会社から支給されたAndroidスマートフォンで、仕事用プロファイルの初回設定を行おうとしたところ、条件付きアクセスの対象になったために設定画面で止まってしまうケースがあります。この問題は、主に端末の準拠状態やアクセス元の場所条件が原因で発生します。特に、Intuneなどのモバイルデバイス管理(MDM)と条件付きアクセスポリシーが連携している環境では、仕事用プロファイルのセットアップ中に端末がポリシーを満たしていないと判定され、先に進めなくなることがあります。本記事では、具体的な確認手順と見直しポイントを解説します。
【要点】この記事で確認すること
- 最初に見る場所: 端末の設定アプリ内の「デバイス管理」や「セキュリティ」状態、およびMicrosoft Intuneアプリのコンプライアンス状況
- 切り分けの軸: 端末側(仕事用プロファイルの準拠・OSバージョン・暗号化)、アカウント側(ライセンス・ポリシー割り当て)、管理設定側(条件付きアクセスの場所条件・IP範囲)
- 注意点: 会社PCや個人所有の端末を利用する場合、管理者が設定した場所条件に該当しないネットワーク環境では設定が完了しない可能性があります。また、端末のルート化やカスタムROMなどはコンプライアンス違反となるため、業務用端末では避けてください。
ADVERTISEMENT
目次
条件付きアクセスと仕事用プロファイルの関係
条件付きアクセス(Conditional Access)は、Azure ADの機能であり、企業データにアクセスする際の条件を細かく制御します。例えば、端末が準拠していること、場所が特定の国やIP範囲であることなどを要求できます。仕事用プロファイル(Work Profile)は、Android Enterpriseの機能で、仕事用アプリとデータを個人用領域から分離します。初回設定時に、端末はIntuneなどのMDMに登録され、ポリシーが適用されます。このとき、条件付きアクセスポリシーが適用されていると、設定中に必要なアクセス(例えば、企業のアカウントへの認証)がブロックされ、プロファイルの作成が完了できなくなります。
初回設定で止まる主な原因
仕事用プロファイルの初回設定が条件付きアクセスで止まる原因は、大きく分けて端末準拠(コンプライアンス)条件と場所条件の2つです。さらに、プロファイルの展開そのものに問題がある場合もあります。
端末準拠条件
端末が企業のコンプライアンスポリシーに適合していないと、条件付きアクセスがアクセスを拒否します。代表的な準拠要件は、パスコード設定、暗号化、OSバージョン、ルート検出、デバイス正常性などです。仕事用プロファイルの設定中にこれらのチェックが行われ、未準拠の場合はエラーが表示されて先に進めません。
場所条件
管理者が条件付きアクセスポリシーに場所条件(IPアドレス範囲、国・地域)を設定している場合、端末が許可された場所からアクセスしていないとプロファイル設定が中断されます。例えば、海外出張中や自宅のVPN経由など、想定外のIPアドレスからのアクセスがブロックされることがあります。
プロファイルの展開不備
Intuneなどで仕事用プロファイルの構成プロファイルやアプリの割り当てが正しく行われていない場合、設定が途中で止まることがあります。特に、必須アプリのインストールができない、証明書が不足しているなどの理由でハングするケースがあります。
端末準拠条件の確認手順(端末側)
まずは端末側でコンプライアンス状態を確認します。以下の手順を試してください。
- 端末の「設定」アプリを開き、「セキュリティ」または「ロック画面とセキュリティ」を選択します。画面ロックが設定されていない場合は、パスワードやPINを設定します。
- 「暗号化と認証情報」を確認し、端末が暗号化されていることを確認します。通常、Android 7以降の端末はデフォルトで暗号化されていますが、確認してください。
- 「デバイス管理」または「管理者」を開き、Intuneや会社のMDMアプリがデバイス管理者として有効になっているか確認します。有効でない場合は、設定を有効にします。
- 「Google Play Protect」が有効で、デバイスが正常と判定されているか確認します。Playストアアプリから「Play Protect」を開き、「デバイスのセキュリティ状態」が「問題なし」であることを確認します。
- IntuneポータルサイトアプリまたはMicrosoft Intuneアプリをインストールし、サインインします。「デバイスの状態」で「準拠」と表示されているか確認します。非準拠の場合は、表示されるメッセージに従って修正します。
これらの確認で問題がなければ、端末側の準拠条件は満たしている可能性が高いです。ただし、ポリシーがリアルタイムで反映されないこともあるため、一度アンインストールして再インストールするか、再起動を試みてください。
ADVERTISEMENT
場所条件の確認と対処(管理者向け)
場所条件が原因の場合、管理者が条件付きアクセスポリシーを見直す必要があります。以下の手順を管理者に依頼してください。
場所条件の設定方法
