Microsoft アカウント

適用対象

  • Windows 10

IT プロフェッショナル向けのこのトピックでは、Microsoft アカウントがユーザーのセキュリティとプライバシーを強化するためにどのように機能するか、および組織内でこのコンシューマー アカウントの種類を管理する方法について説明します。

Microsoft のサイト、サービス、プロパティ、およびWindows 10を実行しているコンピューターは、ユーザーを識別する手段として Microsoft アカウントを使用できます。 Microsoft アカウントは、以前はライブ ID Windows呼び出されていました。 ユーザー定義のシークレットがあり、一意の電子メール アドレスとパスワードで構成されます。

ユーザーが Microsoft アカウントでサインインすると、デバイスはクラウド サービスに接続されます。 ユーザーの設定、基本設定、アプリの多くは、デバイス間で共有できます。

Microsoft アカウントのしくみ

Microsoft アカウントを使用すると、ユーザーは単一の資格情報セットを使用して、このサービスをサポートする Web サイトにサインインできます。 ユーザーの資格情報は、Web サイトに関連付けられている Microsoft アカウント認証サーバーによって検証されます。 Microsoft Storeは、この関連付けの例です。 新しいユーザーが Microsoft アカウントの使用が有効になっている Web サイトにサインインすると、最も近い認証サーバーにリダイレクトされ、ユーザー名とパスワードが要求されます。 Windowsでは、Schannel セキュリティ サポート プロバイダーを使用して、この関数のトランスポート レベルのセキュリティ/セキュリティ保護ソケットレイヤー (TLS/SSL) 接続を開きます。 その後、ユーザーは資格情報マネージャーを使用して資格情報を格納できます。

ユーザーが Microsoft アカウントの使用を有効にしている Web サイトにサインインすると、制限付き Cookie がコンピューターにインストールされます。これには、トリプル DES で暗号化された ID タグが含まれます。 この暗号化された ID タグは、認証サーバーと Web サイトの間で合意されています。 この ID タグは Web サイトに送信され、Web サイトはユーザーのコンピューターに別の期限付きの暗号化された HTTP Cookie を設定します。 これらの Cookie が有効な場合、ユーザーはユーザー名とパスワードを指定する必要はありません。 ユーザーが Microsoft アカウントから積極的にサインアウトした場合、これらの Cookie は削除されます。

重要
ローカル Windows アカウントの機能は削除されておらず、マネージド環境で使用することもできます。

Microsoft アカウントの作成方法

不正アクセスを防ぐために、Microsoft システムは、ユーザーがアカウントを作成するときに IP アドレスを確認します。 同じ IP アドレスを持つ複数の Microsoft アカウントを作成しようとしているユーザーが停止されます。

Microsoft アカウントは、企業内のドメイン ユーザーのグループなど、バッチで作成するようには設計されていません。

Microsoft アカウントを作成する方法は 2 つあります。

  • 既存のメール アドレスを使用します

    ユーザーは、有効なメール アドレスを使用して Microsoft アカウントにサインアップできます。 このサービスでは、要求元のユーザーの電子メール アドレスが Microsoft アカウントに変換されます。 ユーザーは自分の個人用パスワードを選択することもできます。

  • Microsoft のメール アドレスにサインアップします

    ユーザーは、Microsoft の Web メール サービスでメール アカウントにサインアップできます。 このアカウントは、Microsoft アカウントの使用が有効になっている Web サイトにサインインするために使用できます。

Microsoft アカウント情報の保護方法

資格情報は 2 回暗号化されます。 最初の暗号化は、アカウントのパスワードに基づいています。 資格情報は、インターネット経由で送信されると、再度暗号化されます。 保存されているデータは、他の Microsoft または非Microsoft サービスでは使用できません。

  • 強力なパスワードが必要です

    空白のパスワードは許可されません。

    詳細については、「 Microsoft アカウントを安全かつ安全に保つ方法」を参照してください

  • 第 2 の ID 証明が必要です

    ユーザー プロファイルの情報と設定に初めてサポートされている 2 つ目のWindows コンピューターでアクセスするには、セカンダリの ID 証明を提供することで、そのデバイスに対する信頼を確立する必要があります。 これを実現するには、携帯電話番号に送信されるコードをWindowsに指定するか、ユーザーがアカウント設定で指定した別の電子メール アドレスに送信される手順に従います。

