft によって割り当てられる組織 ID 。ビジネス、チャリティ、学校など、組織の作業を行うときに多くのユーザーが使用します。An organization ID that is assigned by Microsoft, which most people use when doing work for an organization, such as a business, charity, or school.

サインインに使用される資格情報は、personal または組織的として認識されます。The credentials that are used to sign in are recognized as either personal or organizational. このサインイン id はユーザーの "ホーム領域" になり、特定のセッションの SharePoint、OneDrive、または Office 365 サービス上でユーザーがアクセスできるドキュメントを決定します。That sign-in identity becomes the user's "home realm" and determines which documents the user has access to on SharePoint, OneDrive, or Office 365 Services for a specific session. 一意の各サインイン id は、Office の操作を終了しなくても、id 間の切り替えが簡単になるように、最近使用したリストに保存されます。Each unique sign-in identity is saved in a most-recently used list so that it is easy to switch between identities without leaving the Office experience.

さらに便利な方法として、ユーザーはオンラインドキュメントサービスを id にマウントして簡単にアクセスできるようにすることができます。For additional convenience, users can choose to mount an online document service to their identities for easy access. たとえば、個人用の OneDrive は組織の id にマウントできます。これにより、id を切り替えることなく、職場や学校で個人用ドキュメントにアクセスすることができます。For instance, a personal OneDrive can be mounted to an organization identity so that personal documents can be accessed at work or school without ever switching identities. また、ユーザーが id を使用して認証する場合、この認証は、サインインしたアプリケーションだけでなく、すべての Office アプリケーションに対して有効です。Also, when a user authenticates by using an identity, this authentication is valid for all Office applications, not just the application he or she signed in to.

これは、ユーザーが既定で使用するだけでなく、既定でも有効なニュースです。The very good news is that all of this just works for users, by default, and out of the box.

Office 認証プロトコルOffice authentication protocols

Office では、ユーザーはフォームベース認証 (FBA)、Windows 統合認証 (WIA)、または Passport サーバー側インクルード (SSI) 認証 (Passport Tweener とも呼ばれます) を使用して認証されます。In Office, users are authenticated by using Forms-Based Authentication (FBA), Windows Integrated Authentication (WIA), or Passport Server Side Include (SSI) Authentication, also known as "Passport Tweener." Office 2016 でも、FBA または WIA は引き続き使用できますが、SSI の代わりに、新しいオープンスタンダードのトークンベースの Open Authorization 2.0 (OAuth 2.0) を使用するようになりました。In Office 2016, you can still use FBA or WIA, but instead of SSI, we now use the new open standard, token-based Open Authorization 2.0 (OAuth 2.0). Office で使用できる認証プロトコルの概要については、次の表を参照してください。See the following table for an overview of the authentication protocols that you can use with Office.

