Windows 10 のアカウントについて

Windows 10 Microsoftアカウント ローカルアカウント ADアカウント Azure ADアカウント

この記事は何?

Windows 8 以降、Microsoftクラウドサービス展開に伴い、個人利用でも Microsoft アカウントの利用が推奨されるようになっていますが、これに対してどうするのがよいのかを考えたものです。
整理のため、法人用のアカウントについても言及します。
なお、家族アカウントとWindows 11 は、考慮の対象外です。
サービスに関する用語は作成時点(2022-03-04)のもの、OSのメニュー等はVersion 20H2のものです。
2022-03-14に「Microsoftアカウントのメリット・デメリット」を追記しましたが、結論は変わりません。

Windows 10 で利用可能なアカウントの種類はいくつか?

エディションや対象読者の想定の違いにより、2種類、3種類、5種類といろいろな数え方がありますが、とりあえず、個人向けか法人向けかと、Microsoftクラウドサービスを利用するアカウントか否かの2軸で4種類に分けて理解するのがよいと思います。個人として悩むのは、ローカルアカウントか、Microsoftアカウントか、だけです。

アカウントの種類 対象 MSのクラウド 主な用途(サービスの例) 利用可能なエディション
ローカルアカウント 個人 関係なし ローカルPCの利用 Home, Pro, Enterprise
Microsoftアカウント 個人 利用可能 個人としてのMSのクラウドサービスの利用
(Outlook, OneDrive, Microsoft 365, Xbox LIVE, Microsoft Store)		 Home, Pro, Enterprise
Active Directory
(AD)アカウント		 法人 関係なし 法人組織のネットワークリソースの利用
(ファイルサーバ、共有プリンタ、業務アプリケーション)		 Pro, Enterprise
Azure Active Directory
(Azure AD)アカウント		 法人 利用可能 法人としてMSのクラウドサービスの利用
(Outlook, Teams, Azure, VLSC, Microsoft 365, Windows 365, Intune)		 Pro, Enterprise
余談Microsoftボリュームライセンス(組織向けのライセンス)は電子化に伴い、メールアドレスの紐づけが必要になっていましたが、このときにMicrosoftアカウント(旧Windows Live ID)に紐づけられていました。また、組織のライセンス管理なので、組織のメールアドレスを使っていたことがほとんどだと思われます。ある時点より、ライセンス管理にMicrosoftアカウントは使えなくなり、Azure ADアカウントへの移行する必要がありました。

今利用しているアカウントが何かは「設定>アカウント」の「ユーザーの情報」でわかります。

ローカルアカウントの場合 ユーザー名の下に「ローカルアカウント」と表示
Microsoftアカウントの場合 ユーザー名の下にメールアドレスが表示

それぞれの認証先はどこか?

認証先、別名及びアカウントの例を整理しておきます。この整理から、Googleアカウントとは異なり、Microsoftアカウントを作成する際には、Azure ADアカウントとの取り違えを避けるため、所属組織のメールアドレスを使うべきでないことが分かります。もちろん、所属組織のアカウント管理が、Azure ADに移行済みであれば、所属組織のメールアドレスをMicrosoftアカウントとして登録することはできません。

アカウントの種類 別名 認証先 アカウントの例
ローカルアカウント オフラインアカウント ローカルPC 任意、漢字も使える
Microsoftアカウント 個人のアカウント Microsoft ~@live.jp, ~@outlook.jp の他、登録したメールアドレス
ADアカウント ドメインアカウント 法人組織のドメインコントローラ(DC) 姓名のローマ字や社員番号等、組織のアカウント発行ルールに基づく
Azure ADアカウント 組織アカウント、職場または学校アカウント Microsoft ~@example.com, ~@example.co.jp など所属組織のメールアドレス

オフライン等で認証先に接続できない場合、ADアカウントの場合は認証のキャッシュが使われます(キャッシュログイン)。この認証キャッシュは、ドメイン管理者が別途設定してなければ、有効期限はありません(デフォルトでは10アカウント分の履歴があるらしいです)。Azure ADアカウントも結局ADなので、同様に認証のキャッシュが使われるのだと思います。Microsoftアカウントはオフラインでログインできることは確認したのですが、認証のキャッシュの仕様についての資料は探せませんでした。また、オフラインでも正しくオフライン(「接続できません」と表示されている状態?)でないと、キャッシュログインできないかもしれません。

Microsoftクラウドサービス利用時に下図のようにサインインの選択画面がでることがありますが、ここでいう「職場アカウント」が、Azure AD アカウントです。

f:id:pipin68k:20220304064127p:plain
サインインの選択

昔は『「職場または学校アカウント(IT部署が作成)」か「個人のアカウント(お客様が作成)」を選択してください』となっていて、大変わかりにくかったのですが、若干わかりやすくなりました。Microsoft側もこの問題は認識していて、以下の解説があります。

