このデバイスではどこでもこのアカウントを使用する

Last Update: feedback 共有

こんにちは。 Azure Identity サポートの谷です。

Windows 10 デバイスで Office のライセンス認証時やサインインが求められる際に表示される “このデバイスではどこでもこのアカウントを使用する” 下記画面について、お問い合わせを多くいただいています。
この画面の動作および制御方法について、本記事ではお纏めいたしました。

なぜ表示されるのか?

Windows 10 の 1703 (Build 15063.138) 以後のバージョンにて Office のバージョン 16.0.7967 以後のバージョンを利用する場合、Office は Web Account Manager (WAM) と呼ばれる認証方式を利用します。
ダイアログ メッセージは この WAM と呼ばれる認証フレームワークを使用され、 Office クライアントを使用する際に資格情報を入力した最後のタイミングで Azure AD にデバイスを登録するかを求める動作により表示されています。
同画面で [はい] をクリックすると、Azure AD へのデバイス登録が行われます。
デバイスを登録したくない場合には、左下の「このアプリのみ」を選択してください。
“組織がデバイスを管理できるようにする” のオプションは Intune を利用している環境で有効とした場合に、Azure AD / Intune 両方にデバイスが登録される動作となります。

表示させたくない場合

各 OS 毎でレジストリを追加することで制御することが可能です。
Windows 10 のバージョン毎で対応が異なりますので、運用いただいているデバイスのバージョンを確認し、それぞれ対応してください。

Windows 10 のバージョンが 1809 以降の場合

Windows 10 のバージョンが 1809 以降の場合、既に KB4489894 の更新内容が含まれておりますので、以下のレジストリ キー値を設定し、再起動することで Azure AD Registered 状態にならない様に構成することが可能です。

<設定が必要なレジストリ キー>
レジストリ キーパス : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin
レジストリ名 : BlockAADWorkplaceJoin
形式 : DWORD
値 : 00000001

Windows 10 のバージョンが 1803 の場合

Windows 10 1803 では上述のレジストリ設定に加え、下記の更新プログラムの適用が必要です。
仮に既に KB4489894 以降の更新プログラムを適用している場合、レジストリの設定、および再起動のみでご要望を満たすことが可能です。

<対象の更新プログラム>
March 19, 2019 - KB4489894 (OS Build 17134.677)
https://support.microsoft.com/en-us/help/4489894/windows-10-update-kb4489894

<グループ ポリシーで配布する場合>
上述の BlockAADWorkplaceJoin レジストリ値を 0x1 として設定するグループポリシーに関して、下記の手順をご紹介いたします。

  1. グループ ポリシーの管理画面より対象クライアント コンピューターに適用させる前提の GPO の編集画面を表示します。
  2. 以下のポリシーを展開します。
    コンピューターの構成
    • 基本設定
      – Windows の設定
      — レジストリ
  3. 上記 [レジストリ] を右クリックし [新規作成] - [レジストリ項目] を選択します。
  4. 下記のように設定を追加します。
    アクション : 更新
    ハイブ : HKEY_LOCAL_MACHINE
    キーのパス : SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin
    値の名前 : BlockAADWorkplaceJoin
    値の種類 : REG_DWORD
    値のデータ : 00000001

上記の設定をポリシーで配布することでクライアントに目的のレジストリ値が反映するかご確認いただけますと幸いです。

すでに意図せず登録してしまったデバイスの削除方法

  1. 通常クライアント PC を利用するユーザーで Windows にログオンします。
  2. [スタート] - [設定] (歯車のマーク) - [アカウント] - [職場または学校にアクセスする] を開きます。
  3. 以下のように、[職場または学校アカウント] のエントリが存在する場合、エントリを選択し、[切断] をクリックします。
  4. ポップアップが表示されますので、[はい] をクリックします。
  5. 職場または学校にアクセスするの画面にて”職場または学校アカウント” の情報が消えれば、削除が完了します。

良くご質問いただく内容

Q. 登録済みのデバイスを Azure ポータルから管理者の操作のみで削除可能か?

A. Azure AD 上からデバイスの削除を行うことは可能ですが、対象のデバイスで上述の削除方法を実施しない場合には下記の問題が発生します。
そのため、デバイス側で手動で削除を実施するようにしてください。
エラーコード 700003 の対処策について
https://jpazureid.github.io/blog/azure-active-directory/what-to-do-errorcode-700003/

Q. Azure AD にデバイスが登録されたまま放置しても問題ないか?

A. デバイスの管理方法の変更が組織で行われない限り、特別問題が生じることはありません。
組織にてデバイスの管理を Hybrid Azure AD Join 構成に変更を行った場合に、Azure AD Registerd と Hybrid Azure AD Join の状態の 2 つのデバイスが Azure AD に重複登録されてしまう可能性があります。
構成変更をする場合には、予め下記をご参照ください。

Azure AD 登録状態のデバイスの処理
https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-azuread-join-plan#handling-devices-with-azure-ad-registered-state

Q. “このデバイスではどこでもこのアカウントを使用する” のメッセージはどのタイミングで表示されるのか?

A. 上述させていただきましたとおり、Office 365 インストール時や Teams 、Outlook などの Office 製品での認証時に表示されます。

Q. “このデバイスではどこでもこのアカウントを使用する” のメッセージを非表示にするように制御した場合の影響は?

A. WAM による Azure AD へのデバイス登録が行われなくなるだけで、Windows 10 、Office 製品、Azure AD の利用上に制限や動作影響等は特にありません。

Q. Azure AD でのデバイス管理方法について

A. 本記事のメッセージを契機に Azure AD でのデバイス管理方法についてご質問を多くいただきます。
弊社製品開発チームにて開催させていただいている Webinar にてご紹介させていただいておりますので、参考にしていただければ幸いです。
https://github.com/yusukekodama/PMActivities/blob/master/Webinar/Schedule.md#%E9%80%A3%E7%B5%A1%E4%BA%8B%E9%A0%85

関連する回としては下記となります。

  • COVID-19 でリモート対応に成功した企業と失敗した企業の違いとは?
  • Azure AD の新しいデバイス管理パターンを理解しよう
  • Intune によるモバイルデバイスとアプリのセキュアな管理とは

※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。