Office 2013 における ID、認証、および承認の概要

Office 2013
 

適用先:Office 2013, Office 365 ProPlus

トピックの最終更新日:2018-01-27

概要: Describes Office 2013 の認証とログオンの種類について説明すると共に、レジストリ設定を使用してユーザーのログオン時に表示されるユーザー ID を決定する方法について説明しています。

対象ユーザー: IT 担当者

この記事の多くのセクションは、「Office 2013 での ID と認証」のポスターに基づいています。このポスターは、ダウンロード センターからダウンロードできます。

ポスターのサムネイル: ID と認証

新しい Office では、ビジネス活動およびビジネス活動以外の両方の目的で Office アプリケーションが使用されます。たとえば、Excel を使用して、昼間は第 2 四半期の製品売上高を処理し、夜はワールド カップの成績データを処理できます。Word を使用して、昼間は製品仕様を作成し、夜は短編小説を執筆することもできます。Office は同じ個人が 2 つの異なる役割で使用するツールなので、新しい Office のユーザーは、2 つの ID を使用して Office 2013 にログオンできます。

  • Microsoft アカウント: 多くのユーザーは、個人的な用途で使用します。

  • マイクロソフトによって割り当てられた組織 ID: 多くのユーザーは、営利企業、慈善事業、学校などの組織において作業を行う場合に使用します。

サインインに使用される資格情報は、個人用または組織用として認識されます。 サインインに使用した ID はユーザーの "ホームレルム" となり、これにより特定のセッションにおいて SharePoint、OneDrive、または Office 365 サービスでユーザーがアクセス権を持つドキュメントが決定されます。一意の各サインイン ID は最近使用した一覧に保存されるため、Office を離れることなく簡単に ID を切り替えることができます。

ユーザーは、各自の ID に対してオンライン ドキュメント サービスをマウントすることによって、ドキュメントに簡単にアクセスできます。たとえば、組織 ID に個人用の OneDrive をマウントすると、職場や学校で ID を切り替えることなく個人用のドキュメントにアクセスできます。ユーザーが ID を使用して認証されると、この認証は、サインインしたアプリケーションだけでなく、すべての Office アプリケーションで有効になります。

これらの機能はユーザーに対して既定で有効になっており、標準で使用できます。

重要重要:
この記事は、IT 担当者向けの Office 2013 の ID、認証、承認のロードマップ に含まれています。このロードマップは、Office 2013 の識別情報の評価に役立つ記事、ダウンロード、ポスター、ビデオなどを参照する際の出発点として使用します。
個々の Office 2013 アプリケーションの情報をお探しの場合は、Office.com を参照してください。

この記事の内容

Office 2010 では、ユーザーはフォーム ベース認証 (FBA)、Windows 統合認証 (WIA)、または Passport サーバー側インクルード (SSI) 認証 ("Passport Tweener" とも呼ばれます) を使用して認証されます。Office 2013 では、FBA や WIA を引き続き使用できますが、SSI の代わりに新しいトークンベースのオープンな標準である Open Authorization 2.0 (OAuth 2.0) を使用します。Office 2013 を含む Office で使用できる認証プロトコルの概要については、次の表を参照してください。

Office の認証プロトコル

クライアント Office バージョン 認証プロトコル サーバー

Office 2010、Office 2013

フォーム ベース認証 (FBA)。フォーム ベース認証では、クライアント側のリダイレクトを使用して、認証されていないユーザーを HTML フォームに転送します。ユーザーは、このフォームで各自の資格情報を入力できます。資格情報が検証された後、ユーザーは要求したリソースにリダイレクトされます。

SharePoint Online

Office 2010、Office 2013

Windows 統合認証 (WIA)。Kerberos プロトコルや NTLM と同様にネゴシエートされます。このシナリオでは、オペレーティング システムによって認証が行われます。

SharePoint 2010、SharePoint 2013

Office 2010、Office 2013

SSI (Passport Tweener) 認証。ユーザーが Windows Live ID 資格情報または Microsoft アカウントを入力すると、Windows Live ID サービスによって Passport "チケット" が返されます。クライアントは、このチケットを使用して Windows Live サービスにアクセスします。

