【M365】「サインインしたままにする」を選択しても毎回ログインを求められる時のCookie設定

「認証トークン」の破棄を食い止め、セッションの永続性をシステム的に確保する

Microsoft 365のポータルやTeams、OutlookのWeb版にログインする際、『サインインしたままにする』にチェックを入れているにもかかわらず、ブラウザを立ち上げるたびにパスワードや2段階認証を求められることはないでしょうか。この「ログイン・ループ」は、作業開始時の集中力を削ぐだけでなく、認証プロトコルの無駄なトラフィックを生む原因となります。
これは技術的には、ブラウザ側に保存されるべき『永続的Cookie(Persistent Cookie)』が、プライバシー保護設定や終了時の自動削除プロセスによって物理的にパージ(消去)されていることが原因です。M365の認証基盤であるMicrosoft Entra IDは、チェックを入れた場合にのみ、ブラウザに数日間から数週間の有効期限を持つ認証トークンを払い出しますが、受け手側のブラウザがこれを拒否・破棄している状態です。本記事では、サインイン状態を維持するためのブラウザ側Cookie設定の手順から、IT管理者が設定する条件付きアクセスポリシーの影響、そして認証情報の不整合を解消するクレンジング術について詳説します。

1. 技術仕様:KMSI(Keep Me Signed In)とCookieのライフサイクル

M365のサインイン維持機能は、ブラウザ内の特定のCookieに依存しています。

内部的な認証ロジック

・セッションCookie vs 永続的Cookie:通常、ログイン情報はブラウザを閉じると消える「セッションCookie」に保存されます。しかし『サインインしたままにする(KMSI)』を選択すると、サーバーは有効期限が設定された「永続的Cookie」を発行します。
・認証トークンのマッピング:ブラウザに保存されたトークンは、次回アクセス時に自動的にHTTPヘッダーへ付与され、Entra IDへ送信されます。サーバー側でこのトークンが有効と判定されれば、ユーザー操作なしで再ログインが完了します。
・PRT(プライマリ更新トークン):Windows 10/11環境では、ブラウザだけでなくOS側のWAMS(Windows Account Management Service)と連携し、より強固な認証維持(PRTの利用)が行われます。

エンジニアリングの視点では、この問題は「データの永続化レイヤー(ブラウザストレージ)における書き込み成功後の、意図しない削除処理」といえます。

2. 実践:Microsoft Edge / Chrome での設定変更手順

ブラウザを閉じても認証情報を維持するための、具体的な設定操作ステップです。

具体的な設定手順(Microsoft Edgeの場合)

1. ブラウザ右上の「…」 > 「設定」をクリックします。
2. 左メニューから「Cookie とサイトのアクセス許可」 > 「Cookie とサイト データの管理と削除」を選択します。
3. 「ブラウザーを閉じる際に Cookie とサイト データをクリアする」がオンになっている場合、その右側の「追加」ボタンをクリックします。
4. 以下のドメインを入力して「追加」します。
   ・[*.]microsoft.com
   ・[*.]microsoftonline.com
   ・[*.]office.com

※これにより、他のサイトのCookieはプライバシーのために消去しつつ、Microsoft 365のログイン情報だけを保護(ホワイトリスト化)することが可能になります。

3. 技術的洞察:条件付きアクセスポリシー(管理者設定)の影響

ブラウザの設定が正しくても、組織のITポリシーによって「強制ログアウト」させられている場合があります。

・サインインの頻度(Sign-in frequency):Microsoft Entraの「条件付きアクセス」ポリシーにより、管理者が「8時間ごとに再認証を求める」といった制約を課している場合、ユーザー側のKMSI設定はオーバーライド(上書き)され、無効化されます。
・デバイスの準拠性:「社給PC(準拠済みデバイス)」以外からのアクセスを制限している場合、Cookieがあってもデバイスのヘルスチェックに失敗すると再ログインを求められます。
・セッションの永続化制御:管理者がKMSI機能自体をテナントレベルでオフにしている場合、チェックボックス自体が表示されない、あるいは機能しない設定になっている可能性があります。

4. 高度な修復:壊れた「認証キャッシュ」の物理削除

設定を直してもログインを求められる場合の、最終的なクレンジングプロトコルです。

認証情報の完全リセット手順

1. ブラウザの全キャッシュ削除:「すべての期間」を指定し、Cookieとキャッシュされた画像を一度完全に削除します。
2. Windows資格情報マネージャーの整理:コントロールパネル > ユーザーアカウント > 資格情報マネージャーを開きます。「Windows 資格情報」から MicrosoftOffice16_Data... などのM365に関連する古いエントリを削除します。
3. アカウントの切断と再接続:Windowsの「設定」 > 「アカウント」 > 「職場または学校にアクセスする」から、一度アカウントを切断し、再度接続し直すことで、OSレベルの認証トークン(PRT)を再生成させます。

5. 運用の知恵:利便性とセキュリティを両立する「プロファイル」運用

ログインの不便を解消しつつ、安全性を高めるためのエンジニアリング思考を提示します。

・ブラウザプロファイルの使い分け:「仕事用」と「個人用」でブラウザのプロファイルを完全に分離します。仕事用プロファイルのみCookieを永続化させる設定にすることで、プライベートな閲覧履歴は守りつつ、業務効率を最大化する「コンテキストの分離」が達成されます。
・MFA(多要素認証)の最適化:「サインインしたままにする」はMFAの回数を減らすための正当な手段です。信頼できる場所(オフィス等)ではセッションを長く、公共のWi-Fi等では短くという、リスクベースの認証設計を組織に提案するのも有効です。
・パスキー(Passkeys)の導入:Cookieに頼るだけでなく、指紋認証や顔認証(Windows Hello)を利用したパスキー認証へ移行することで、Cookieの有無に関わらず「一瞬で安全にサインイン」できる次世代の認証プロトコルを体験できます。

このように、サインイン状態の維持を制御することは、デジタルな「境界線」の管理を自動化し、ユーザーの生産性と組織のセキュリティポリシーを技術的に調和させるプロセスです。

まとめ:ログイン状態が維持されない原因と対策

Microsoft 365の「サインインしたままにする」機能が正常に動作しない状況は、システムの防護機能が必要以上に情報の通り道を塞いでしまっている状態です。ブラウザのCookie設定という「受け皿」を正しく整えること。この技術的な一工夫が、毎朝のルーチンワークから不要な「認証の手間」を取り除き、あなたが即座に本来のクリエイティブな業務へ取り掛かるためのスムーズなゲートウェイを構築します。まずはEdgeやChromeの設定画面を開き、MicrosoftドメインのCookieが守られているか、その一点を確認することから始めてみてください。