アカウント:Microsoft アカウントをブロックする

[アカウント:Microsoft アカウントをブロックする] セキュリティ ポリシー設定のベスト プラクティス、場所、値、管理、およびセキュリティに関する考慮事項について説明します。

参考

このポリシー設定では、ユーザーがデバイスに新しい Microsoft アカウントを追加できなくなります。

[ユーザーは Microsoft アカウントを追加できない] 設定オプションをクリックした場合、ユーザーは、コンピューター上に新しい Microsoft アカウントの作成、ローカル アカウントから Microsoft アカウントへの切り替え、またはドメイン アカウントの Microsoft アカウントへの接続ができなくなります。これは、エンタープライズ内の Microsoft アカウントの利用を制限する必要がある場合に推奨される方法です。

[ユーザーは Microsoft アカウントを追加または Microsoft アカウントでログオンできない] 設定オプションをクリックした場合、既存の Microsoft アカウント ユーザーが Windows にログオンできなくなります。このオプションを選択すると、既存の管理者がコンピューターにログオンしてシステムを管理できなくなる可能性があります。

このポリシー設定を無効にした場合、または構成しなかった場合 (推奨)、ユーザーは Windows で Microsoft アカウントを使用できるようになります。

設定可能な値

• このポリシーは無効です

• ユーザーは Microsoft アカウントを追加できません

• ユーザーは Microsoft アカウントを追加または Microsoft アカウントでログオンすることはできません

既定ではこの設定は、ドメイン コント ローラー上では未定義、スタンドアロン サーバー上では無効です。

ベスト プラクティス

• このポリシー設定を無効にしたり、クライアント コンピューターで構成しなかった場合、ユーザーは Windows へのサインイン セッションに、Microsoft アカウント、ローカル アカウントまたはドメイン アカウントを使用できます。ユーザーはローカルまたはドメイン アカウントを Microsoft アカウントに接続することもできます。これは、ユーザーに便利なオプションを提供します。

• 組織内で Microsoft アカウントの使用の制限が必要な場合、[ユーザーは Microsoft アカウントを追加できない] 設定オプションをクリックすると、ユーザーは、コンピューター上に新しい Microsoft アカウントの作成、ローカル アカウントから Microsoft アカウントへの切り替え、またはドメイン アカウントの Microsoft アカウントへの接続ができなくなります。

場所

コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション

既定値

次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。

ポリシー管理

このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。

再起動の必要性

なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。

セキュリティに関する考慮事項

このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。

脆弱性

Microsoft アカウントはパスワードで保護されていますが、社外でのより大きな漏えいの可能性もあります。また、Microsoft アカウントの所有者が簡単に識別できない場合、監査およびフォレンジクスが難しくなります。

対策

Microsoft アカウントの使用を制限することで、エンタープライズ内のドメイン アカウントのみが必要になります。[ユーザーは Microsoft アカウントを追加できない] 設定オプションをクリックした場合、ユーザーは、デバイス上に新しい Microsoft アカウントの作成、ローカル アカウントから Microsoft アカウントへの切り替え、またはドメイン アカウントの Microsoft アカウントへの接続ができなくなります。

考えられる影響

組織内のアカウントのより細かな制御を確立することにより、パスワードのリセット中の手順を含めた、より安全な管理機能を提供します。

関連トピック

セキュリティ オプション