none
ポリシー「アカウント:Microsoft アカウントをブロックする」に関して RRS feed

  • 質問

  • Windows10Proのバージョンは1511、DCはWinServer2008R2で、Win10-1511のグループポリシー管理用テンプレートを適用しています。

    決められたアカウント以外でサインインが出来ないようにMicrosoftアカウントでのサインインをブロックしようと考えています。

    グループポリシーの「ローカル ポリシー/セキュリティ オプション」でタイトル項目の設定をすることで、「アカウント->メールとアカウント」にてMicrosoftアカウントの追加ができない状態になります。

    しかし、その状態でストアからMicrosoftアカウントでサインインを試みるとサインインが出来てしまい、なおかつ「ローカル ポリシー/セキュリティ オプション」画面下部にサインインしたMicrosoftアカウントが追加されてしまいます。

    この現象がこちら側の固有のものなのか、そのような仕様なのか検証環境に限りがあり切り分けが出来ませんので何らかの情報をお持ちの方がいらっしゃいましたらお教え下さい。

    よろしくお願いします。

    2015年12月25日 4:03

回答

  • 超遠隔でのコメントになりますが、参考までに。

    「アカウント:Microsoft アカウントをブロックする」セキュリティ ポリシーはその説明や「Accounts: Block Microsoft accounts」でも説明されているように、以下の動作を抑制します。

    • このコンピューターで新しい Microsoft アカウントを作成する
    • ローカル アカウントを Microsoft アカウントに切り替える
    • ドメイン アカウントを Microsoft アカウントに接続する

    ストアから Microsoft アカウントにサインインする動作はこのいずれにも該当しないので、このポリシーでは抑止できないと思います。

    なお『「ローカル ポリシー/セキュリティ オプション」画面下部にサインインしたMicrosoftアカウントが追加されてしまいます』というのが具体的にどのような事なのか不明 (画面下部というのはどの部分の事なのか不明) なので、ここについての疑問がある場合はその点についてより詳しい具体的情報を提示されると良いでしょう。


    hebikuzure

    • 回答の候補に設定 佐伯玲 2016年4月21日 0:59
    • 回答としてマーク 佐伯玲 2016年5月10日 7:24
    2016年4月20日 14:09

すべての返信

  • 超遠隔でのコメントになりますが、参考までに。

    「アカウント:Microsoft アカウントをブロックする」セキュリティ ポリシーはその説明や「Accounts: Block Microsoft accounts」でも説明されているように、以下の動作を抑制します。

    • このコンピューターで新しい Microsoft アカウントを作成する
    • ローカル アカウントを Microsoft アカウントに切り替える
    • ドメイン アカウントを Microsoft アカウントに接続する

    ストアから Microsoft アカウントにサインインする動作はこのいずれにも該当しないので、このポリシーでは抑止できないと思います。

    なお『「ローカル ポリシー/セキュリティ オプション」画面下部にサインインしたMicrosoftアカウントが追加されてしまいます』というのが具体的にどのような事なのか不明 (画面下部というのはどの部分の事なのか不明) なので、ここについての疑問がある場合はその点についてより詳しい具体的情報を提示されると良いでしょう。


    hebikuzure

    • 回答の候補に設定 佐伯玲 2016年4月21日 0:59
    • 回答としてマーク 佐伯玲 2016年5月10日 7:24
    2016年4月20日 14:09
  • 当方も以下の環境で、質問者様と同様に個人のMicrosoftアカウント追加・使用を制限したく奮闘していました。
    結果、末尾の設定を行い、目的を達成しました。
    その過程で、質問者様の質問にあるように、(当方環境では①だけでなく、②も実施する必要がありましたが)グループポリシーの設定を実施すると、[設定]-[アカウント]-[メール&アプリのアカウント]画面では、「アカウントの追加」及び「Microsoftアカウントの追加」の無効化に成功しました。
    しかし、題名のポリシーは、ストアやストアアプリからのサインインを制御するものではありませんから、ストアアプリ(フォト・マップ等)からMicrosoftアカウントにサインインはできてしまいます。

    そして、サインインすると[メール&アプリのアカウント]画面の「Microsoftアカウントの追加」に、サインインしたMicrosoftアカウントがグレーアウトのまま追加されてしまい、ログインアカウントと個人のMicrosoftアカウントが紐付けられてしまいました。
    (ストア自体は、同じくグループポリシーの「ソフトウェアの制限のポリシー」で起動制限)

    結果、少し強引ですが、当社ではMicrosoftアカウントは使用しないポリシーのため、③の設定を適用させることで、ストアアプリからサインインをクリックした際に表示されるサインイン画面をエラー表示させて、サインインをブロックさせることで、ログインアカウントと個人のMicrosoftアカウントの紐付けを阻止することに成功しました。

    なお、同様の目的を達成しようとしている方々の環境で、コンテンツフィルターなどのセキュリティサービスを導入している場合は、以下のサイトをブロックすることで、ストアアプリからのサインイン画面表示を制御することができます。
    ちなみに当方では、Skypeを利用するユーザーがいるので、当該対策では、Skypeのサインインにも影響を来してしまい、採用できませんでした。
    https://onedrive.live.com,https://account.live.com,https://login.live.com,https://Signup.live.com

    ■環境
    ・Windows10 Pro Ver.1709
    ・Windows Server2016 Standard

    ■設定内容
    以下の3つの設定をグループポリシーに適用

    ①「アカウント:Microsoftアカウントをブロックする」の定義
    [コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[ローカルポリシー]-[セキュリティオプション]-[アカウント:Microsoftアカウントをブロックする]
    ポリシー設定:ユーザーはMicrosoftアカウントを追加またはMicrosoftアカウントでログオンできない

    ②レジストリ値の変更[コンピューターの構成]-[基本設定]-[Windowsの設定]-[レジストリ]にて以下を追加
    ハイブ HKEY_LOCAL_MACHINE
    キー パス HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ PolicyManager \ default \ Settings \ AllowYourAccount 

    値の名前 value 
    値の種類 REG_DWORD 
    値のデータ 0x0 (0) 

    ③Microsoft Account Sign-in Assistant(wlidsvc)サービスを無効化
    [コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[システムサービス]-[Microsoft Account Sign-in Assistant]
    スタートアップ:無効


    以上、質問者様や同様の目的を達成したいという方の参考になれば幸いです。



    • 編集済み pekope 2018年3月2日 1:28
    2018年3月2日 1:20