Microsoft 365の管理者アカウントに突然アクセスできなくなると、ユーザー管理やセキュリティ設定の変更が行えず、業務に大きな支障が出ます。特に、多要素認証(MFA)のデバイス紛失やパスワード忘れ、アカウントロックなどが原因で、緊急時に対応できないケースは少なくありません。この記事では、そんな状況で役立つ「ブレークグラスアカウント」の確認方法と、事前の準備手順を詳しく解説します。すぐに実践できる具体的なステップを押さえて、いざという時に慌てないための知識を身につけてください。
【要点】この記事で確認すること
- 最初に見る場所: 緊急アクセス用のブレークグラスアカウントがテナントに存在するかどうか、そのサインイン方法を確認します。
- 切り分けの軸: アクセスできない原因を「端末側(MFAデバイス紛失など)」「アカウント側(パスワード忘れ・ロック)」「管理設定側(条件付きアクセスなど)」に分類して対処します。
- 注意点: 会社PCでブレークグラスアカウントのパスワードを変更したり、MFAを追加したりする操作は、管理ポリシーに違反する恐れがあります。必ず管理者またはIT部門へ連絡してください。
ADVERTISEMENT
目次
ブレークグラスアカウントとは何か
ブレークグラスアカウント(Break Glass Account)は、緊急時に通常の管理者アカウントが使えない場合にのみ使用する、特権的な非常用アカウントです。通常は無効化または強固な保護下に置かれ、MFAのバイパスや例外的なアクセスを許可するよう設計されます。Microsoft 365では、グローバル管理者ロールを持つアカウントをブレークグラスとして設定するのが一般的です。
なぜブレークグラスアカウントが必要か
通常の管理者アカウントはMFAや条件付きアクセスで保護されていますが、MFAデバイスの故障やパスワード忘れ、アカウントロックなどによりアクセス不能になるリスクがあります。ブレークグラスアカウントを用意しておけば、こうした緊急時でも管理者権限を回復でき、システム全体の復旧や設定変更が可能になります。
ブレークグラスアカウントの特徴
- MFA非適用: 通常はMFAを要求しない、または別の認証方法(ロングパスワード+地理的制限など)を使用します。
- 最小限の数: テナント全体で1~2アカウントに限定し、管理を徹底します。
- 定期的なテスト: パスワードの確認やサインインのテストを定期的に行い、実際に使える状態を維持します。
管理者アカウントにアクセスできない原因の切り分け
まずは問題の原因を切り分けましょう。以下の3つの観点で確認します。
| 原因カテゴリ | 具体例 | 確認ポイント |
|---|---|---|
| 端末側 | MFAデバイスの紛失、携帯電話の機種変更、認証アプリの誤削除 | 別の端末からサインインを試す、MFAの代替方法(SMSなど)が設定されているか確認 |
| アカウント側 | パスワードの期限切れ、アカウントロック、管理者による無効化 | パスワードリセットが可能か、ロックアウト時間が経過するのを待つ |
| 管理設定側 | 条件付きアクセスポリシーによるブロック、IPアドレス制限、セキュリティ既定値の変更 | プライベートネットワークや異なるIPから試す、ポリシーが適用されているか管理者に確認 |
端末側の問題かどうか
MFAデバイスが利用できない場合、事前に登録した代替認証方法(SMS、別の認証アプリ、ハードウェアトークンなど)を試します。ただし、会社PCで代替方法を追加する権限がない場合もあります。その場合は、別の信頼できる端末(個人スマートフォンなど)を使用するか、IT部門に連絡して代替方法を事前に設定してもらってください。
アカウント側の問題かどうか
パスワードを忘れた場合、セルフサービスのパスワードリセット(SSPR)が有効になっていれば、登録した電話番号やメールでリセットできます。しかし、SSPRが無効、または登録情報がない場合は、他の管理者にパスワードリセットを依頼するしかありません。アカウントロックは通常15~30分で解除されるため、しばらく待ってから再試行します。
管理設定側の問題かどうか
条件付きアクセスやIP制限などが原因でアクセスできない場合、会社のネットワーク外(自宅やモバイル回線)からの接続を試すことで回避できるかもしれません。ただし、会社のセキュリティポリシーに違反する可能性があるため、事前に許可された手段かどうか確認が必要です。また、すべての管理者アカウントがブロックされる設定になっていないか、ブレークグラスアカウントで確認する必要があります。
緊急時のブレークグラス確認手順
ここでは、実際にブレークグラスアカウントを使って管理者アクセスを回復する手順を説明します。以下のステップは、あらかじめブレークグラスアカウントが作成され、パスワードとサインイン方法が安全な場所に保管されていることを前提とします。
- ブレークグラスアカウントのパスワードを安全な場所から取り出す