Azure AD管理センターで、「条件付きアクセス」→「ポリシー」→該当ポリシーを選択→「条件」→「場所」で設定を確認します。「任意の場所」または「信頼できるIP」の範囲が適切か確認してください。仕事用プロファイルの初回設定時には、端末が未知のIP(社外)から接続することが多いため、「すべての場所」を許可するか、一時的に「場所」条件を無効にすることで回避できる場合があります。
IPアドレス範囲の確認
社内ネットワークのIP範囲が正しく設定されているか確認します。特に、クラウド経由のアクセスや、モバイル回線(4G/5G)のIPアドレスは社外と判定されることが多いため、注意が必要です。管理者が「場所」条件で「国/地域」を指定している場合、端末の現在地が許可されている国かどうかも確認します。
トラブルシューティング比較表
| 症状 | 考えられる原因 | 確認ポイント | 対処方法 |
|---|---|---|---|
| 仕事用プロファイルの設定中に「アクセスが拒否されました」と表示される | 端末がコンプライアンス未準拠 | Intuneアプリのデバイス状態、ロック画面設定、暗号化 | 画面ロックを設定し、暗号化を有効化。端末を再起動して再同期。 |
| 設定中に「この場所からはアクセスできません」と表示される | 場所条件によるブロック | 現在のIPアドレス、管理者の場所ポリシー | 管理者に連絡し、場所条件を一時的に緩和するか、許可IPリストに追加。 |
| プロファイルのダウンロード中に進まない | ネットワークの問題またはプロファイルの破損 | Wi-Fi接続、モバイルデータ、プロファイルの再ダウンロード | ネットワークを切り替え、仕事用プロファイルを削除して再試行。 |
失敗パターンと注意点
実際の現場でよく見られる失敗パターンをいくつか紹介します。
- パターン1:端末に複数のGoogleアカウントが設定されており、仕事用プロファイルが想定外のアカウントで登録されてしまう。初回設定時には、会社のアカウントのみが追加された状態で行う必要があります。
- パターン2:管理者が条件付きアクセスで「すべてのクラウドアプリ」に場所条件を設定しているが、仕事用プロファイルの初回認証に必要なAzure AD登録も対象となりブロックされる。この場合、ポリシーから「デバイス登録」アプリを除外する必要があります。
- パターン3:端末の日時が正しく設定されていないために、証明書の有効期限エラーが発生し、プロファイル設定が失敗する。自動設定を有効にしてください。
これらの失敗は、管理者がポリシーを調整することで解決できるケースが多いです。ユーザー側では、端末の基本設定(ロック、暗号化、日時)を確実に行い、管理者に正確なエラーメッセージを伝えることが重要です。
よくある質問(FAQ)
Q1. 仕事用プロファイルの設定中に「準拠していません」と表示されます。どうすればよいですか?
A1. まず、端末のセキュリティ設定(ロック画面、暗号化)を確認し、Intuneアプリで詳細を確認してください。必要に応じて、端末をリセットせずに「デバイス管理」から一旦登録を解除し、再度設定を試みます。それでも解決しない場合は、管理者にIntuneのコンプライアンスポリシーを確認してもらいましょう。
Q2. 勤務先以外の場所(自宅や出張先)では設定できません。場所条件が原因ですか?
A2. 可能性が高いです。管理者が条件付きアクセスで特定のIP範囲(社内)のみ許可している場合、外部からの設定はブロックされます。管理者に連絡し、一時的にポリシーを緩和するか、VPN経由での設定を試すよう依頼してください。
Q3. 仕事用プロファイルを削除して再設定したいです。手順を教えてください。
A3. 端末の「設定」→「アカウント」→「仕事用プロファイル」から削除できます。その後、Intuneアプリまたは会社が指定する方法で再設定を行います。ただし、削除すると仕事用のデータも消えるので、バックアップがあるか確認してください。
Q4. 管理者に確認すべきことは何ですか?
A4. 以下の情報を伝えるとスムーズです。端末のモデルとOSバージョン、表示されているエラーメッセージのスクリーンショット、設定中のネットワーク環境(Wi-Fiかモバイルか、IPアドレスなど)。管理者は条件付きアクセスポリシーのログを確認し、どの条件でブロックされたかを特定できます。
まとめ
会社スマホで仕事用プロファイルの初回設定が条件付きアクセスで止まる場合、まずは端末のコンプライアンス状態を確認し、画面ロックや暗号化が有効であることを確認します。次に、エラーメッセージが場所に関するものであれば、管理者に場所条件の見直しを依頼します。設定中に「アクセス拒否」や「場所が許可されていません」といった表示が出た際は、パニックにならずに端末の基本設定とネットワーク環境を切り分けてください。管理者と連携してポリシーを調整することで、多くのケースで問題は解決します。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】メール本文が「文字化け」して読めない!エンコード設定の変更と修復手順