ユーザーが正常 にサインインすると、[サインインしたままにする] プロンプトが表示されます。 このプロセスは、サインイン したままにする (KMSI) と呼ばれ、以前は カスタマイズ ブランド化 プロセスの一部でした。
この記事では、KMSI プロセスのしくみ、顧客に対してそれを有効にする方法、KMSI に関する問題のトラブルシューティング方法について説明します。
前提条件
"サインインしたままにする" (KMSI) オプションを構成するには、次のいずれかのライセンスが必要です。
- Microsoft Entra ID Free(無料)
- Office 365 (Office アプリの場合)
- Microsoft 365
[サインインしたままにする] を有効にするには、 グローバル管理者 ロールが必要です。 プロンプトが表示されます。
それはどのように機能するのでしょうか。
ユーザーが "サインインしたままにしますか?" というプロンプトに対して [はい] と答えた場合、永続的な認証 Cookie が設定されます。 KMSI を機能させるには、Cookie がセッションに格納されている必要があります。 KMSI は、ローカルに保存された Cookie では機能しません。 KMSI が有効になっていない場合、非永続的な Cookie が発行され、24 時間、またはブラウザーが閉じられるまで保持されます。
次の図は、KMSI プロンプトを使用したマネージド テナントとフェデレーション テナントのユーザー サインイン フローを示しています。 [ サインインしたまま にする] プロンプトが表示され、[はい] を選択すると、永続的な Cookie が設定されます。
特別な注意事項
- [Don't show this again]\(もう一度表示しない\) チェック ボックスは、[サインインしたままにする] とは別に機能します。 流れる。
- テナント用に構成されている認証要件によっては、このエクスペリエンスが適用されない場合があります。 一部の条件付きアクセス ポリシーと認証構成では、[サインインしたままにする] フローが表示されません。
- フローにはスマート ロジックが含まれているため、機械学習システムが共有デバイスからの危険度の高いサインインまたはサインインを検出した場合は、[サインイン を維持しますか? ] オプションは表示されません。 このシナリオは図に反映され、[サインインしたままにする] オプションが削除されます。
- フェデレーション テナントの場合、ユーザーがフェデレーション ID サービスで正常に認証された後に、プロンプトが表示されます。
- SharePoint Online と Office 2010 の一部の機能は、ユーザーがサインインしたままにすることを選択できるかどうかに依存します。 [ サインインしたままにするオプションを表示する] オプション をオフにすると、サインイン プロセス中に他の予期しないプロンプトがユーザーに表示されることがあります。
"サインインの状態を維持しますか?" を有効にする プロンプト
KMSI 設定は ユーザー設定で管理されます。
Microsoft Entra 管理センターにグローバル管理者としてサインインします。
Entra ID>Users>User 設定を参照します。
![Microsoft Entra ID の [ユーザー設定] ページのスクリーンショット。](media/how-to-manage-stay-signed-in-prompt/user-settings-page.png)
[ ユーザーのサインインを維持 する] トグルを [はい] に設定します。
![[ユーザーのサインインを維持する] プロンプトのスクリーンショット。](media/how-to-manage-stay-signed-in-prompt/show-keep-user-signed-in.png)
[サインインの状態を維持しますか?] のトラブルシューティング 問題
ユーザーが サインインしたまま にするプロンプトに対してアクションを実行しないが、サインインの試行を中止すると、Microsoft Entra サインイン ログにサインイン ログ エントリが表示されます。 ユーザーに表示されるプロンプトは、"割り込み" と呼ばれます。
![[サインインしたままにするサンプル] のスクリーンショットプロンプト。](media/how-to-manage-stay-signed-in-prompt/kmsi-stay-signed-in-prompt.png)
サインイン エラーの詳細については、 サインイン ログを参照してください。 影響を受けたユーザーを一覧から選択し、[ 基本情報 ] セクションで次の詳細を見つけます。
- サインイン エラー コード: 50140
- エラーの理由: このエラーは、ユーザーがサインインしているときに "サインインしたままにする" 割り込みが原因で発生しました。
ユーザー設定で [ サインインしたまま にする] オプションを [いいえ ] に設定することで、ユーザーに割り込みが表示されないようにすることができます。 この設定により、ディレクトリ内のすべてのユーザーに対して KMSI プロンプトが無効になります。
条件付 きアクセスで永続的なブラウザー セッション 制御を 使用して、ユーザーに KMSI プロンプトが表示されないようにすることもできます。 このオプションを使用すると、選択したユーザー グループに対して KMSI プロンプトを無効にできます。ディレクトリ内の他のすべてのユーザーのサインイン動作は影響を受けません。
ユーザーにベネフィットがある場合にのみ KMSI プロンプトが表示されるようにするには、次のような場合に意図的に KMSI プロンプトが表示されないようにします。
- ユーザーがシームレス SSO と統合 Windows 認証 (IWA) を使用してサインインしている
- ユーザーが Active Directory フェデレーション サービス (AD FS) と IWA を使用してサインインしている
- ユーザーがテナントのゲストである
- ユーザーのリスク スコアが高い
- ユーザーまたは管理者の同意フロー中にサインインが発生する
- 永続的なブラウザー セッション制御が条件付きアクセス ポリシーで構成されている
![[ユーザーのサインインを維持する] プロンプトのスクリーンショット。](media/how-to-manage-stay-signed-in-prompt/show-keep-user-signed-in-expanded.png#lightbox)