OneDrive

Office 2013

Open Authorization 2.0 (OAuth 2.0)。OAuth 2.0 は、リダイレクトベースの一時的な認証を提供します。ユーザーまたはユーザーの代理として動作する Web アプリケーションは、指定されたネットワーク リソースへの一時的なアクセス承認をリソース所有者に要求できます。詳細については、OAuth 2.0に関するページを参照してください。

OneDrive

Office 2013

Microsoft Online Services サインイン アシスタント。Microsoft Online Services サインイン アシスタントは、Office 365 などの Microsoft Online Services に対してエンドユーザー サインイン機能を提供します。IT 担当者向けの Microsoft Online Services サインイン アシスタントの詳細については、「IT プロフェッショナル用 Microsoft Online Services サインイン アシスタント RTW」を参照してください。このダウンロードは、System Center 構成マネージャー (SCCM) などのソフトウェア配布システムを使用して、Office 365 クライアント展開の一環として管理クライアント システムに配布するためのものです。

Office 365 サービス (SharePoint Online 2013、Excel Online 2013、および Lync Online 2013 用)

ユーザーが Office 2013 にサインインする場合、Microsoft アカウントおよびマイクロソフトによって割り当てられた組織 ID という 2 種類のログオンがサポートされています。

Microsoft アカウント (ユーザーの個人アカウント)。以前 Microsoft ID と呼ばれていたこのアカウントは、ユーザーが Microsoft のネットワークで認証されるために使用する資格情報であり、ボランティア作業などの個人的な作業やビジネス以外の作業でよく使用するアカウントです。Microsoft アカウントを作成する場合、ユーザーは、ユーザー名、パスワード、特定の人口統計に関する情報、および代替電子メール アドレスや電話番号などの「アカウントを証明する情報」を入力します。新しい Microsoft アカウントの詳細については、「Microsoft アカウントとは」を参照してください。

マイクロソフトによって割り当てられた組織 ID/マイクロソフトによって割り当てられた Office 365 アカウント ID。このアカウントは、ビジネスで使用するために作成します。Office 365 アカウントには、純粋な Office 365 ID、Active Directory ID、または Active Directory フェデレーション サービス ID の 3 種類があります。次に、これらについて説明します。

  • Office 365 ID。 この ID は、管理者が Office 365 ドメインをセットアップするときに作成され、<ユーザー>@<組織>.onmicrosoft.com の形式です。次に、例を示します。

    sally@contoso.onmicrosoft.com

  • マイクロソフトによって割り当てられ、ユーザーの Active Directory ID に対して検証される組織 ID。組織 ID は、マイクロソフトによって割り当てられ、次のように Active Directory に対して検証されます。

    1. 最初に、[社内ドメイン]\<ユーザー> アカウントを持つユーザーが、組織のリソースへのアクセスを試みます。

    2. 次に、リソースによってユーザーに対する認証が要求されます。

    3. その後、ユーザーは組織のユーザー名とパスワードを入力します。

    4. 最後に、そのユーザー名とパスワードが組織の AD データベースに対して検証され、ユーザーが認証されて、要求したリソースへのアクセス権が付与されます。

  • マイクロソフトによって割り当てられ、ユーザーの Active Directory フェデレーション サービス ID に対して検証される組織 ID。組織 ID は、マイクロソフトによって割り当てられ、次のように Active Directory フェデレーション サービス (ADFS) に対して検証されます。

    1. 最初に、<組織>.onmicrosoft.com のアカウントを持つユーザーが、パートナー組織リソースへのアクセスを試みます。

    2. リソースによってユーザーに対する認証が要求されます。

    3. 次に、ユーザーは組織のユーザー名とパスワードを入力します。

    4. このユーザー名とパスワードが組織の AD データベースに対して検証されます。

    5. 最後に、その同じユーザー名とパスワードがパートナーのフェデレーション AD データベースに渡され、ユーザーが認証されて、要求したリソースへのアクセス権が付与されます。

Office 2013 では、社内リソースに対しては <ドメイン>\<エイリアス> の形式のユーザー名が認証に使用されます。また、Office 2013 では、フェデレーション リソースに対しては <エイリアス>@<組織>.onmicrosoft.com の形式のユーザー名が認証に使用されます。