Office 認証プロトコルOffice authentication protocols

クライアントの Office バージョンClient Office version 認証プロトコルAuthentication protocol サーバーServer
Office 2010、Office 2013、Office 2016Office 2010, Office 2013, Office 2016
フォームベースの認証 (FBA)。Forms-Based Authentication (FBA). フォームベースの認証は、クライアント側リダイレクションを使って、認証されていないユーザーを HTML フォームに転送し、資格情報を入力できるようにします。Forms based authentication uses client-side redirection to forward unauthenticated users to an HTML form where they can enter their credentials. 資格情報が検証された後、ユーザーは要求されたリソースにリダイレクトされます。After the credentials are validated, users are redirected to the resources that they requested.
SharePoint OnlineSharePoint Online
Office 2010、Office 2013、Office 2016Office 2010, Office 2013, Office 2016
Windows 統合認証 (WIA)。Windows Integrated Authentication (WIA). これは、Kerberos プロトコルまたは NTLM の場合と同様にネゴシエートされます。This is negotiated, as with the Kerberos protocol or NTLM. このシナリオでは、オペレーティングシステムによって認証が提供されます。In this scenario, the operating system provides authentication.
Sharepoint 2010、SharePoint 2013、SharePoint 2016SharePoint 2010, SharePoint 2013, SharePoint 2016
Office 2010、Office 2013、Office 2016Office 2010, Office 2013, Office 2016
SSI、または Passport Tweener 認証。SSI, or Passport Tweener, Authentication. ユーザーが Windows Live ID の資格情報または Microsoft アカウントを提供すると、Windows Live ID サービスは、クライアントが Windows Live サービスにアクセスするために使用する passport の "チケット" を返します。When a user provides Windows Live ID credentials or a Microsoft account, the Windows Live ID service returns a passport "ticket" that the client uses to access Windows Live services.
OneDriveOneDrive
Office 2013、Office 2016Office 2013, Office 2016
承認 2.0 (OAuth 2.0) を開きます。Open Authorization 2.0 (OAuth 2.0). OAuth 2.0 は、リダイレクトベースの一時的な承認を提供します。OAuth 2.0 provides temporary, redirection-based authorization. ユーザーまたはユーザーの代わりに動作する web アプリケーションは、リソース所有者から指定されたネットワークリソースに一時的にアクセスするための認証を要求できます。A user or a web application that acts on behalf of a user can request authorization to temporarily access specified network resources from a resource owner. 詳細については、「 OAuth 2.0」を参照してください。For more information, see OAuth 2.0.
OneDriveOneDrive
Office 2013、Office 2016Office 2013, Office 2016
Microsoft Online Services サインインアシスタント。Microsoft Online Services Sign-in Assistant. Microsoft Online Service サインインアシスタントは、Office 365 などの Microsoft オンラインサービスにエンドユーザーのサインイン機能を提供します。The Microsoft Online Services Sign-In Assistant provides end-user sign-in capabilities to Microsoft Online Services, such as Office 365. Microsoft Online Services サインインアシスタントと IT pro の詳細については、 It プロフェッショナル向け Microsoft Online Service サインインアシスタントプロフェッショナル用 rtwhttp://go.microsoft.com/fwlink/?linkid=625123を参照してください。For more information about Microsoft Online Services Sign-in Assistant and the IT pro, see Microsoft Online Services Sign-In Assistant for IT Professionals RTW. ダウンロードは、System Center Configuration Manager (SCCM) または同様のソフトウェア配布システムを使用して、Office 365 クライアントの展開の一部として管理対象クライアントシステムに配布するために使用されます。The download is for distribution to managed client systems as part of an Office 365 client deployment, using System Center Configuration Manager (SCCM) or similar software distribution systems.
Office 365 サービスOffice 365 Services

Office 2016 のログオンの種類Logon types in Office 2016

ユーザーが Office 2016、Microsoft アカウント、または Microsoft によって割り当てられた組織 ID をサインインすると、2つのログオンの種類がサポートされます。Two logon types are supported when users sign in to Office 2016, a Microsoft account or an organization ID that is assigned by Microsoft.

Microsoft アカウント (ユーザーの個人アカウント)。Microsoft account (the user's individual account). このアカウントは以前は Microsoft ID と呼ばれていましたが、ユーザーが Microsoft ネットワークでの認証に使用する資格情報であり、ボランティア作業などの個人または業務以外の作業によく使われています。This account, formerly known as Microsoft ID, is the credential that users use to authenticate with the Microsoft network and is frequently used for personal or non-business work, such as volunteer work. Microsoft アカウントを作成するには、ユーザー名とパスワード、特定の人口統計情報、および別のメールアドレスや電話番号などの "アカウントの校正" を指定します。To create a Microsoft account, a user provides a user name and password, certain demographic information, and "account proofs," such as an alternative email address or phone number.

Microsoft によって割り当てられた、Microsoft/Office 365 アカウント ID によって割り当てられた組織 ID。An organization ID that is assigned by Microsoft / Office 365 account ID that is assigned by Microsoft. このアカウントは、ビジネスで使用するために作成されます。This account is created for business use. Office 365 アカウントは、純粋な Office 365 ID、Active Directory ID、Active Directory フェデレーションサービス ID の3種類のいずれかにすることができます。An Office 365 account can be one of three types: a pure Office 365 ID, an Active Directory ID, or an Active Directory Federation Services ID. 以下について説明します。These are described below:

  • Office 365 ID。Office 365 ID. この ID は、管理者が Office 365 ドメインを設定し、次のよう<に>@<onmicrosoft.com>の形式を使用する場合に作成されます。This ID is created when an admin sets up an Office 365 domain and takes the form <user>@<org>.onmicrosoft.com, for example:

    sally@contoso.onmicrosoft.comsally@contoso.onmicrosoft.com

  • Microsoft によって割り当てられた、ユーザーの Active Directory ID に対して検証された組織 ID。Organization ID that is assigned by Microsoft that is validated against a user's Active Directory ID. Microsoft によって割り当てられ、次のように Active Directory に対して検証される組織 ID。An organization ID that is assigned by Microsoft and validated against Active Directory as follows:

  1. まず、[オンプレミスドメイン]\<ユーザー>アカウントを持っているユーザーが組織のリソースにアクセスしようとします。First, a person who has an [on-premise domain]\<user> account attempts to access organization resources.

