この記事では、IT 管理者が設定やアプリ データの同期に関して抱く可能性のあるいくつかの疑問に答えます。
設定の同期に使用されるアカウントは
Windows 8.1 では常に、コンシューマーの Microsoft アカウントが設定の同期に使用されていました。 企業ユーザーは、その Active Directory ドメイン アカウントに Microsoft アカウントを接続することによって設定の同期を利用することができました。Windows 10 以降では、この Microsoft アカウントの接続機能が、プライマリ/セカンダリ アカウント フレームワークによって置き換えられています。
プライマリ アカウントは、Windows へのサインインに使用するアカウントとして定義されています。 Microsoft アカウントや Microsoft Entra アカウント、オンプレミスの Active Directory アカウント、ローカル アカウントが該当します。 Windows 10 以降のユーザーは、プライマリ アカウントに加え、1 つまたは複数のセカンダリ クラウド アカウントを各自のデバイスに追加することができます。 一般に、セカンダリ アカウントとは、Microsoft アカウントや Microsoft Entra アカウントのほか、Gmail や Facebook といったアカウントのことを指します。 セカンダリ アカウントで、シングル サインオンや Windows ストアなど他のサービスにアクセスすることはできますが、設定の同期機能にアクセスすることはできません。
デバイス上の異なるユーザー アカウントのデータがミックスされることはありません。 設定の同期には次の 2 つの規則があります。
- Windows の設定は常にプライマリ アカウントでローミングされます。
- アプリのデータは、そのアプリを取得する際に使われたアカウントでタグ付けされます。 同期されるのは、プライマリ アカウントでタグ付けされたアプリだけです。アプリの所有権タグは、Windows ストアやモバイル デバイス管理 (MDM) 経由でアプリをサイド ローディングしたときに決定されます。
アプリケーション所有者を特定できない場合は、プライマリ アカウントでローミングされます。 デバイスが Windows 8 や Windows 8.1 から Windows 10 以降にアップグレードされると、すべてのアプリが Microsoft アカウントで取得されたようにタグ付けされます。 これは、ほとんどのユーザーがアプリを Windows ストアを通じて取得し、Windows 10 以前の Microsoft Entra アカウントでは Windows ストアのサポートがなかったために起こります。 オフライン ライセンスでインストールされたアプリは、そのデバイス上のプライマリ アカウントでタグ付けされます。
Note
Microsoft Entra ID に接続された Windows 10 以降の企業所有デバイスの Microsoft アカウントは、今後ドメイン アカウントに接続できません。 Microsoft アカウントをドメイン アカウントに接続してそのユーザーの全データを Microsoft アカウントに同期させる機能 (Microsoft アカウントと Active Directory との接続による Microsoft アカウントでのローミング機能) は、Active Directory と Microsoft Entra とが接続された環境に参加している Windows 10 以降のデバイスからは削除されます。
Windows 8 における Microsoft アカウントでの設定の同期から Windows 10 以降における Microsoft Entra での設定の同期にアップグレードするとどうなりますか
Windows 10 以降へのアップグレード後も、ドメインに参加しているユーザーで Active Directory ドメインと Microsoft Entra ID が接続されていない場合は、引き続き Microsoft アカウントでユーザー設定を同期します。
一方、オンプレミスの Active Directory ドメインが Microsoft Entra ID と接続されている場合、お使いのデバイスは、接続されている Microsoft Entra アカウントを使用して設定を同期します。 Microsoft Entra 管理者によって Enterprise State Roaming が有効にされていない場合、接続されている Microsoft Entra アカウントは設定の同期を中止します。 Windows 10 以降を実行していて、Microsoft Entra の ID でサインインしている場合、管理者が Microsoft Entra ID を介した設定の同期を有効にするとすぐに Windows の設定の同期が開始されます。
個人データを会社のデバイスに保存している場合は、Windows OS とアプリケーションのデータが Microsoft Entra ID と同期されることを知っておいてください。 これには、次のような意味があります。
- 個人の Microsoft アカウントの設定が、職場または学校の Microsoft Entra アカウントの設定から変更されます。 これは、Microsoft アカウントと Microsoft Entra の設定の同期が別のアカウントを使用するようになるためです。
- 従来、Active Directory に接続された Microsoft アカウント経由で同期されていた個人データ (Wi-Fi のパスワード、Web の資格情報、Internet Explorer のお気に入りなど) は今後、Microsoft Entra ID 経由で同期されます。
Microsoft アカウントと Microsoft Entra の Enterprise State Roaming の相互運用性について教えてください
November 2015 以降のリリースの Windows 10 では、Enterprise State Roaming が一度に 1 つのアカウントでのみサポートされます。 職場や学校の Microsoft Entra アカウントで Windows にサインインした場合は、すべてのデータが Microsoft Entra ID 経由で同期されます。 個人用 Microsoft アカウントで Windows にサインインした場合は、すべてのデータが Microsoft アカウント経由で同期されます。 ユニバーサル アプリ データはデバイスのプライマリ サインイン アカウントのみを使用してローミングされ、アプリのライセンスがプライマリ アカウントによって所有されている場合にのみローミングされます。 セカンダリ アカウントによって所有されているアプリのユニバーサル アプリ データは同期されません。
複数テナントの Microsoft Entra アカウントが存在する場合、設定は同期されますか
異なる Microsoft Entra テナントの複数の Microsoft Entra アカウントが同じデバイス上にある場合は、Microsoft Entra テナントごとに Azure Rights Management サービスと通信するようにデバイスのレジストリを更新する必要があります。
- 各 Microsoft Entra テナントの GUID を見つけます。 Microsoft Entra 管理センターにサインインし、[ID]、[概要]、[プロパティ]、[テナント ID] の順に移動します。
- GUID を特定したら、レジストリ キー HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\SettingSync\WinMSIPC<tenant ID GUID> を追加する必要があります。 テナント ID の GUID キーから、AllowedRMSServerUrls という名前の新しい複数行文字列値 (REG-MULTI-SZ) を作成します。 そのデータに対して、デバイスがアクセスする他の Azure テナントのライセンス配布ポイントの URL を指定します。
- ライセンス配布ポイントの URL は、AADRM モジュールから Get-AadrmConfiguration コマンドレットを実行することによって見つけることができます。 LicensingIntranetDistributionPointUrl の値と LicensingExtranetDistributionPointUrl の値とが異なる場合は、両方の値を指定します。 同じ値である場合は、その値を一度指定してください。
同期された設定とデータをオンプレミスに保存することはできますか?