既定で、Office 2013 には、ユーザーが Office 2013 リソースへのアクセスを試みる場合にユーザーの Microsoft アカウント ID とマイクロソフトによって割り当てられた組織 ID を表示するように設定されたレジストリ キーが含まれています。コンピューターのレジストリで、Microsoft アカウントのみ表示、組織 ID のみ表示、またはどちらも表示しないように設定を変更できます。

ユーザーに表示する Office 2013 のログオンの種類を変更する

  1. レジストリ エディターで次のパスへ移動します。

    HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\SignIn\SignInOptions

  2. SignInOptions の値を次の表のいずれかの値に設定します。SignInOptions 設定の種類は、DWORD です。

    SignInOptions の設定

    SignInOptions の設定値 設定値の意味 ユーザーに与える影響

    0

    Microsoft アカウントまたは組織 ID

    ユーザーは、Microsoft アカウントまたは組織によって割り当てられたアカウントを使用してサインインし、Office コンテンツにアクセスできます。

    1

    Microsoft アカウントのみ

    ユーザーは Microsoft アカウントでのみサインインできます。

    2

    組織のみ

    ユーザーは組織によって割り当てられたユーザー ID でのみサインインできます。この ID としては、Azure Active Directory 内のユーザー ID または Windows Server 上の Active Directory ドメイン サービス (AD DS) のユーザー ID のいずれかを指定できます。

    3

    AD DS のみ

    ユーザーは、Windows Server 上の Active Directory ドメイン サービス (AD DS) のユーザー ID でのみサインインできます。

    4

    どちらも許可しない

    ユーザーはどの ID でもサインインできません。

    [Office へのサインインをブロックする] 設定を無効にするか、構成しない場合、既定の設定は 0 です。この場合、ユーザーは、Microsoft アカウントまたは組織によって割り当てられたアカウントでサインインできます。

既定で、Office 2013 では、インターネット上の Office 2013 ファイルに対するアクセス権がユーザーに付与されています。この設定を変更して、ユーザーがこれらのリソースを表示することを禁止できます。

ユーザーが Office 2013 インターネット リソースに接続することを許可または禁止する

  1. レジストリ エディターで次のパスへ移動します。

    Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Internet\UseOnlineContent

  2. UseOnlineContent の値を次のいずれかに設定します。

    Office 2013 の UseOnlineContent の値

    UseOnlineContent の値 値の種類 説明

    0

    DWORD

    ユーザーがインターネット上の Office 2013 リソースにアクセスすることを禁止します。

    1

    DWORD

    ユーザーがインターネット上の Office 2013 リソースにアクセスできるかどうかを自身で選択できるようにします。

    2

    DWORD

    (既定) ユーザーがインターネット上の Office 2013 リソースにアクセスすることを許可します。

ユーザーが Microsoft アカウント ID または各自の組織 ID を使用して Office アプリにログインすると、その ID に対応する Office プロファイルおよび資格情報 がレジストリに作成されます。ログオン ページのユーザーのアバターまたは写真および名前の近くの [<ユーザー名> さんでない場合はこちら] のリンクの下にその ID を削除するオプションが表示されます。ユーザーがいずれかの ID の削除を選択すると、その ID がログオン ページから削除されます。ただし、その ID に対応する Office プロファイルおよび資格情報は、実際にはしばらくの間キャッシュに残ります。このことがセキュリティ上問題である場合、たとえばユーザーが組織から解雇されたような場合、レジストリからその Office プロファイル設定をすぐに削除する必要があります。これを行うには、レジストリでそのユーザーの Office プロファイルに移動して、削除します。

まだキャッシュされている可能性がある Office プロファイルを削除する

  1. レジストリ エディターで次のパスへ移動します。

    HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Identity\Identities

  2. 削除する Officeプロファイルを選択して、[削除] をクリックします。

  3. Identity ハイブで、Profiles ノードに移動して、同じ ID を選択します。(右クリックして) ショートカット メニューを開き、[削除] をクリックします。

表示: