Microsoft 365 機能の説明

ユーザー アカウントの管理

Microsoft は、ユーザーを作成、管理、および認証する次の方法をサポートします。 ただし、このトピックには、個々の Microsoft リソースへのアクセスを許可または禁止するセキュリティ機能に関する情報は含まれません (たとえば、Microsoft Exchange Onlineでのロールベースのアクセス制御、Microsoft Office SharePoint Onlineでのセキュリティの構成など)。 これらの機能の詳細については、Exchange Onlineサービスの説明SharePoint Online サービスの説明を参照してください。 管理タスクの実行に役立つツールの情報については、「Microsoft アカウントを管理するためのツール」を参照してください。 日常的な管理タスクを実行する方法については、「一般的な管理タスク」を参照してください。

サブスクリプションのサインイン、インストール、アンインストール、またはキャンセルに関するヘルプが必要ですか? ヘルプを表示する: Office | Canceling Office 365 | インストールまたはアンインストールにサインインする

その他の問題については、Microsoft サポート センターにアクセスしてください。 中国の 21Vianet が運用している Office 365 に対するサポートを受けるには、21Vianet サポート チームにお問い合わせください。

サインイン オプション: Microsoft には、 職場または学校アカウント (クラウド ID) とフェデレーション アカウント (フェデレーション ID) の 2 つのシステムをユーザー ID に 使用できます。 ID の種類は、ユーザー エクスペリエンスおよびユーザー アカウントの管理オプションに加えて、ハードウェアとソフトウェアの要件や、展開に関する他の検討事項にも影響します。

職場または学校のアカウント (クラウド ID) - ユーザーは、Microsoft クラウド サービスにサインインするために、他のデスクトップまたは企業のクレデンシャルとは別に、Azure ActiveDirectory クラウド資格情報を受け取ります。 これは既定の ID で、展開の複雑さを最小にするためにこの ID を使用することをお勧めします。 職場または学校のアカウント用のパスワードは、Azure Active Directory パスワード ポリシー を使用します。

フェデレーション アカウント (フェデレーション ID) - シングル サインオン (SSO) を使用するオンプレミスの Active Directory を使用する組織のすべてのサブスクリプションについて、ユーザーは Active Directory の資格情報を使用して Microsoft サービスにサインインできます。 会社の Active Directory は、パスワード ポリシーを格納し制御します。 SSO の詳細については、「 シングル サインオンのロードマップ」を参照してください。

シングル サインオン: シングル サインオンを使用する組織の場合、ドメイン上のすべてのユーザーが同じ ID システム (クラウド ID またはフェデレーション ID) を使用する必要があります。 たとえば、社内システムにアクセスしないため 1 つのクラウド ID のみを必要とするユーザー グループと、Microsoft および社内システムの両方を使用する別のユーザー グループが存在する場合があります。 Office 365 に contractors.contoso.comstaff.contoso.com などの 2 つのドメインを追加して、2 つのドメインのうち一方のみに SSO をセットアップします。 ドメイン全体は、クラウド ID からフェデレーション ID に、またはフェデレーション ID からクラウド ID に変換することができます。

認証: SharePoint Online で作成された匿名アクセスのインターネット サイトを除き、ユーザーは Microsoft サービスにアクセスするときに認証する必要があります。 先進認証クラウド ID 認証フェデレーション ID 認証。 Microsoft は形式ベースの認証を使用しており、ネットワークを網羅する認証トラフィックは、ポート 443 を使用して常に TLS/SSL で暗号化されます。 認証トラフィックは、Microsoft サービスの帯域幅のごくわずかな部分のみを使用します。

先進認証 - 先進認証は、Microsoft 認証ライブラリ ベースのサインインをプラットフォーム間で Office クライアント アプリにもたらします。 これにより、多要素認証 (MFA) によるサインイン、SAML ベースのサードパーティ製 ID プロバイダーから Office クライアント アプリケーションへのサインイン、スマート カードや証明書をベースとする認証機能を使用したサインインなどが可能になります。 また、Microsoft Outlook を使用していなくても基本認証プロトコルを使用できるようになります。 Office アプリケーション全体での最新の認証の可用性などの詳細については、「Office 2013 および Office 2016 のクライアント アプリの先進認証のしくみ」を参照してください。 Exchange Online では、先進認証が既定でオンになっています。 オンまたはオフにする方法については、「Exchange Online で先進認証を有効にする」を参照してください。