Enterprise State Roaming は同期されたすべてのデータを Microsoft クラウドに格納します。 オンプレミスのローミング ソリューションとしては UE-V をご利用ください。
データはどのように保護されますか?
2022 年 11 月より前は、Azure Rights Management を使用してすべてのユーザー データがセキュリティで保護されていました。
2022 年 11 月から、Microsoft ではすべてのデータ暗号化に Azure Rights Management を使用しなくなりました。 マイクロソフトは、顧客データの保護に積極的に取り組んでいます。 パスワードなどの特定の機密データは、セキュリティの追加レイヤーを確保するために、Microsoft Entra テナントから派生したキーを使用してクライアント側で暗号化されます。 すべてのユーザー データ (機密ではないデータを含む) は、転送中とクラウドでの保存時に暗号化されます。 ローミングされる機密データ項目と非機密データ項目の一覧については、「Windows ローミング設定リファレンス」を参照してください。
特定のアプリや設定の同期を管理することはできますか
Windows 10 以降では、管理者は MDM またはグループ ポリシーを使用して、マネージド デバイス上のすべての設定同期グループの同期を無効にすることができます。
ローミングはどのようにして有効または無効にできますか
設定アプリから [アカウント]>[設定の同期] の順に移動します。 このページから、設定のローミングに使用されているアカウントを確認したり、ローミング対象となる設定グループの有効と無効を個別に切り替えたりすることができます。
Windows 10 以降におけるローミングの実現手段としてどのような方法が推奨されますか。
設定のローミングに関して、マイクロソフトでは UE-V や Enterprise State Roaming など、いくつかのソリューションを提供しています。 データをクラウドに移すことに関して勤務先が積極的でない、または準備が整っていない場合は、主要なローミング テクノロジとして UE-V を使用することをお勧めします。 既存の Windows デスクトップ アプリケーションのローミングに対応する必要がある一方で、クラウドへの移行を勤務先が積極的に推進している場合は、Enterprise State Roaming と UE-V を併用することをお勧めします。 UE-V と Enterprise State Roaming は類似したテクノロジですが、相互に排他的ではありません。 組織がユーザーが必要とするローミング サービスを確実に提供できるように、互いに補完します。
Enterprise State Roaming と UE-V の両方を使用している場合は、Enterprise State Roaming がデバイス上の主要なローミング エージェントになります。 UE-V は、Win32 アプリケーションを補うために使用されます。
- Enterprise State Roaming がデバイス上の主要なローミング エージェントになります。 UE-V は、"Win32 とのギャップ" を補うために使用されます。
- Windows の設定や UWP のモダン アプリのデータに対する UE-V ローミングは、UE-V のグループ ポリシーを使用する際には無効にする必要があります。 これらの設定は既に Enterprise State Roaming で補われています。
仮想デスクトップ インフラストラクチャ (VDI) に対する Enterprise State Roaming の対応について教えてください
Enterprise State Roaming は Windows 10 以降のクライアント SKU でサポートされていますが、サーバー SKU ではサポートされません。 ハイパーバイザー コンピューターでクライアント VM がホストされており、その仮想マシンにリモートでサインインしている場合、データはローミングされます。 複数のユーザーが同じ OS を共有しており、ユーザーがリモートからサーバーにログインしてデスクトップとまったく同じようにその環境を利用している場合、ローミングは正常に機能しない場合があります。 後者のセッション ベースのシナリオは公式対応していません。
ユーザーごとのデバイス同期状態レポートはどうなりましたか?
ユーザーごとのデバイス同期状態レポートは Microsoft Entra 管理センターから削除されました。 このレポートは、サポートされていないバージョンの Windows の詳細しか提供しない状態だったため、削除されました。 Enterprise State Roaming には、Windows 11 または Windows 10 バージョン 21H2 以降が必要です。
次のステップ
概要については、「Enterprise State Roaming の概要」を参照してください