ローカル OneDrive クライアントと Azure AD 間の認証ループを閉じる

ローカル OneDrive クライアントと Azure AD 間の認証ループを閉じる

私が勤務する大学では、教職員および学生に MS Office を提供するライセンス契約を結んでいます。これには、OneDrive for Business アカウントと Azure Active Directory インスタンスが含まれます。

オンプレミスのドメイン コントローラーもあります。オンプレミスの AD が Azure AD と同期して、Office 365 のアカウント管理とプロビジョニングを行うように設定しています。また、オンプレミスの AD をポイントした Office 365 サービス用の SAML 認証も動作しています。マシンはオンプレミスの DC に参加しています。

さらに、Windows 10 デスクトップ/ラップトップの展開では、ユーザーがログインすると、システム トレイで OneDrive が既に実行されています。ただし、OneDriveにログインしていない

ドメインに参加している PC 上の OneDrive が、Active Directory 資格情報または認証トークンを自動的に使用して、Azure AD テナント内の同じ Office 365 アカウントに接続するようにしたいと考えています。このようにすると、ユーザーはコンピューターにログインするだけで OneDrive ファイルにアクセスできるようになります。

どうすればこれを実現できるでしょうか?

答え1

新しい OneDrive クライアントは、OneDrive です。これは、次世代同期クライアントと呼ばれる統合クライアントです。onedrive.com から直接ダウンロードした最新バージョンの OneDrive をインストールする必要があります。これにより、個人の OneDrive アカウントとビジネス アカウントの両方に接続できます。

Groove クライアントと呼ばれる古い OneDrive for Business クライアントがまだ利用可能です。

SharePoint ライブラリに接続する場合、次世代クライアントにはいくつかの制限があります。ただし、Office 365 などとファイルを同期して共有するだけであれば、次世代クライアントは問題なく機能します。また、Windows 10 ではデフォルトでインストールされており、新しいユーザーがログインするとすぐに自動的に更新されます。

さて、あなたが求めているのは、シームレスなシングル サインオンです。あなたにとって朗報なのは、次世代クライアントにこれを可能にする機能が最近追加されたことです。

https://support.office.com/en-us/article/use-group-policy-to-control-onedrive-sync-client-settings-0ecb2cf5-8882-42b3-a6e9-be6bda30899c#silentconfig

必要なことは2つあります。

  1. レジストリを調整して ADAL を有効にします。

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\OneDrive]

    "EnableADAL" = dword:1

  2. サイレント アカウント構成グループ ポリシーを有効にします。

    [HKLM\SOFTWARE\Policies\Microsoft\OneDrive]

    "サイレントアカウント構成" = dword:00000001

OneDrive を完全にサイレントかつ自動的に構成するには、追加のグループ ポリシーが必要なので、上記のリンクをお読みください。リンクには、最新のグループ ポリシー テンプレートを取得して使用する方法が説明されています。

Microsoft は次世代クライアントで素晴らしい仕事をしており、ようやくこの機能が使えるようになってとても嬉しいです。わずか 1 年前、OneDrive は役に立たないものでした。今では、クラウド ストレージと共有のニーズに完全に対応できます。

私たちは、少なくとも 1 ~ 2 か月間、これをうまく使用してきました。新しいユーザーがサインインすると、OneDrive は最新の状態になり、ユーザーにプロンプ​​トを表示することなくすぐに使用できるようになります。フォルダー リダイレクトと組み合わせることで、ユーザーが自分のコンピューターにデータを保存することを心配する必要がなくなりました。

関連情報