クラウド ID 認証 - クラウド IDを 持つユーザーは、従来のチャレンジ/レスポンスを使用して認証されます。 Web ブラウザーは、Microsoft サインイン サービスにリダイレクトされます。ここで、職場または学校のアカウントのユーザー名とパスワードを入力します。 サインイン サービスは、ユーザーの資格情報を認証し、サービス トークンを生成します。Web ブラウザーは、このサービス トークンを要求されたサービスに表示して、ユーザーを登録します。

フェデレーション ID 認証 - フェデレーション ID を持つユーザーは、Active Directory フェデレーション サービス (AD FS) 2.0 またはその他のセキュリティ トークン サービスを使用して認証されます。 Web ブラウザーは、Microsoft サインインサービスにリダイレクトされます。ここで、企業 ID をユーザー プリンシパル名 (UPN、例: isabel@contoso.com) の形式で入力します。 サインイン サービスは、フェデレーション ドメインの一部であることを決定し、認証のためにオンプレミスのフェデレーション サーバーにリダイレクトすることを提供します。 デスクトップ (参加しているドメイン) にログオンしている場合は、(Kerberos または NTLMv2 を使用して) 認証され、オンプレミスのセキュリティ トークン サービスによってログオン トークンが生成され、Web ブラウザーが Microsoft サインイン サービスに投稿します。 サインイン サービスは、ログオン トークンを使用して、サービス トークンを生成します。Web ブラウザーは、このサービス トークンを要求されたサービスに表示して、ユーザーを登録します。 利用可能なセキュリティ トークン サービスの一覧については、「シングル サインオンのロードマップ」を参照してください。

多要素認証: Multi-Factor Authentication では、ユーザーがパスワードを正しく入力した後、スマートフォンで電話、テキスト メッセージ、またはアプリ通知を確認する必要があります。 Only after this second authentication can the user sign in. Microsoft 管理者は、Microsoft 365 管理センターで多要素認証にユーザーを登録できます。 多要素認証に関する詳細情報。

リッチ クライアント認証: Microsoft Office デスクトップ アプリケーションなどのリッチ クライアントの場合、認証は、 Microsoft Online Services Sign-In アシスタントSSL 経由の基本/プロキシ認証 の 2 つの方法で行うことができます。 Microsoft サービスの適切な検出と認証を確実にするため、管理者は、リッチ クライアント(Microsoft Office 2010 など)を使用して Office 365 に接続する各ワーク ステーションに一連のコンポーネントと更新を適用する必要があります。 デスクトップ セットアップは、必要な更新プログラムでワークステーションを構成する自動化ツールです。 詳細については、「現在の Office デスクトップを使用する」をご覧ください。

Microsoft Online Services サインイン アシスタント - デスクトップ セットアップによってインストールされるサインイン アシスタントには、サインイン サービスからサービス トークンを取得してリッチ クライアントに返すクライアント サービスが含まれています。 クラウド ID を持っている場合、ユーザーは資格情報のプロンプトを受け取ります。クライアント サービスは、認証のために、このプロンプトを サインイン サービスに送信します (WS-Trust を使用)。 ユーザーがフェデレーション ID を所有している場合、クライアント サービスは、まず AD FS 2.0 サーバーに接続し、資格情報を認証して (Kerberos または NTLMv2 を使用) ログオン トークンを取得します。このログオン トークンは サインイン サービスに送信されます (WS-Federation および WS-Trust を使用)。

SSL を介した基本/プロキシ認証 - Outlook クライアントは、SSL を介した基本認証ク資格情報を ExchangeOnline に渡します。 Exchange Online は、認証要求を ID プラットフォームにプロキシし、次にオンプレミスの Active Directory フェデレーションサーバー (SSO 用) にプロキシします。

