Microsoft 組織がデバイスを管理できるようにする

Q: Microsoftアカウント デバイス削除するとどうなる？

マイクロソフトアカウントを削除すると、サインインができなくなりデータの共有等の機能が全て使用できなくなります。 紐づけているデバイスをデバイスページから確認し、デバイスの削除を行います。 引き続きお互いに紐づけていく場合は別のマイクロソフトアカウントへの切り替えを行います。

この機能に対応しているエディション: Frontline、Business Plus、Enterprise、Education Standard、Education Plus、Cloud Identity Premium。エディションの比較

目次 Show

ステップ 1: Windows の設定を確認する
ステップ 2: Windows デバイス管理を有効にする
次のステップ
なぜ表示されるのか？
表示させたくない場合
Windows 10 のバージョンが 1809 以降の場合
Windows 10 のバージョンが 1803 の場合
すでに意図せず登録してしまったデバイスの削除方法
良くご質問いただく内容
Q. 登録済みのデバイスを Azure ポータルから管理者の操作のみで削除可能か？
Q. “このデバイスではどこでもこのアカウントを使用する” のメッセージはどのタイミングで表示されるのか？
Q. “このデバイスではどこでもこのアカウントを使用する” のメッセージを非表示にするように制御した場合の影響は?
マイクロソフトのデバイス登録方法は？
マイクロソフトのデバイス確認方法は？
Microsoftアカウントのデバイス台数は？
Microsoftアカウントデバイス削除するとどうなる？

Microsoft Windows 10 デバイスの設定を Google エンドポイント管理で管理するには、Windows デバイス管理を有効にする必要があります（デフォルトでは無効になっています）。スタンドアロンモードを使用するか、Windows 用 Google 認証情報プロバイダ（GCPW）を使用するかにかかわらず、Windows デバイス管理を有効にしてください。

ステップ 1: Windows の設定を確認する

Windows デバイス管理を有効にすると、Google 管理コンソールの Windows 設定が組織の Windows 10 デバイスに適用されます。まずこれらの設定を確認、編集することをおすすめします。詳しくは、Windows 10 デバイスに設定を適用するをご覧ください。

ステップ 2: Windows デバイス管理を有効にする

開始する前に: 特定のユーザーに設定を適用するには、対象のユーザーのアカウントを組織部門に追加します。

[Windows 管理の設定] をクリックします。
全ユーザーに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
[Windows デバイス管理] の横にある [有効] を選択します。
[保存] をクリックします。子組織部門を設定した場合は、親組織部門の設定を継承またはオーバーライドできる場合があります。

次のステップ

ユーザーのデバイスに GCPW をインストールし、自動登録を有効にしている場合、それらのデバイスは自動的に Windows デバイス管理に登録され、次回の同期時に設定が適用されます。設定手順を確認し、設定が完了していることを確認します。
ユーザーのデバイスに GCPW をインストールしない場合は、デバイスを手動で登録する必要があります。詳しくは、Windows 10 デバイスの登録に関する記事をご覧ください。

Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。

この情報は役に立ちましたか？

改善できる点がありましたらお聞かせください。

こんにちは。 Azure Identity サポートの谷です。

Windows 10 デバイスで Office のライセンス認証時やサインインが求められる際に表示される “このデバイスではどこでもこのアカウントを使用する” 下記画面について、お問い合わせを多くいただいています。
この画面の動作および制御方法について、本記事ではお纏めいたしました。

重要

メッセージが変更されています。最新では下記のメッセージとなります。

すべてのアプリにサインインしたままにする

お客様のアカウントは Windows に記憶され、このデバイスではアプリや Web サイトに自動的にサインインするようになります。デバイスの一部の設定を組織で管理する必要があります。

なぜ表示されるのか？

Windows 10 の 1703 (Build 15063.138) 以後のバージョンにて Office のバージョン 16.0.7967 以後のバージョンを利用する場合、Office は Web Account Manager (WAM) と呼ばれる認証方式を利用します。
ダイアログメッセージはこの WAM と呼ばれる認証フレームワークを使用され、 Office クライアントを使用する際に資格情報を入力した最後のタイミングで Azure AD にデバイスを登録するかを求める動作により表示されています。
同画面で [はい] をクリックすると、Azure AD へのデバイス登録が行われます。
デバイスを登録したくない場合には、左下の「このアプリのみ」を選択してください。
“組織がデバイスを管理できるようにする” のオプションは Intune を利用している環境で有効とした場合に、Azure AD / Intune 両方にデバイスが登録される動作となります。