#AzureAD と Microsoft アカウントの重複問題に対する取り組み | Microsoft Docs

Microsoftアカウントのメリット・デメリット

(※ 2022-03-14追記)

Microsoftアカウントのメリットは、下記リンク先に説明によれば以下の2つです。あと「Microsoftアカウントでのサインインに切り替える」というメニューが消えるのもメリットですね。

  • クラウトサービスの利用
  • アカウントの一元管理

Microsoft アカウントとは

しかし、クラウドサービスの利用は、ローカルアカウントでもブラウザから可能で、認証情報も覚えさせれば再入力の必要はありません。アカウントは、個人で使う場合はいいとこ常用する2~3台について、アカウントを統一しておけば、似た状況にはできます。

デメリットは、利用状況を常に Microsoftに把握されるというのが一つと、もう一つは「オンラインでの認証トラブル、オフラインでの認証トラブル」です。特にオフラインでの認証はろくな説明がないことも相まって不安を掻き立ててくれます。

Microsoftドメイン下で類する情報を探すとオンライン時のトラブルについては「Microsoftアカウントにサインインできない時の対処法」という記事が見つかりますが、執筆者がボランティアモデレーター(Microsoftの社員でない)というのはどうかと思います(もちろん、Microsoft側の姿勢が問題という意味で、この執筆者や記事に瑕疵があるということではありません)。

https://answers.microsoft.com/ja-jp/outlook_com/forum/all/microsoft%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3/4609091d-5d56-4eca-b635-1a4b0af57fb0?ocid=OO_Core_NEU_GetHelp_DG_GetHelp_Solutions

オフライン時のトラブルについての記載があるのを見つけた数少ない記事が以下のNEC富士通のものです。

NEC LAVIE公式サイト > サービス&サポート > Q&A > Q&A番号 019772

富士通Q&A - [Windows 10] Microsoft アカウントでサインインするときに「デバイスはオフラインです。このデバイスで最後に使ったパスワードでサインインしてください。」と表示されます。 - FMVサポート : 富士通パソコン

Azure ADへの参加(joined)と登録(registered)

私物端末の業務利用(BYOD)のケースがあるので、AzureADについても触れておきます。
Azure ADについては、利用の形態により、Azure AD登録、Azure AD参加、ハイブリッドAzure AD参加、があります。
参加(joined)は、当該ドメインの管理下にPCを所属させることで、そのドメインのポリシーが適用されます。よって、ADへの参加と、Azure ADへの参加は排他です。
登録(registered)は、サービス利用のための登録ですが、ポリシーを適用することもできるようです。

よって、おおむね想定される Azure AD の利用パターンは下表のとおりです。Azure ADアカウントの利用においては、Microsoftアカウントとローカルアカウントに差異はないものと思われます。

PCの所有者 PCへのログイン クラウド利用
個人(BYOD) ローカルアカウント Azure ADアカウント情報を登録して、法人用クラウドを利用(Azure AD登録)
個人(BYOD) Microsoftアカウント Azure ADアカウント情報を登録して、法人用クラウドを利用(Azure AD登録)
法人 ADアカウント Azure ADアカウント情報を登録して、法人用クラウドを利用(Azure AD登録)
法人 ADアカウント 透過的に法人用クラウドを利用(ハイブリッド Azure AD参加)
法人 Azure ADアカウント 法人用クラウドを利用(Azure AD参加)

ADアカウントやAzure ADアカウントの場合の登録状況は「設定>アカウント」の「職場または学校にアクセスする」に表示されます。また、「設定>アカウント」の「メールとアカウント」の「他のアプリで使われるアカウント」にも表示されるようです。
「職場または学校にアクセスする」からは「切断(参加している状態から抜ける)」することができます。

アカウントの作成方法

ADアカウントとAzureADアカウントはドメイン管理者が作成するので、ここで記載するのは個人向けアカウントの作成方法です。また、ローカルアカウントとMicrosoftアカウントは相互に切り替えが可能です。

ローカルアカウントの作成方法

以下の3つの方法があります。

  1. Windowsのセットアップ時に作成
  2. 「設定>アカウント」を選択、「家族とその他のユーザー」から「その他のユーザーをこのPCに追加」を選択、「このユーザーのサインイン情報がありません」をクリック、「Microsoftアカウントを持たないユーザーを追加する」をクリック
  3. エクスプローラーで、PCを右クリックして「管理」を選択、「コンピュータの管理」が起動するので、「システムツール>ローカルユーザーとグループ>ユーザー」を右クリックして、「新しいユーザー」を選択

1.の方法でもインターネットにつながっていると、Microsoftアカウントの作成に誘導されますが「スキップする」等の文言を含むメニューを選択することで、ローカルアカウントの作成に分岐します(Proエディションの場合)。Homeエディションの場合、インターネットから切断しないと、ローカルアカウントの作成に行けないようです。