サインイン エクスペリエンス: サインイン エクスペリエンスは、使用中の ID の種類によって変わります。

サービス クラウド ID フェデレーション ID
Outlook 2016 セッションごとにサインイン 1 セッションごとにサインイン 2
Outlook 2013 セッションごとにサインイン 1 セッションごとにサインイン 2
Windows 7 で Outlook 2010 または Office 2007 を使用 セッションごとにサインイン 1 セッションごとにサインイン 2
Windows Vista で Outlook 2010 または Office Outlook 2007 を使用 セッションごとにサインイン 1 セッションごとにサインイン 2
Microsoft Exchange ActiveSync セッションごとにサインイン 1 セッションごとにサインイン 2
POP、IMAP、Outlook for Mac セッションごとにサインイン 1 セッションごとにサインイン 2
Web エクスペリエンス: Microsoft 365 管理センター/Outlook on the web/SharePoint Online/Office for the web ブラウザー セッションごとにサインイン 4 セッションごとにサインイン 3
SharePoint Online で Office 2010 または Office 2007 を使用 SharePoint Online セッションごとにサインイン 4 SharePoint Online セッションごとにサインイン 3
Skype for Business Online セッションごとにサインイン 1 プロンプトなし
Outlook for Mac セッションごとにサインイン 1 セッションごとにサインイン 2

1 最初に要求された時点で、今後の使用を目的にパスワードを保存することができます。 パスワードを変更するまで、別のプロンプトは表示されません。
2 会社の資格情報を入力します。 パスワードを保存できます。パスワードが変更されるまで、もう一度入力を求めるメッセージは表示されません。
3 すべてのアプリケーションは、ユーザー名を入力するか、クリックしてサインインすることを要求します。 コンピューターがドメインに参加している場合、パスワードの入力を求めるメッセージは表示されません。 [ サインインしたままにする ] を選択した場合、サインアウトするまで、もう一度メッセージは表示されません。
4 [ サインインしたままにする ] を選択した場合、サインアウトするまで、もう一度メッセージは表示されません。

ユーザー アカウントを作成する: ユーザーを追加するには、複数の方法があります。 詳細については、「ユーザーを個別または一括で追加する - 管理 ヘルプユーザーの追加、ライセンスの割り当て - Microsoft 365 管理者|Microsoft Docs。中国で 21Vianet によって運用されているOffice 365を使用している場合は、「21Vianet が運営するOffice 365でユーザー アカウントを作成または編集する - 管理 ヘルプ」を参照してください。

ユーザー アカウントを削除する: アカウントを削除する方法は、ディレクトリ同期を使用しているかどうかによって異なります。 ディレクトリ同期を使用していない場合は、管理者ページを使用するか、Windows PowerShellを使用してアカウントを削除できます。 ディレクトリ同期を使用している場合は、Office 365からではなく、ローカル Active Directory からユーザーを削除する必要があります。

削除されたアカウント: アカウントが削除されると、アカウントは非アクティブになります。 削除後約 30 日間は、アカウントを復元することができます。 アカウントの削除と復元の詳細については、「ユーザーの削除ユーザーの復元」を参照してください。または、中国で 21Vianet によって運用されているOffice 365を使用している場合は、「21Vianet によって操作されるOffice 365でユーザー アカウントを作成または編集する - 管理 ヘルプ」を参照してください。

パスワード管理: パスワード管理のポリシーと手順は、ID システムによって異なります。

クラウド ID パスワード管理: クラウド ID を使用すると、アカウントの作成時にパスワードが自動的に生成されます。 クラウド ID パスワードの強度要件の詳細については、「パスワード ポリシー」を参照してください。 セキュリティを強化するため、最初に Microsoft サービスにアクセスする時点で、ユーザーはパスワードを変更する必要があります。 その結果、ユーザーは Microsoft サービスにアクセスする前に、Microsoft 365 管理センターにサインインし、パスワードの変更を求めるメッセージを表示する必要があります。 管理者は、パスワードの有効期限ポリシーを設定できます。 詳細については、「 ユーザーのパスワードの有効期限ポリシーを設定する」を参照してください。

クラウド ID のパスワード リセット: クラウド ID を持つユーザーのパスワードをリセットするためのツールがいくつかあります。管理パスワードのリセット、Outlook on the web****でのパスワードの変更ロールベースのパスワードのリセット権限Windows PowerShellを使用したパスワードのリセット

管理者によるパスワードの再設定 - ユーザーがパスワードを紛失または忘れた場合、管理者は管理センターで、または Windows PowerShell を使用してユーザーのパスワードをリセットできます。 ユーザーは、自分の現在のパスワードを知っている場合に、自分のパスワードだけを変更できます。 Enterprise プランでは、管理者が自分のパスワードをなくすか忘れた場合、全体管理者の役割が割り当てられた別の管理者が Microsoft 365 管理センターで、または WindowsPowerShell を使用して、管理者のパスワードを再設定することができます。 詳細については、「Office 365 の管理者パスワードを再設定する」を参照してください。 中国で 21Vianet によって運用されているOffice 365で作業している場合は、「21Vianet によって運用されているOffice 365でパスワードを変更またはリセットする」を参照してください。