表示させたくない場合

各 OS 毎でレジストリを追加することで制御することが可能です。
Windows 10 のバージョン毎で対応が異なりますので、運用いただいているデバイスのバージョンを確認し、それぞれ対応してください。

Windows 10 のバージョンが 1809 以降の場合

Windows 10 のバージョンが 1809 以降の場合、既に KB4489894 の更新内容が含まれておりますので、以下のレジストリキー値を設定し、再起動することで Azure AD Registered 状態にならない様に構成することが可能です。

<設定が必要なレジストリキー>
レジストリキーパス : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin
レジストリ名 : BlockAADWorkplaceJoin
形式 : DWORD
値 : 00000001

Windows 10 のバージョンが 1803 の場合

Windows 10 1803 では上述のレジストリ設定に加え、下記の更新プログラムの適用が必要です。
仮に既に KB4489894 以降の更新プログラムを適用している場合、レジストリの設定、および再起動のみでご要望を満たすことが可能です。

<対象の更新プログラム>
March 19, 2019 - KB4489894 (OS Build 17134.677)
https://support.microsoft.com/en-us/help/4489894/windows-10-update-kb4489894

<グループポリシーで配布する場合>
上述の BlockAADWorkplaceJoin レジストリ値を 0x1 として設定するグループポリシーに関して、下記の手順をご紹介いたします。

グループポリシーの管理画面より対象クライアントコンピューターに適用させる前提の GPO の編集画面を表示します。
以下のポリシーを展開します。
コンピューターの構成
- 基本設定
- - Windows の設定
- – レジストリ
上記 [レジストリ] を右クリックし [新規作成] - [レジストリ項目] を選択します。
下記のように設定を追加します。
アクション : 更新
ハイブ : HKEY_LOCAL_MACHINE
キーのパス : SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin
値の名前 : BlockAADWorkplaceJoin
値の種類 : REG_DWORD
値のデータ : 00000001

上記の設定をポリシーで配布することでクライアントに目的のレジストリ値が反映するかご確認いただけますと幸いです。

すでに意図せず登録してしまったデバイスの削除方法

通常クライアント PC を利用するユーザーで Windows にログオンします。
[スタート] - [設定] (歯車のマーク) - [アカウント] - [職場または学校にアクセスする] を開きます。
以下のように、[職場または学校アカウント] のエントリが存在する場合、エントリを選択し、[切断] をクリックします。
ポップアップが表示されますので、[はい] をクリックします。
職場または学校にアクセスするの画面にて”職場または学校アカウント” の情報が消えれば、削除が完了します。

良くご質問いただく内容

Q. 登録済みのデバイスを Azure ポータルから管理者の操作のみで削除可能か？

A. Azure AD 上からデバイスの削除を行うことは可能ですが、対象のデバイスで上述の削除方法を実施しない場合には下記の問題が発生します。
そのため、デバイス側で手動で削除を実施するようにしてください。
エラーコード 700003 の対処策について
https://jpazureid.github.io/blog/azure-active-directory/what-to-do-errorcode-700003/

A. デバイスの管理方法の変更が組織で行われない限り、特別問題が生じることはありません。
組織にてデバイスの管理を Hybrid Azure AD Join 構成に変更を行った場合に、Azure AD Registerd と Hybrid Azure AD Join の状態の 2 つのデバイスが Azure AD に重複登録されてしまう可能性があります。
構成変更をする場合には、予め下記をご参照ください。

Azure AD 登録状態のデバイスの処理
https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-azuread-join-plan#handling-devices-with-azure-ad-registered-state

Q. “このデバイスではどこでもこのアカウントを使用する” のメッセージはどのタイミングで表示されるのか？

A. 上述させていただきましたとおり、Office 365 インストール時や Teams 、Outlook などの Office 製品での認証時に表示されます。

Q. “このデバイスではどこでもこのアカウントを使用する” のメッセージを非表示にするように制御した場合の影響は?

A. WAM による Azure AD へのデバイス登録が行われなくなるだけで、Windows 10 、Office 製品、Azure AD の利用上に制限や動作影響等は特にありません。

A. 本記事のメッセージを契機に Azure AD でのデバイス管理方法についてご質問を多くいただきます。
弊社製品開発チームにて開催させていただいている Webinar にてご紹介させていただいておりますので、参考にしていただければ幸いです。
https://github.com/yusukekodama/PMActivities/blob/master/Webinar/Schedule.md#%E9%80%A3%E7%B5%A1%E4%BA%8B%E9%A0%85

関連する回としては下記となります。