会社から支給されたAndroidスマートフォンを使用しているにもかかわらず、社外のネットワーク(モバイル通信や自宅Wi-Fiなど)からSharePointへアクセスしようとすると「アクセスが拒否されました」というエラーが表示されるケースがあります。この問題の多くは、Microsoft 365のセキュリティ機能である条件付きアクセス(Conditional Access)が原因です。条件付きアクセスは、許可されていないデバイスや場所からの接続をブロックする仕組みですが、正しく設定されていないと正当なアクセスまで阻害してしまいます。この記事では、Androidスマホで社外ネットワークからSharePointを開けない原因を切り分け、自分で確認できる手順や管理者に依頼すべきポイントを具体的に解説します。
【要点】この記事で確認すること
- 最初に見る場所: Androidスマホのエラーメッセージの内容、Microsoft Authenticatorアプリの状態、企業ポータルアプリにおけるデバイス登録状況
- 切り分けの軸: エラーの種類(アクセス拒否・資格情報の問題・アプリ固まり)と、社内ネットワークではアクセスできるかどうか
- 注意点: 会社スマホであっても、OSのアップデートやAuthenticatorの再インストールは管理者の指示なしに実施しない。条件付きアクセスポリシーの変更は管理者権限が必要なため、自分では行わないこと
ADVERTISEMENT
目次
条件付きアクセスがブロックする仕組みとは
条件付きアクセスは、Azure AD(Entra ID)が提供するポリシーベースのアクセス制御です。組織の管理者が「特定の条件を満たさない限り、クラウドアプリへのアクセスを許可しない」というルールを設定できます。例えば、以下のような条件が組み合わされます。
- ユーザー: すべてのユーザー、特定のグループ、または特定の役割
- 場所: 信頼できるIPアドレス範囲(社内ネットワーク)か、それ以外のすべての場所
- デバイス: 準拠しているデバイス(Intuneで管理・コンプライアンスポリシー適合)か、非準拠
- アプリ: 対象となるクラウドアプリ(SharePoint Online、Exchange Onlineなど)
社外ネットワークからのアクセスがブロックされる典型的なパターンは、ポリシーで「場所=すべての場所」または「場所=信頼されていない場所」を対象とし、かつ「デバイスが準拠していること」を要求している場合です。AndroidスマホがIntuneのコンプライアンスポリシーを満たしていなかったり、デバイスが適切に登録されていないと、アクセスは拒否されます。
確認手順:自分で行えるトラブルシューティング
ここでは、AndroidスマホでSharePointにアクセスできないとき、自分で確認できる4つのステップを紹介します。手順の前に、社内ネットワーク(会社のWi-Fiなど)に接続した状態でSharePointが開けるかどうかを必ず試してください。社内で開ける場合、条件付きアクセスの場所条件が原因である可能性が高まります。
- エラーメッセージの確認: ブラウザやSharePointアプリに表示されるエラーの内容を記録します。「このアプリにアクセスできません」「サインインは成功しましたが、アクセスはブロックされました」などの文言が条件付きアクセスに関連します。スクリーンショットを撮っておくと後で管理者に伝えやすくなります。
- Microsoft Authenticatorアプリの状態確認: AndroidスマホにMicrosoft Authenticatorがインストールされているか確認します。また、アプリ内で会社のアカウントが登録されているか、プッシュ通知が正常に届くかも確認してください。Authenticatorが古いバージョンだったり、アカウントが削除されていると、多要素認証やデバイス登録に失敗してブロックされます。
- 企業ポータル(Intune Company Portal)の確認: 会社スマホには通常、Microsoft Intuneポータルサイトアプリがインストールされています。アプリを開き、デバイスが「準拠」として表示されているか確認します。「非準拠」や「未登録」と表示される場合は、コンプライアンスポリシー違反が考えられます。また、デバイスが「登録済み」であることも重要です。
- 設定アプリでのアカウント状態確認: Androidの「設定」→「アカウント」で、職場または学校アカウントが追加されているか確認します。ここでアカウントが同期エラーを起こしている場合、条件付きアクセスに必要なデバイス情報が正しく送信されていない可能性があります。
追加で確認すべきポイント
上記手順で問題が見つからない場合、以下の点も確認してください。
- AndroidのOSバージョンがサポートされているかどうか。古すぎるOS(Android 8以下など)はIntuneのコンプライアンス条件を満たせないことがあります。
- デバイスがルート化(root化)されていないか。ルート化されたデバイスは条件付きアクセスでブロックされるポリシーが多く存在します。
- デバイスが最新のセキュリティパッチを適用しているか。未適用の場合はコンプライアンス違反になります。
エラー内容から原因を特定する比較表
| エラーメッセージ例 | 考えられる原因 | 主な対処 |
|---|---|---|
| 「このアプリにアクセスできません。条件付きアクセスポリシーが適用されました」 | 条件付きアクセスでブロックされている。デバイス非準拠または場所条件不適合。 | 企業ポータルでデバイスの準拠状態を確認。Intuneのコンプライアンスポリシーに違反していないかチェック。管理者にポリシーの詳細を問い合わせ。 |