Outlook on the web を使用したユーザーによるパスワード変更 - Outlook on the web オプション ページには、ユーザーを [パスワードの変更] ページにリダイレクトする、パスワード変更のハイパーリンクが含まれています。 ユーザーは、以前のパスワードを知っている必要があります。 詳細については、「 Outlook Web アプリでパスワードを変更する」を参照してください。 中国で 21Vianet によって運用されているOffice 365を使用している場合は、「21Vianet が運用するOffice 365でパスワードを変更またはリセットする」を参照してください。

パスワードを再設定する役割ベースの権限 - Enterprise プランでは、ヘルプデスクのスタッフなどの承認されたユーザーに、全サービスの管理者にすることなく、[パスワードの再設定] を実行するユーザー権限や、定義済みの役割やカスタムの役割を使用してパスワードを変更する権限を割り当てることができます。 既定では、Enterprise プランの場合、全体管理者、パスワード管理者、またはユーザー管理の管理者の役割が割り当てられた管理者がパスワードを変更できます。 詳細については、「管理者ロールを割り当てる」を参照してください。

WindowsPowerShell を使用してパスワードを再設定する - サービス管理者は、WindowsPowerShell を使用してパスワードを再設定することができます。

フェデレーション ID パスワード管理: フェデレーション ID を使用する場合、パスワードは Active Directory で管理されます。 オンプレミスのセキュリティ トークン サービスは、ユーザーのローカル Active Directory パスワードをインターネット経由で Office 365 に渡すことなく、Federation Gateway による認証をネゴシエートします。 ローカル パスワード ポリシーを使用するか、Web クライアントの場合には 2 要素認証を使用します。 パスワードの変更ハイパーリンクが含まれていないOutlook on the web。 ユーザーは、標準の社内ツールを使用して、またはデスクトップ PC のログオン オプションでパスワードを変更します。

ディレクトリ同期: 組織環境 でシングル サインオン (SSO) が有効になっているディレクトリ同期があり、フェデレーション ID プロバイダーに影響を与える障害が発生した場合、フェデレーション サインイン用のパスワード同期バックアップでは、ドメインをパスワード同期に手動で切り替えるオプションが提供されます。パスワード同期を使用すると、停止が修正されている間にユーザーがアクセスできるようになります。 パスワード同期を使用すると、ユーザーは停止の修復作業中でも Office 365 にアクセスできます。シングル サインオンからパスワード同期に切り替える方法をご確認ください。

ライセンス管理: ライセンスを使用すると、ユーザーは一連の Microsoft サービスにアクセスできます。 管理者は、必要なサービスにアクセスするためのライセンスを各ユーザーに割り当てます。 たとえば、Skype for Business Online へのアクセス権は割り当て、SharePoint Online へのアクセス権は割り当てないということができます。

請求: Microsoft 課金管理者は、ユーザー ライセンスの数や会社が使用する追加サービスの数など、サブスクリプションの詳細を変更できます。 「ライセンスの割り当てまたは解除」を確認してください。 21Vianet によって運用されているOffice 365を使用している場合は、「21Vianet によって運用Office 365ライセンスの割り当てまたは削除」を参照してください。

グループ管理: SharePoint Online では、サイトへのアクセスを制御するためにセキュリティ グループが使用されます。 セキュリティ グループは、Microsoft 365 管理センターで作成できます。 セキュリティ グループの詳細については、「セキュリティ グループを作成、編集、削除する」を参照してください。

Azure Active Directory サービス: Azure Active Directory (AD) は、包括的な ID とアクセス管理機能をOffice 365に提供します。 開発者のために、ディレクトリ サービス、高度な ID ガバナンス、アプリケーション アクセス管理、機能豊富な標準ベースのプラットフォームを組み合わせています。 Office 365の AD 機能の詳細については、「サインイン ページのブランド化とクラウド ユーザーのセルフサービス パスワード リセット」を参照してください。 Azure Active Directory の Free、Basic、Premium の各エディションの詳細について説明します。

機能の可用性: プラン間の機能の可用性を表示するには、Microsoft 365 とプラットフォーム サービスの説明Office 365参照してください。