  2. 次に、リソースからユーザーに対して認証が要求されます。Next, the resource requests authentication from the user.

  3. 次に、ユーザーは組織のユーザー名とパスワードを入力します。Then, the user types in their organization user name and password.

  4. 最後に、ユーザー名とパスワードは組織の AD データベースに対して検証され、ユーザーは認証され、要求されたリソースへのアクセスが与えられます。Finally, that user name and password are validated against the organization AD database, the user is authenticated, and is given access to the requested resource.

  • Microsoft によって割り当てられ、ユーザーの Active Directory フェデレーションサービス ID に対して検証される組織 ID。An organization ID that is assigned by Microsoft that is validated against a user's Active Directory Federation Services ID. Microsoft によって割り当てられており、次のように Active Directory フェデレーションサービス (AD FS) に対して検証された組織 ID。An organization ID that is assigned by Microsoft and validated against Active Directory Federation Services (AD FS) as follows:
  1. 最初に、パートナー組織のリソースへのアクセスを org.onmicrosoft.com する1人のユーザー。First, one person who has an org.onmicrosoft.com attempts to access partner organization resources.

  2. 次に、リソースがユーザーに対して認証を要求します。Then, the resource requests authentication from the user.

  3. 次に、ユーザーは組織のユーザー名とパスワードを入力します。Next, the user types in their organization user name and password.

  4. その後、そのユーザー名とパスワードは組織の AD DS データベースに対して検証されます。Then, that user name and password are validated against the organization AD DS database.

  5. 最後に、同じユーザー名とパスワードがパートナーのフェデレーションされた AD DS データベースに渡され、ユーザーは認証され、要求されたリソースへのアクセスが与えられます。Finally, that same user name and password are passed to the partner's federated AD DS database, the user is authenticated, and is given access to the requested resource.

オンプレミスのリソースの場合、Office 2016 は domain\alias ユーザー名を使用して認証を行います。For on-premises resources, Office 2016 uses the domain\alias user name for authentication. フェデレーションリソースの場合、Office 2016 は alias@org.onmicrosoft.com ユーザー名を使用して認証を行います。For federated resources, Office 2016 uses the alias@org.onmicrosoft.com user name for authentication.

レジストリ設定を使用して、ログオン時にユーザーに提供する ID の種類を決定するUse registry settings to determine which ID types to offer a user at logon

既定では、ユーザーが Office 2016 リソースにアクセスしようとすると、Office 2016 には、ユーザーの Microsoft アカウント ID と Microsoft によって割り当てられた組織 ID を表示するように設定されたレジストリキーが含まれます。By default, when a user attempts to access an Office 2016 resource, Office 2016 includes registry keys that are set to display a user's Microsoft account ID and the organization ID that is assigned by Microsoft. ただし、この設定は、Microsoft アカウントのみが表示されるように変更することができます。または、組織の ID を変更することもできます。But, you can change this so that only the Microsoft account is displayed, or their organization ID, or neither. この設定は、コンピューターのレジストリで変更されます。This setting is changed in the computer registry.

ユーザーに提供されている Office 2016 のログオンの種類を変更するにはTo change the Office 2016 logon types offered to the user

  1. レジストリエディターで、次を参照します。From Registry Editor, browse to:

    HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\SignIn\SignInOptionsHKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\SignIn\SignInOptions

  2. SignInOptions の値を次の表の値のいずれかに設定します。Set the value of SignInOptions to one of the values in the following table. SignInOptions 設定の型は DWORD です。The type for the SignInOptions setting is DWORD.

    SignInOptions の設定SignInOptions settings

SignInOptions を次のように設定した場合...If you set SignInOptions to this… 意味This is what it means これは、ユーザーへの影響ですThis is the effect on users
00
Microsoft アカウントまたは組織 IDMicrosoft account or organization ID
ユーザーは、Microsoft アカウントまたは組織によって割り当てられたアカウントを使用して、サインインして Office コンテンツにアクセスできます。Users can sign in and access Office content by using their Microsoft account or one that is assigned by your organization.
11
Microsoft アカウントのみMicrosoft account only
ユーザーは、自分の Microsoft アカウントを使用してのみサインインできます。Users can sign in only by using their Microsoft account.
22
組織のみOrganization only
ユーザーは、組織によって割り当てられたユーザー ID を使用してのみサインインできます。Users can sign in only by using the user ID that is assigned by your organization. これは、Windows Server の Azure Active Directory のユーザー ID、または Active Directory ドメインサービス (AD DS) のユーザー ID のいずれかにすることができます。This can be either a user ID in Azure Active Directory or a user ID in Active Directory Domain Services (AD DS) on Windows Server.
-3
AD DS のみAD DS only
ユーザーは、Windows Server の Active Directory ドメインサービス (AD DS) のユーザー ID を使用してのみサインインできます。Users can sign in only by using a user ID in Active Directory Domain Services (AD DS) on Windows Server.
4d4
許可しないNone allowed
ユーザーはどの ID でもサインインできません。Users can't sign in with any ID.

