2018年1月25日の記事「Windows 10「お使いのアカウントでは同期できません」で Windows 10 Fall Creators Update の適用後、Microsoft アカウントを使った設定の同期ができなくなる現象について解説しましたが、この現象についての追加情報です。
「同期できません」について
まず Microsoft アカウントと Azure AD アカウント(Office 365 アカウント、組織アカウント)による設定の同期については以下の資料に解説があります。
ただしこの記事を読んでも「プライマリ アカウント」(Windows へのサインインに使用するアカウント)が Microsoft アカウントで、「セカンダリ クラウド アカウント」(シングル サインオンなどに使われるアカウント)として Azure AD(Office 365)アカウントを追加した構成で、Microsoft アカウントを使った設定の同期ができなくなる理由は明示的には示されていないと思われます。
そこでこの件については Microsoft のサポートに問い合わせてみました。その結果、以下の情報が得られました。
Microsoft アカウントをプライマリアカウントとしてご利用している場合、対象デバイスは「個人のデバイス」とみなされる
そのプライマリ アカウントにセカンダリ クラウド アカウントとして Azure AD アカウントを接続すると、組織のポリシーに準拠したデバイスとみなされる
「個人のデバイス」が「組織のポリシーに準拠したデバイス」とみなされる場合、個人の領域と組織の領域が競合する恐れがあるため、 Microsoft アカウントで同期しないように設定される
この動作については(クライアント側、Azure AD 側いずれの設定/構成においても)変更することはできない
こういう訳ですので、Microsoft アカウントでサインインして設定の同期を利用している環境で
このダイアログが表示されたら、(設定の同期ができなくなっても構わないのでなければ)「今はしない」を選択しましょう。
追加情報
個人所有の「個人のデバイス」で Azure AD アカウント(Office 365 アカウント、組織アカウント)を「セカンダリ クラウド アカウント」として追加するメリットは、基本的には Azure や Office 365 などのクラウド サービスへのシングル サイン オン(SSO)が可能になることです。とはいえほとんどの場合、「セカンダリ クラウド アカウント」を利用しなくともアクセスに利用するブラウザーやアプリケーションの側で資格情報を記憶する機能(パスワード オートコンプリートなど)を利用することで、SSO ができないデメリットの多くは解消されるでしょう。
また Azure AD アカウント(Office 365 アカウント、組織アカウント)を「セカンダリ クラウド アカウント」として追加した場合に Microsoft アカウントでの同期ができなくなるのは、セカンダリ クラウド アカウントを追加したユーザーだけです。同じデバイス(コンピューター)に別のユーザーがあり Microsoft アカウントでサインインしている場合、その別のユーザーは Microsoft アカウントでの設定の同期が可能です。
そのため、個人所有のデバイスでも、個人の普段使い以外に(BYOD や在宅勤務などで)会社の組織アカウント(Azure AD アカウント、Office 365 アカウント)も使いたい場合は、普段使い用の(今まで使っていたのと同じ)Microsoft アカウントとは別に、組織アカウントを接続して使う用の別の Microsoft アカウントを取得して Windows にサインインしても良いでしょう。こうすれば普段使いのアカウントで他のデバイスと設定の同期が利用でき、もう一つのアカウントでは組織アカウントへの SSO が可能になります。
参考情報
デバイス(コンピューター)で Azure AD アカウント(Office 365 アカウント、組織アカウント)を利用するもう一つの方法として、Windows にサインインするアカウント(プライマリ アカウント)として Azure AD アカウントを利用できるようにする、「Azure AD への参加」(Azure AD Join)という方法もあります。
これは [設定] – [アカウント] – [職場または学校にアクセスする] の [接続] をクリックした際のダイアログで左下の「このデバイスを Azure Active Directory に参加させる」を選択することで構成できます。
この場合、Azure AD アカウントでサインインすれば、そのまま Azure や Office 365 などのクラウド サービスへの SSO が可能です。また Azure AD のライセンスや設定によりますが、Azure AD アカウントを使った設定の同期(同じ Azure AD アカウントででサインインしているユーザー間での同期)も可能です(Enterprise State Roaming)。
なおデバイスを Azure AD に参加させた場合でも、別のユーザーとして Microsoft アカウントのユーザーをデバイスに追加でき、その Microsoft アカウントのユーザーは Microsoft アカウントを使った設定の同期が可能です。
まとめ
個人用のデバイス(コンピューター)で Azure AD アカウント(Office 365 アカウント、組織アカウント)を利用する方法と設定の同期の可否をまとめると、次のようになります
- 個人用 Microsoft アカウントでサインイン、Azure AD アカウントは接続しない
Microsoft アカウントで同期可能 - 個人用 Microsoft アカウントでサインイン、Azure AD アカウントを接続する(Azure AD registered)
Microsoft アカウント / Azure AD アカウントともに同期不可 - Azure AD アカウントでサインイン(Azure AD Join)
(条件次第で)Azure AD アカウントで同期可
Azure AD registered は同期の動作では制限があるので、注意が必要です。