Microsoft 365 ライセンスのあるアカウント(組織アカウント)でさまざまなアプリにサインインする際に、以下のようなメッセージを目にしたことがあるでしょう。
この記事では、このメッセージは何のために表示されるのか、またどのような選択をするとどのような結果になるのか、解説します。
「すべてのデスクトップ アプリと Web サイトに自動的にサインイン」とは
「すべてのデスクトップ アプリと Web サイトに自動的にサインイン」と書かれているのでかえって分かりにくいのですが、これは要するにデバイス(Windows PC)を Entra ID 登録するかどうか聞いています。
「Entra ID 登録」とは、デバイスを組織(Microsoft 365 のテナント)の Entra ID ディレクトリに登録し、また登録したテナントへの(サインインしたユーザーの)資格情報をデバイスに記憶することで、そのデバイスからの Microsoft 365 を始めとするクラウド リソースへのシングル サイン オン(SSO)を可能にする仕組みです。また Entra ID の条件付きアクセスと組み合わせると、Entra ID 登録(または Entra ID 参加)していないデバイスからのみ Microsoft 365 へのアクセスを許可することも可能です。
Entra ID 登録と Entra ID 参加については、以下を参照してください。
- Microsoft Entra 登録済みデバイスとは – Microsoft Entra ID | Microsoft Learn
- Microsoft Entra 参加済みデバイスとは何ですか? – Microsoft Entra ID | Microsoft Learn
Entra ID アカウントでアプリやサービスにサインインするということは、そのユーザーは同じような(Microsoft 365 などの)クラウド リソースへのアクセスを繰り返し行うことが想定されるので、Entra ID 登録を行って SSO を可能にすることは利便性を高くします。そのため、このタイミングでダイアログを表示し、 Entra ID 登録が行えるようになっています。
このダイアログで [はい、すべてのアプリ] をクリックすると Entra ID 登録が行われ、以降はサインインした Entra ID アカウントで Microsoft 365 への SSO が行えます。[いいえ、このアプリのみです] をクリックすると Entra ID 登録は行われません。
Entra ID 登録されたデバイスは、(Entra ID 参加しているデバイスとともに)Entra ID 管理センターで確認することができます。
なお、Entra ID 登録は、Entra ID 登録と異なり、1つのデバイスで3つまでのテナントに同時に登録できます。
「組織がデバイスを管理できるようにする」とは
このダイアログには「組織がデバイスを管理できるようにする」というチェックボックスが表示されていることがあり、その場合はチェックは既定でオンになっています。この「組織がデバイスを管理できるようにする」とは、Entra ID 登録と同時に Intune にデバイスを登録するかどうかの設定です。「組織がデバイスを管理できるようにする」にチェックを入れて [はい、すべてのアプリ] をクリックすると、デバイスは Entra ID に登録されるだけでなく、そのテナントの Intune にも登録され、Intune による MDM の対象となります。
そのためこのチェックボックスは、テナントに Intune ライセンスがあり、かつサインインするユーザーが Intune の自動登録の対象となっている場合に表示されます。(自動登録は管理者が構成する必要があります)
Intune とデバイスの自動登録については、以下を参照してください。
- Microsoft Intune とは – Microsoft Intune | Microsoft Learn
- Windows の MDM 自動登録を有効にする – Microsoft Intune | Microsoft Learn
なお、テナントに Intune が無い場合や、自動登録の対象外の場合は以下のような「組織がデバイスを管理できるようにする」の無い画面が表示されます。
Entra ID 参加の解除
Entra ID 参加は Microsoft 365 への SSO が行えて便利ですが、何等かの理由で参加を解除したい場合があります。この場合は、デバイス側で登録を解除してください。
※ Entra ID 管理センターでデバイスを削除することができますが、これは Entra ID 内の情報が削除されるだけで、デバイス側の「登録済み」といいう情報は削除されません。そのためデバイスから Microsoft 365 にアクセスすると、状態の不整合が発生してエラーになります。
Entra ID 登録のデバイスでの解除は、以下の手順で行います(Windows 11 の場合)。
- [スタート] – [設定] – [アカウント] を開きます。
- [職場または学校へのアクセス] をクリックします。
- [職場または学校アカウント] として Entra IDアカウントが表示されているので、選択して [切断] をクリックします。
- 確認メッセージで [はい] をクリックします。
「すべてのデスクトップ アプリと Web サイトに自動的にサインイン」を表示させない
意図せず、あるいはうっかり Entra ID 登録しないように、このダイアログを表示させたくない場合は、以下のレジストリ値を構成します。
- キー:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin
- 名前:BlockAADWorkplaceJoin
- 種類:REG_DWORD
- データ:1
このレジストリをデバイスで手動で設定するか、グループ ポリシーによるレジストリ値の配布で設定すると、Entra ID でアプリなどにサインインする場合に「すべてのデスクトップ アプリと Web サイトに自動的にサインイン」のダイアログは表示されなくなります。また他の方法([設定] の [アカウント] – [職場または学校へのアクセス] から)での Entra ID 登録も行えなくなります。
この記事を書いた人