[ Office へのサインインを禁止する] 設定を無効にした場合、または構成しなかった場合は、既定の設定は0であり、ユーザーは Microsoft アカウントまたは組織によって割り当てられているアカウントを使用してサインインできます。If you disable, or do not configure, the Block sign-in to Office setting, the default setting is 0, which means that users can sign in by using their Microsoft account or one that is assigned by your organization.

レジストリ設定を使用して、ユーザーがインターネット上の Office 2016 リソースに接続できないようにするUse a registry setting to prevent a user from connecting to Office 2016 resources on the Internet

既定では、Office 2016 は、インターネット上にある Office 2016 ファイルへのアクセス権をユーザーに付与します。By default, Office 2016 gives users access to Office 2016 files that reside on the Internet. この設定を変更して、ユーザーにリソースが表示されないようにすることができます。You can change this setting so that a user can't see those resources.

ユーザーが Office 2016 インターネットリソースに接続することを許可または禁止するにはTo allow or prevent a user from connecting to Office 2016 Internet resources

  1. レジストリエディターで、次を参照します。From Registry Editor, browse to:

    Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Internet\UseOnlineContentComputer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Internet\UseOnlineContent

  2. UseOnlineContent の値を次のいずれかに設定します。Set the value of UseOnlineContent to one of the following:

    Office 2016 の UseOnlineContent 値Office 2016 UseOnlineContent values

Use Onlinの値UseOnlineContent value 値の型Value type 説明Description
00
DWORDDWORD
インターネット上の Office 2016 リソースへのアクセスをユーザーに許可しないでください。Do not allow user to access Office 2016 resources on the Internet.
1
DWORDDWORD
ユーザーがインターネット上の Office 2016 リソースへのアクセスをオプトインできるようにします。Allow user to opt in to access of Office 2016 resources on the Internet.
22
DWORDDWORD
設定ユーザーがインターネット上の Office 2016 リソースにアクセスできるようにします。(Default) Allows the user to access Office 2016 resources on the Internet.

削除されたログオン id に関連付けられている Office プロファイルと資格情報を削除するDelete the Office Profile, and credentials, associated with a removed logon identity

ユーザーが Microsoft アカウント ID または組織 ID を使用して Office アプリにログインすると、対応する Office プロファイルとその id の資格情報がレジストリに作成されます。When a user logs into an Office app by using either their Microsoft account ID or their organization ID, a matching Office profile and credentials for that identity are created in the registry. ログオンページでは、[ユーザー名ではなく] のすぐ下にあるその id を削除するオプションをユーザーに提供します。The logon page gives the user the option of removing that identity, just under the "Not user name?" ユーザーのアバターまたは写真と名前の近くにある質問。question near the user avatar or photo and name. ユーザーがいずれかの id オプションを削除するように選択すると、ログオンページから削除されます。If users choose to remove one of their identity options, it will be removed from the logon page. ただし、対応する Office プロファイルと資格情報は、実際にはしばらくキャッシュ内に残ります。But, that corresponding Office profile and credentials will actually remain in the cache for a short time. 組織からユーザーが発生した場合など、セキュリティ上の問題がある場合は、その Office プロファイル設定をレジストリから直ちに削除する必要があります。If this is a security issue, such as when a user is fired from your organization, you should immediately delete that Office profile setting from the registry. そのためには、レジストリでそのユーザーの Office プロファイルを参照し、削除します。To do this, browse to that user's Office profile in the registry, and delete it.

まだキャッシュされている可能性がある Office プロファイルを削除するにはTo delete an Office profile that may still be cached

  1. レジストリエディターで、次を参照します。From Registry Editor, browse to:

    HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity\IdentitiesHKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity\Identities

  2. 削除する Office プロファイルを選択し、[削除] を選択します。Choose the Office profile that you want to delete, and then choose Delete.

  3. Id ハイブから [プロファイル] ノードに移動し、その id を選択して、ショートカットメニューを開き (右クリック)、[削除] を選択します。From the Identity hive, navigate to the Profiles node, choose that same identity, open the shortcut menu (right-click), and then choose Delete.