「セキュリティの質問」を設定しない

1.と2.の方法では、「パスワードを設定するとパスワードを忘れた場合に備えて」ということで「セキュリティの質問」の設定を要求されます。しかしこれは、攻撃者が知識(情報)だけで認証を突破できる機会を増やすセキュリティレベルを低下させる機能です。利用しないようにする方法は以下のとおりです。また、この設定をした場合、パスワードリセットディスクの作成の重要性が増すでしょう。

  • エディションがPro以上でVersion 1903以降であれば、グループポリシーで無効化する(ファイル名を指定して実行で「gpedit.msc」を実行し、グループポリシーエディタで、「コンピュータの構成>管理用テンプレート>Windowsコンポーネント>資格情報のユーザーインターフェイス」の「ローカルアカウントに関するセキュリティの質問を使用できないようにする」を「未構成→有効」にする)
  • それ以外の場合は、パスワードを空欄にしておいて、後でパスワードを設定する

Microsoftアカウントの作成方法

PCからだと以下の3種類があります。もっとあるかもしれません。XBOXからも作れるので。

  1. Windowsのセットアップ時に作成
  2. 「設定>アカウント」を選択、「家族とその他のユーザー」から「その他のユーザーをこのPCに追加」を選択、「このユーザーのサインイン情報がありません」をクリック、「新しいメールアドレスを取得」をクリック
  3. Microsoft アカウント | サインインするか、今すぐアカウントを作成 – Microsoft で「Microsoftアカウントを作成」をクリック
Microsoftアカウント作成時の留意事項

Microsoftアカウントでのトラブルを避けたい場合、自分が知る範囲では以下の留意事項があります。基本的に、Microsoft提供ドメイン(outlook.jp等)のメールアドレスで新規作成するのがトラブルが生じにくいと思われます。

  • 電話番号でアカウントを作成しない(ログオンIDというインターネット上で表示される可能性があるものに、公開すべきでない個人の電話番号を設定するのは望ましくない)
  • 組織のメールアドレスでアカウントを作成しない(理由は前述のとおり、AzureADとの混同を避ける)
  • Goolgeのメールアドレスでアカウントを作成しない(認証失敗の報告が散見される)
  • パスワードリセットのため、Microsoftアカウント以外のメールアドレスか、SMSが受け取れる携帯電話の番号(あるいは両方)を登録しておく。
  • ローカルアカウントの場合、個人の設定はシステムドライブがC:であれば、「C:\Users\<ユーザー名>」に格納されるが、Microsoftアカウントの場合、このフォルダ名が「Microsoftアカウントのはじめの5文字」になる。これを避けたい場合、希望するフォルダ名のローカルアカウントを作成して、そのアカウントをMicrosoftアカウントに切り替えるという方法がある。

パスワードのリセット方法

Dellのサイトが詳しいので、そこを見てください。

Windows 10のローカルアカウントのパスワードまたはMicrosoftアカウントの問題 | Dell 日本

結論としてどうするか

ここまでの整理だと、Microsoftアカウントで認証に失敗する場合に備えて管理者権限のローカルアカウントさえ作成しておけば、普段使いのアカウントはどちらでもよいように思います。
ただ、ここではサインインの方法について考えなかったので、別途考えることにします。

参考サイト

  1. Windows 10で利用できるアカウントの種類と管理方法:Windows 10 The Latest(1/4 ページ) - @IT
  2. Microsoft アカウントと組織アカウントについて
  3. [Windows 10] ユーザーアカウントの種類とその権限の違いについて - VAIO サポート FAQ / よくあるご質問
  4. [Windows 10] ユーザーアカウントの種類とその権限の違いを知りたい | Sony JP
  5. NEC LAVIE公式サイト > サービス&サポート > Q&A > Q&A番号 017756
  6. Windows 10(ローカルアカウント/Microsoft アカウントとは) | Windows入門ガイド | パナソニック パソコンサポート
  7. Azure AD 登録 と Azure AD 参加 の違い | Japan Azure Identity Support Blog
  8. 【問題点あり】マイクロソフトアカウントを電話番号で作成する(携帯電話/固定電話) | パソコンの困りごとを解決~ネコさやブログ~
  9. Windows10 で「セキュリティの質問」を回避する – 分析室の屋根裏
  10. 企業メールアドレスでMicrosoftアカウントを作成・登録しようとして「職場や学校のメール アドレスを使ってサインアップすることはできません」と表示された時の対処 – やまひで製作所
  11. Windowsでキャッシュされたログオンを無効にする(暗号化ファイルシステムの運用に注意):Tech TIPS - @IT
  12. VLSCに入れなくなるMSアカウントをなんとかする。 | の回想録
  13. MSDN での職場アカウントに関する FAQ | Microsoft Azure
  14. Microsoft アカウントにサインインできない
  15. 【Windows10】マイクロソフトアカウント紐付け環境でインターネット接続トラブルによりログインができない[解決策と対策] | TechLog