  • すべてのユーザー プロファイル データは、クラウドに送信される前にクライアントで暗号化されます

    既定では、ユーザー データはワイヤレス ワイド エリア ネットワーク (WWAN) 経由でローミングされないため、プロファイル データが保護されます。 デバイスから送信されるすべてのデータと設定は、TLS/SSL プロトコルを介して送信されます。

Microsoft アカウントのセキュリティ情報が追加されます

ユーザーは、サポートされているバージョンのWindowsを実行しているコンピューターのアカウント インターフェイスを使用して、Microsoft アカウントにセキュリティ情報を追加できます。 この機能を使用すると、ユーザーは自分のアカウントの作成時に指定したセキュリティ情報を更新できます。 このセキュリティ情報には別の電子メール アドレスまたは電話番号が含まれているため、パスワードが侵害または忘れられた場合は、ID を確認するための確認コードを送信できます。 ユーザーは、Microsoft アカウントを使用して個人のOneDriveまたは電子メール アプリに企業データを保存できる可能性があるため、アカウント所有者はこのセキュリティ情報を最新の状態に保つことが安全です。

エンタープライズの Microsoft アカウント

Microsoft アカウントはコンシューマーにサービスを提供するように設計されていますが、ドメイン ユーザーがエンタープライズで個人用の Microsoft アカウントを使用することでメリットを得られる状況が見つかる場合があります。 次の一覧では、いくつかの利点について説明します。

  • Microsoft Store アプリをダウンロードする:

    企業がMicrosoft Storeを通じてソフトウェアを配布することを選択した場合、ユーザーは Microsoft アカウントを使用して、任意のバージョンのWindows 10、Windows 8.1、Windows 8、またはWindows RTを実行する最大 5 台のデバイスでソフトウェアをダウンロードして使用できます。

  • シングル サインオン:

    ユーザーは、Microsoft アカウント資格情報を使用して、Windows 10、Windows 8.1、Windows 8、またはWindows RTを実行しているデバイスにサインインできます。 これを行うと、WindowsはMicrosoft Store アプリと連携して、認証されたエクスペリエンスを提供します。 ユーザーは、Microsoft アカウントを、Microsoft Store アプリまたは Web サイトのサインイン資格情報に関連付けることができるため、これらの資格情報は、サポートされているバージョンを実行しているすべてのデバイス間でローミングされます。

  • パーソナライズされた設定の同期:

    ユーザーは、最も一般的に使用されるオペレーティング システム設定を Microsoft アカウントに関連付けることができます。 これらの設定は、ユーザーがサポートされているバージョンのWindowsを実行し、クラウドに接続されているすべてのデバイスでそのアカウントでサインインするたびに使用できます。 ユーザーがサインインすると、デバイスは自動的にクラウドからユーザーの設定を取得し、デバイスに適用しようとします。

  • アプリの同期:

    Microsoft Store アプリは、ユーザー固有の設定を格納して、これらの設定を任意のデバイスで使用できるようにします。 オペレーティング システムの設定と同様に、これらのユーザー固有のアプリ設定は、ユーザーがサポートされているバージョンのWindowsを実行していてクラウドに接続されているすべてのデバイスで同じ Microsoft アカウントでサインインするたびに使用できます。 ユーザーがサインインすると、そのデバイスは自動的にクラウドから設定をダウンロードし、アプリのインストール時に適用します。

  • 統合されたソーシャル メディア サービス:

    ユーザーの友人やアソシエイトの連絡先情報と状態は、Hotmail、Outlook、Facebook、Twitter、LinkedIn などのサイトから自動的に最新の状態を維持します。 ユーザーは、OneDrive、Facebook、Flickr などのサイトから写真、ドキュメント、その他のファイルにアクセスして共有することもできます。

ドメイン内の Microsoft アカウントの管理

IT とビジネス モデルによっては、Microsoft アカウントを企業に導入すると複雑さが増したり、ソリューションが提供されたりする場合があります。 企業でこれらのアカウントの種類の使用を許可する前に、次の考慮事項に対処する必要があります。

Microsoft アカウントの使用を制限する

次のグループ ポリシー設定は、企業での Microsoft アカウントの使用を制御するのに役立ちます。

すべてのコンシューマー Microsoft アカウント ユーザー認証をブロックする

この設定は、ユーザーがアプリケーションまたはサービスの認証に Microsoft アカウントを提供できるかどうかを制御します。

この設定を有効にすると、デバイス上のすべてのアプリケーションとサービスが認証に Microsoft アカウントを使用できなくなります。 これは、デバイスの既存のユーザーと、追加される可能性がある新しいユーザーの両方に適用されます。

