vol.193　ログオン/ログオフ、サインイン/サインアウト、あなたはどっち派？

Windowsにサインイン？ログイン？

　今のWindowsやWindows Serverのデスクトップを使用するために、ユーザーはユーザー名とパスワード、あるいはPINや生体認証を使用して「サインイン（Sign in）」し、終了するには「サインアウト（Sign out）」してセッションを終了するか、シャットダウン（セッションが終了されるため、サインアウトされます）、スリープ、または休止状態にします。

　Windowsを長く使っている多くのおじさんは、Windowsへの「サインイン/サインアウト」のことを、「ログオン/ログオフ」というかもしれません。もしかすると、「ドメインにログオン」なんて言う人もいるでしょう。もしそんな場面に出くわしても、スルーしてください。このブログでは、なるべくUIに合わせて表現していますが、たまに「ログオン/ログオフ」を使ってしまうことがありますが、同じくスルーしてください。

　もともと、Windowsの使用開始と終了操作には、「ログオン（Logon）/ログオフ（Logoff）」という用語が使用されていました。Windowsが初めてマルチユーザーOSになったWindows NTの頃からです（画面1）。

画面1　Windows Server 2003 R2のログオン画面。ログオン/ログオフという用語を使用していた最後のバージョン

　UNIX（Linuxがまだない時代）というか端末（tty）接続では、古くから今日までずっと「ログイン（Login）/ログアウト（Logout）」が主流です。現在でもUNIXやLinuxでは、login: プロンプトから入り、logoutコマンドでログアウトします。UNIXで「ログイン/ログアウト」だから、Microsoftはそれに対抗して「ログオン/ログオフ」にしたというのは、私の勝手な想像です。なお、UNIXのファイルの区切り文字がスラッシュ（/、/usr/libなど）なのに対して、Windowsがバックスラッシュ（\、C:\Windows\System32など、日本語環境ではフォントによっては￥、韓国語環境ではたぶん₩）なのは、UNIXに対抗したからという人もいますが、実際のところはMS-DOS（Windows登場以前のOS）でスラッシュ（/、DIR /?など）をオプション指定に使っていたというのが本当のところのようです。

　Windowsで「サインイン/サインアウト」が使用されるようになったのは、Windows 8でコンシューマーデバイスの資格情報として、Microsoftアカウント（MSA）というオンラインアカウントが使用されるようになってからです。「サインイン/サインアウト」という用語は、一般的にクラウドサービスを利用する際に使用されます。WindowsのユーザーとしてMSAを使用する場合、Microsoftアカウントの認証サービスで認証を受けてセキュリティトークンを取得する必要があるため、「サインイン/サインアウト」への変更は自然なことです。現在は、オンラインアカウントとしてコンシューマー向けのMSAに加えて、企業や組織向けのMicrosoft Entra IDアカウント（旧称、Azure ADアカウント）も使用できます。

　ローカルアカウントやWindows Server、Active Directoryドメイン環境では「ログオン/ログオフ」のほうが適切ですが、WindowsとWindows Serverの共通のUIによって、表面上、「サインイン/サインアウト」に置き換えられてしまいました（画面2）。Windows 8と同じコードベースのWindows Server 2012はWindows 8と同じデスクトップエクスペリエンスを備えているため、Windows Serverでもこの時から「サインイン/サインアウト」が使用されるようになったのです（画面2）。

画面2　Windows Server 2012のサインイン（ログオン）画面。Windows 8と共通のUIを持つこのバージョンからWindows Serverでも「サインイン/サインアウト」に置き換えられた

MSAでサインインしても、背後ではローカルアカウントでWindowsにログオン

　「ログオン/ログオフ」という用語は、現在のWindowsでもグループポリシーの設定、レジストリ、イベントログ、システムコンポーネントなど各所に残っています。サインイン（ログオン）画面（LogonUI.exe）を表示して資格情報の入力を受け付け、認証サービス（Windowsではローカルセキュリティ機関《LSA、Lsass.exe、LsaIso.exe》といいます）にそれを引き渡して検証し、ユーザーのログオンセッションを作成するのは、現在のWindowsでも「Windowsログオンアプリケーション（Winlogon.exe）」です。LSAは認証パッケージ（ローカルアカウント:NTLM、オンラインアカウント: CloudAp、ドメインアカウント：Kerberos）を使用してユーザーを認証してアクセストークンを生成し、ユーザーのログオンセッションを作成して、その中にデスクトップ（Default、Winlogon、Secure Destop）を作成します。コマンドプロンプトやPowerShellでコマンドでログオンセッションからサインアウトするには、「logoff」を実行します。

　また、MSAを使用していても、MSAのサービスへのそのデバイスからの初回サインイン時に、MSAに紐づくローカルアカウントがMicrosoftアカウントの名前の一部を使用して自動作成されます。MSAでサインインしているようでいて、実は、このローカルアカウントを使用してWindowsのセッションに「ログオン」しています。Windowsのセキュリティモデル（SIDによるアクセス制御、NTFSアクセス許可、レジストリアクセス許可、NTLM認証、Kerberos認証など）は、Microsoftアカウントでは使用できません。そのためにローカルアカウントが自動生成され、背後で使用されるのです。MSAで一旦認証され、MSAのサービスにデバイスが登録されると、以降はローカルアカウントのキャッシュされた資格情報を使用してログオンされるため、インターネット接続がなくてもMicrosoftアカウントでサインインできるというわけです（画面3）。

画面3　MSAでサインインしているデバイス、実際にはMSAに紐づいたローカルアカウントが自動生成され、そちらでWindowsにログオンする

　何を言いたいかというと、Windowsから見れば、ユーザーは今も昔も「ログオン/ログオフ」していることに変わりないということです。Windowsのサインイン画面でオンラインアカウントでサインインすると、紐づいたローカルアカウント（ローカルSID）でWindowsにログオンし、オンラインアカウント（OAuth 2.0やOpenID Connectなどのセキュリティトークン）はMicrosoftストアやメール、Microsoft 365アプリやサービスのシングルサインオン（SSO）アクセスに使用されます。ここで新たに「サインイン」によく似た「サインオン（Sign on）」という用語がでてきましたが、これはメインフレームや初期のUNIXで使われていた古風な用語で、現在では「SSO」でしか使われていないと思います。

　最後に、「ドメインにログオン」という表現について。“ドメインユーザーによるログオン”をこう表現しているのであれば、正しい表現ではありません。アカウントの種類に関係なく、Windowsのサインイン（ログオン）画面からログオンする対象は常にローカルのWindowsです（オンラインアカウントであれば同時にクラウドのサービスにサインインすることになります）。“ドメインユーザーによるログオン”とは、Active Directoryドメインのドメインユーザーアカウントの資格情報を使用して、ドメインに参加済みのWindowsデバイスにログオンすることを指します。ドメインの認証サービスを使用（ログオンサーバーとしてドメインコントローラーを使用）しているので、「ドメインにサインイン」なら適切かもしれません。とはいえ、Microsoft自身が「ドメインにログオン」という表現を使っていたりします。まぁ、意味が伝わるなら何の問題もないでしょう。

ドメインにログオンするときのエラー 1384｜Windows Server（Microsoft Learn）

セイテク・シス管道場（Web） (1)