| 「サインインは完了しましたが、アクセス権がありません」 | ユーザーアカウントにSharePointのライセンスやアクセス許可がない。 | Microsoft 365管理センターでユーザーにライセンスが割り当てられているか確認。SharePointサイトの権限設定を確認。 |
| 「このデバイスは組織のセキュリティ要件を満たしていません」 | デバイスがIntuneのコンプライアンスポリシーに違反している。 | 企業ポータルでエラーの詳細を表示し、指示に従って修正(例:パスワード変更、暗号化有効化、アンチウイルス導入など)。 |
| 「この場所からのアクセスは許可されていません」 | 場所条件が原因。社外ネットワークが信頼されていない。 | 管理者に場所ポリシーの確認を依頼。VPN接続で社内ネットワーク経由にする方法があるか相談。 |
ADVERTISEMENT
失敗パターンとその対処
パターン1: Authenticatorアプリが最新でない
Google PlayストアでMicrosoft Authenticatorの更新があるか確認します。古いバージョンでは新しい認証方式やデバイス登録機能が正しく動作しないことがあります。更新後、再度アクセスを試してください。
パターン2: 企業ポータルでデバイスが「未登録」または「登録解除」
Androidスマホを初期化したり、ポータルアプリを一度アンインストールした場合、デバイスがIntuneから登録解除されることがあります。この場合、企業ポータルアプリを開いて「デバイスの登録」を行う必要があります。ただし、会社のポリシーによっては自分で再登録できない場合があるため、管理者に連絡してください。
パターン3: デバイスコンプライアンスポリシーに違反している
Intune管理者が設定したコンプライアンスポリシー(例:画面ロック必須、デバイス暗号化必須、OSバージョン制限など)に違反していると、デバイスは「非準拠」と判定されます。企業ポータルアプリを開き、「準拠状況」の項目で具体的な違反内容を確認できます。たとえば「パスワードが設定されていません」と表示されれば、設定アプリから画面ロックを有効にすることで解消できます。
パターン4: 社内ネットワークではアクセスできるが社外ではできない
この場合、条件付きアクセスの場所ポリシーが原因です。管理者が「社内ネットワークからのアクセスのみ許可」あるいは「社外からのアクセスには多要素認証とデバイス準拠を要求」と設定している可能性があります。対処としては、会社から配布されたVPNアプリを使って社内ネットワークに接続するか、管理者にポリシーの緩和を依頼します。
管理者に確認・依頼すべき情報
自分で確認できる範囲で問題が解決しない場合は、IT管理者に次の情報を伝えてください。
- エラーのスクリーンショットまたはメッセージ全文: いつ、どこで、どのような操作をしたときに表示されたか
- アクセス日時と場所: 自宅Wi-Fiかモバイル回線か、IPアドレスがわかればそれも
- デバイス情報: Androidのバージョン、メーカー・モデル、Intuneポータルに表示されるデバイス名と準拠状態
- アカウント情報: ユーザー名(例: taro.yamada@company.com)と、管理者がポリシーを確認するためのグループ所属情報
管理者はこれらの情報をもとに、Azure ADの条件付きアクセスログ(サインインログ)を調査し、どのポリシーがブロックしているのか特定できます。また、必要に応じてポリシーを変更したり、デバイスを再登録する手順を案内してくれます。
よくある質問
Q1. 条件付きアクセスとは何ですか?
条件付きアクセスは、Azure AD(Entra ID)の機能で、サインインの際にユーザー、デバイス、場所、アプリなどの条件をチェックし、アクセスを許可するかどうかを判断するセキュリティポリシーです。組織のデータを保護するために導入されています。
Q2. 自分で条件付きアクセスポリシーを無効にできますか?
いいえ、条件付きアクセスの設定は管理者しか変更できません。ユーザーが自分で設定を変えることはできません。
多くの組織では、プライベートデバイスからのアクセスを制限する条件付きアクセスポリシーが設定されています。その場合、Intuneにデバイスを登録するか、ブラウザ経由でのアクセスが制限されることがあります。事前にIT部門に確認してください。
Q4. 社内ネットワークではアクセスできるので、社外でもVPNを使えば解決しますか?
可能性は高いです。VPNで社内ネットワークのIPアドレスを取得できれば、場所条件を満たせる場合があります。ただし、VPN接続自体も条件付きアクセスでブロックされる可能性があるため、管理者にVPNの利用が許可されているか確認しましょう。
まとめ
会社のAndroidスマホで社外ネットワークからSharePointにアクセスできない原因は、多くの場合条件付きアクセスポリシーによるブロックです。まずはエラーメッセージを確認し、Authenticatorや企業ポータルの状態をチェックすることで、問題を切り分けられます。自分で解決できない場合は、管理者に詳細な情報を伝え、ポリシーの確認やデバイス再登録を依頼してください。条件付きアクセスは組織のセキュリティを守る重要な機能であるため、むやみに無効化を求めず、正しい手順でアクセスできる方法を模索することが大切です。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】メール本文が「文字化け」して読めない!エンコード設定の変更と修復手順