ただし、ユーザーが既に認証されているアプリケーションまたはサービスは、認証キャッシュの有効期限が切れるまで、この設定を有効にしても影響を受けなくなります。 キャッシュされたトークンが存在しないように、ユーザーがデバイスにサインインする前に、この設定を有効にすることをお勧めします。

この設定が無効になっているか未構成の場合、アプリケーションとサービスは認証に Microsoft アカウントを使用できます。 既定では、この設定は 無効です

この設定は、ユーザーが Microsoft アカウントを使用してデバイスにサインインできるかどうか、またはユーザーが Web ベースのアプリケーションで認証するためにブラウザーを介して Microsoft アカウントを提供できるかどうかには影響しません。

この設定へのパスは次のとおりです。

コンピューター構成\管理用テンプレート\Windows コンポーネント\Microsoft アカウント

アカウント:Microsoft アカウントをブロックする

この設定により、設定 アプリを使用して、Microsoft サービスと一部のバックグラウンド サービスのシングル サインオン (SSO) 認証用の Microsoft アカウントを追加したり、Microsoft アカウントを使用して他のアプリケーションやサービスにシングル サインオンしたりできなくなります。

この設定が有効になっている場合、次の 2 つのオプションがあります。

  • ユーザーは Microsoft アカウントを追加できません 。つまり、既存の接続されたアカウントは引き続きデバイスにサインインできます (サインイン画面に表示されます)。 ただし、ユーザーは 、設定 アプリを使用して新しい接続アカウントを追加 (またはローカル アカウントを Microsoft アカウントに接続) することはできません。
  • ユーザーは Microsoft アカウントを使用して追加またはログオンできません。つまり、ユーザーは新しい接続アカウントを追加したり (ローカル アカウントを Microsoft アカウントに接続したり)、設定を介して既存の接続アカウントを使用したりすることはできません。

この設定は、アプリケーション認証用の Microsoft アカウントの追加には影響しません。 たとえば、この設定が有効になっている場合、ユーザーは引き続き メールなどのアプリケーションで認証用の Microsoft アカウントを提供できますが、ユーザーは他のアプリケーションまたはサービスのシングル サインオン認証に Microsoft アカウントを使用できません (つまり、ユーザーは他のアプリケーションまたはサービスの認証を求められます)。

既定では、この設定は 定義されていません

この設定へのパスは次のとおりです。

コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション

接続されているアカウントを構成する

ユーザーは、Microsoft アカウントを自分のドメイン アカウントに接続し、それらの間で設定と設定を同期できます。 これにより、ユーザーは他のデバイスで同じデスクトップの背景、アプリ設定、ブラウザーの履歴とお気に入り、およびその他の Microsoft アカウント設定を表示できます。

ユーザーはいつでも自分のドメイン アカウントから Microsoft アカウントを切断できます。 [PC の設定] で、[ ユーザー] をタップまたはクリックし、[ 切断] をタップまたはクリックして、[完了] をタップまたはクリック します

備考
ドメイン アカウントを使用して Microsoft アカウントを接続すると、Windowsの一部の高い特権を持つタスクへのアクセスを制限できます。 たとえば、タスク スケジューラは、接続されている Microsoft アカウントのアクセスを評価し、失敗します。 このような状況では、アカウント所有者はアカウントを切断する必要があります。

エンタープライズで Microsoft アカウントをプロビジョニングする

Microsoft アカウントはプライベート ユーザー アカウントです。 Microsoft が企業に対して Microsoft アカウントをプロビジョニングする方法はありません。 企業はドメイン アカウントを使用する必要があります。

アカウント アクティビティの監査

Microsoft アカウントはインターネット ベースであるため、Windowsアカウントがドメイン アカウントに関連付けられるまで、その使用を監査するメカニズムはありません。 ただし、この関連付けによって、ユーザーがアカウントを切断したり、ドメインから離れるのを制限したりすることはありません。 ドメインに関連付けられていないアカウントのアクティビティを監査することはできません。

パスワード リセットを実行する

パスワードを変更できるのは、Microsoft アカウントの所有者のみです。 パスワードは、 Microsoft アカウント サインイン ポータルで変更できます。

アプリのインストールと使用を制限する

組織内で、アプリケーション制御ポリシーを設定して、Microsoft アカウントのアプリのインストールと使用状況を規制できます。 詳細については、 AppLocker の AppLockerパッケージ化されたアプリとパッケージ化されたアプリ インストーラーの規則に関するページを参照してください。

関連項目