ユーザーが正常にサインインすると、[サインインの状態を維持しますか?] プロンプトが表示されます。 このプロセスは、Keep Me Signed In (KMSI: サインインしたままにする) と呼ばれ、以前はブランドのカスタマイズ プロセスの一部でした。
この記事では、KMSI プロセスのしくみ、顧客に対してそれを有効にする方法、KMSI に関する問題のトラブルシューティング方法について説明します。
"サインインの状態を維持しますか?" を管理する prompt
前提条件
"サインインしたままにする" (KMSI) オプションを構成するには、次のいずれかのライセンスが必要です。
- Microsoft Entra ID Free
- Office 365 (Office アプリの場合)
- Microsoft 365
"サインインの状態を維持しますか?" を有効にするには、全体管理者ロールを割り当てられている必要があります。 プロンプトが表示されます。
それはどのように機能するのでしょうか。
ユーザーが "サインインの状態を維持しますか?" プロンプトに [はい] と応答すると、永続的な認証 Cookie が発行されます。 KMSI を機能させるには、Cookie がセッションに格納されている必要があります。 KMSI は、ローカルに保存された Cookie では機能しません。 KMSI が有効になっていない場合、非永続的な Cookie が発行され、24 時間、またはブラウザーが閉じられるまで保持されます。
次の図は、プロンプトで KMSI を使用するマネージド テナントとフェデレーション テナントのユーザー サインイン フローを示しています。 このフローにはスマート ロジックが含まれていて、機械学習システムによってリスクの高いサインインまたは共有デバイスからのサインインが検出された場合、[サインインの状態を維持しますか?] オプションは表示されません。 フェデレーション テナントの場合、このプロンプトは、ユーザーがフェデレーション ID サービスで正常に認証された後に表示されます。
SharePoint Online と Office 2010 の一部の機能は、ユーザーがサインインしたままにすることを選択できるかどうかに依存します。 [サインインしたままにするオプションを表示する] オプションをオフにすると、サインイン プロセス中にユーザーにその他の予期しないプロンプトが表示される場合があります。
"サインインの状態を維持しますか?" を有効にする prompt
ヒント
この記事の手順は、開始するポータルに応じて若干異なる場合があります。
KMSI 設定は [ユーザー設定] で管理します。
Microsoft Entra 管理センターにグローバル管理者としてサインインします。
[Identity] (ID)>[ユーザー]>[ユーザー設定] の順に移動します。
![Microsoft Entra ID の [ユーザー設定] ページのスクリーンショット。](media/how-to-manage-stay-signed-in-prompt/user-settings-page.png)
[Show keep user signed in]("ユーザーをサインインしたままにする" を表示する) トグルを [はい] に設定します。
[サインインの状態を維持しますか?] のトラブルシューティング issues
ユーザーが [サインインの状態を維持しますか?] のプロンプトに応答せず、サインイン試行を破棄した場合、Microsoft Entra のサインイン ログにサインイン ログ エントリが表示されます。 ユーザーに表示されるプロンプトは、"割り込み" と呼ばれます。
![[サインインの状態を維持しますか?] プロンプトの例のスクリーンショット。](media/how-to-manage-stay-signed-in-prompt/kmsi-stay-signed-in-prompt.png)
[サインイン ログ] で、サインイン エラーの詳細を確認できます。 一覧から影響を受けたユーザーを選択し、次の詳細を [基本情報] セクションで見つけます。
- サインイン エラー コード: 50140
- エラーの理由: ユーザーがサインインしたときの "サインインしたままにする" 割り込みによりエラーが発生しました。
ユーザーに割り込みが表示されないようにするには、ユーザー設定で [サインインしたままにするオプションを表示する] 設定を [いいえ] に設定します。 この設定により、ディレクトリ内のすべてのユーザーに対して KMSI プロンプトが無効になります。
また、条件付きアクセスで永続的なブラウザー セッション制御を使用して、ユーザーに KMSI プロンプトが表示されないようにすることもできます。 このオプションを使用すると、選択したユーザー グループに対して KMSI プロンプトを無効にできます。ディレクトリ内の他のすべてのユーザーのサインイン動作は影響を受けません。
ユーザーにベネフィットがある場合にのみ KMSI プロンプトが表示されるようにするには、次のような場合に意図的に KMSI プロンプトが表示されないようにします。
- ユーザーがシームレス SSO と統合 Windows 認証 (IWA) を使用してサインインしている
- ユーザーが Active Directory フェデレーション サービス (AD FS) と IWA を使用してサインインしている
- ユーザーがテナントのゲストである
- ユーザーのリスク スコアが高い
- ユーザーまたは管理者の同意フロー中にサインインが発生する
- 永続的なブラウザー セッション制御が条件付きアクセス ポリシーで構成されている
