Entra ID 参加 PC でローカルアカウントにログインできない — ユーザー名の頭に「.\」を付けて解決する
貸出用の Windows 11 Pro PC を研修向けにセットアップしていたときの話です。運用方針は Microsoft Entra ID(旧 Azure AD)の Join とし、IT 用の職場アカウントでセットアップしたうえで、受講者には別途ローカルアカウントを使ってもらう構成にしました。
受講者用のローカルアカウント user01 を作り、いよいよ受講者として使おうとサインイン画面で user01 を入力したところ、パスワードは合っているはずなのにログインできない。ここで少しハマったので、原因と解決策を知見として共有します。
結論を先に書くと、サインイン画面のユーザー名欄に user01 ではなく .\user01 と入力すれば、ローカルアカウントとして認識されてログインできます。
何が起きたか
セットアップ時のアカウント構成はこうです。
| アカウント | 種別 | 用途 |
|---|---|---|
setup01@yourtenant.onmicrosoft.com | Entra ID(職場アカウント) | IT 管理・セットアップ用 |
user01 | ローカルアカウント | 受講者が使用 |
職場アカウント setup01@yourtenant.onmicrosoft.com では問題なくサインインできます。一方で、後から作ったローカルアカウント user01 は、サインイン画面でユーザー名とパスワードを入力してもログインに失敗します。パスワードを打ち間違えたのかと何度か入れ直しても結果は同じでした。
ローカルアカウントの作成自体は 設定 の アカウント から正しく完了していて、ユーザーも存在している。それなのにサインインできない、という状態です。
なぜローカルアカウントでログインできないのか
原因は、Entra ID Join 済みの PC では、サインイン画面が職場アカウント(Entra ID アカウント)でのサインインを前提に動いていることにあります。
ユーザー名欄に user01 のような名前だけを入力すると、Windows はそれを「いまサインインしようとしている既定のサインイン先」のユーザーとして解釈しようとします。Entra ID 参加 PC やドメイン参加 PC では、この既定のサインイン先がローカルマシンではなく Entra ID(あるいはドメイン)側に向いているため、ローカルアカウントの user01 が正しく引き当てられず、認証に失敗します。ユーザー名とパスワードが正しくても、そもそも「どこの user01 か」が食い違っているわけです。
これは古くからある挙動で、@IT の記事(Windowsのようこそ画面でローカルアカウントをログオン可能にする)でも、Windows Vista の時代から次のような趣旨で説明されています。
- Windows Vista 以降では、「ようこそ」が表示されている画面からローカルアカウントでログオンする際「<コンピュータ名>\ユーザー名」と入力する必要がある
- コンピュータ名が不明な場合は、ユーザー名の先頭に「.\」を付けるとローカルアカウントとして認識される
- この方法を使うと、ドメイン参加中の PC でも簡単にローカルアカウントでログオンできる
つまり、ローカルアカウントでログインするには「どのコンピュータのアカウントか」を明示する必要がある、ということです。
解決策: ユーザー名の頭に「.\」を付ける
解決はシンプルで、サインイン画面のユーザー名欄に次のように入力します。
.\user01先頭の .(ドット)は「このローカルコンピュータ」を表すショートハンドです。.\user01 は「このコンピュータのローカルアカウント user01」という意味になり、Entra ID 側を見にいかずにローカルの user01 を直接引き当ててくれます。これでパスワードを入力すれば、ローカルアカウントとして無事サインインできました。
コンピュータ名がわかっているなら、ドットの代わりにコンピュータ名を使っても同じです。
DESKTOP-AB12CD\user01ただし、コンピュータ名を調べる手間を考えると、どのマシンでも一律に使える .\ のほうが実用的です。コンピュータ名は、サインイン後であれば 設定 の システム → バージョン情報 で確認できます。
flowchart TD
A["サインイン画面でユーザー名を入力"] --> B{"先頭に .\ が付いているか"}
B -->|"user01(名前だけ)"| C["既定のサインイン先<br/>= Entra ID を参照"]
C --> D["ローカルの user01 を<br/>引き当てられず失敗"]
B -->|".\user01"| E["このローカルコンピュータの<br/>user01 を参照"]
E --> F["ローカルアカウントで<br/>サインイン成功"]
補足: 受講者に渡すときの注意
貸出 PC のように、受講者がローカルアカウントでサインインする運用では、.\ の入力が必要になる点を受講者にも伝えておくと親切です。サインイン画面でユーザー名が見えていても、それは職場アカウント向けの導線であることが多く、ローカルアカウントを使う人は自分でユーザー名欄を .\user01 に打ち替える必要があります。
一度ローカルアカウントでサインインすれば、以降はサインイン画面にそのアカウントが選択肢として表示されることが多く、次回からは .\ を意識せずに済みます。最初の 1 回だけ知っていればよい、という性質のものです。
まとめ
要点を整理します。
- Entra ID 参加 PC のサインイン画面は職場アカウントを前提に動く。ユーザー名だけを入力するとローカルアカウントを引き当てられず、パスワードが合っていてもログインできない
- ユーザー名の頭に
.\を付けて.\user01と入力すると、「このローカルコンピュータのアカウント」として認識され、ローカルアカウントでサインインできる .(ドット)は「このローカルコンピュータ」のショートハンドで、<コンピュータ名>\user01と書いても同じ。コンピュータ名を調べなくていい分、.\が実用的- 貸出 PC などローカルアカウントを使ってもらう運用では、受講者に
.\の入力を伝えておくとハマらずに済む
ユーザー名とパスワードが正しいのにサインインできないと、つい入力ミスを疑ってしまいますが、Entra ID 参加 PC では「どのコンピュータのアカウントか」を明示できていないだけ、というケースがあります。.\ を 2 文字足すだけで解決するので、覚えておくと貸出 PC のセットアップで詰まらずに済みます。
以上、貸出用 Windows PC のセットアップ現場からお送りしました。