パスワードは紙に印刷して金庫に保管するか、パスワードマネージャーに保存します。緊急時以外は絶対に使用しないでください。パスワードが不明な場合は、他の管理者に確認するか、事前に決められたプロセスに従って取得します。 - 会社のPCではなく、信頼できる別の端末からサインインを試す
ブレークグラスアカウントはMFAをバイパスするため、通常のMFAデバイスは不要です。ただし、会社のPCに条件付きアクセスポリシーが適用されている可能性があるため、個人のスマートフォンのブラウザや、自宅のPCなどのネットワーク環境が異なる端末を使用してください。 - Microsoft 365管理センター(admin.microsoft.com)にアクセスする
ブレークグラスアカウントでサインインし、管理センターに入れるか確認します。グローバル管理者ロールが割り当てられているため、すべての管理機能にアクセスできます。 - 問題の原因を調査して修正する
例:ロックされているアカウントを解除する、MFA設定をリセットする、条件付きアクセスポリシーを調整するなど。修正後、ブレークグラスアカウントからサインアウトし、通常の管理者アカウントで再度サインインできることを確認します。 - ブレークグラスアカウントの使用を記録し、監査ログを確認する
ブレークグラスアカウントは特権が高いため、使用後は必ずMicrosoft 365 Purviewコンプライアンスポータルでサインインログやアクティビティログを確認し、不審な操作がないかチェックします。
失敗パターンと注意点
ブレークグラスアカウントを利用する際に、よくある失敗とその回避方法を紹介します。
失敗パターン1: パスワードが古くて使えない
ブレークグラスアカウントのパスワードは定期的に更新する必要があります。更新を忘れると、パスワードの有効期限が切れてサインインできなくなります。対策として、パスワードの有効期限を無期限に設定する、または少なくとも年1回はパスワードを変更してテストする運用を徹底してください。
失敗パターン2: 条件付きアクセスでブロックされる
ブレークグラスアカウントはMFAをバイパスするよう設定されますが、条件付きアクセスの「すべての管理者にMFAを必須」などのポリシーが適用されると、意図せずブロックされる可能性があります。事前にブレークグラスアカウントを条件付きアクセスの対象から除外するか、ポリシーに例外を設定しておく必要があります。
失敗パターン3: ブレークグラスアカウントが存在しない
多くの組織ではブレークグラスアカウントが未作成または削除されているケースがあります。この場合、緊急時のアクセス手段がありません。事前にIT部門にブレークグラスアカウントの存在を確認し、なければ作成を依頼してください。また、作成後はパスワードを安全に保管し、定期的にテストすることを忘れずに。
管理者に確認すべき情報と事前準備
緊急時にスムーズに対応するために、以下の情報を事前に管理者またはIT部門に確認しておきましょう。
- ブレークグラスアカウントのユーザー名(UPN)
通常は admin@contoso.com や breakglass@contoso.com のような形式です。ドメイン名と正確なアカウント名を控えておきます。 - パスワードの保管場所と取得方法
パスワードは紙で金庫、または暗号化されたパスワード管理ツールに保存されているはずです。緊急時の取り出し手順を明確にしておいてください。 - MFAバイパスの有効/無効状態
ブレークグラスアカウントがMFAを要求しない設定になっているか確認します。Microsoft Entra IDの「ユーザー認証方法」でMFAが無効化されている必要があります。 - 条件付きアクセスポリシーからの除外設定
ブレークグラスアカウントがすべての条件付きアクセスポリシーから除外されているか、または特定のポリシーのみ適用されるか確認します。
よくある質問
- Q. ブレークグラスアカウントがなくても緊急アクセスは可能ですか?
A. 可能ですが、非常に困難です。唯一の方法は、Microsoftサポートに連絡してテナントの回復を依頼することですが、本人確認に時間がかかるため、数日間アクセス不能になるリスクがあります。ブレークグラスアカウントを事前に作成することを強く推奨します。 - Q. ブレークグラスアカウントを使った後、通常の管理者アカウントを復旧するにはどうすればいいですか?
A. 管理センターから該当アカウントのパスワードリセットやMFAリセットを行います。詳細なログを監査し、問題の原因(ポリシー設定ミスなど)を修正します。その後、ブレークグラスアカウントは再度無効化またはパスワード変更してください。 - Q. ブレークグラスアカウントのパスワードを忘れた場合の対処法はありますか?
A. 別の管理者がいる場合、その管理者がブレークグラスアカウントのパスワードをリセットできます。すべての管理者がアクセス不能な場合、Microsoftサポートに電話し、組織の証明(ドメイン所有確認など)を提出してパスワードリセットを依頼します。このような事態を避けるため、パスワードは必ず複数の人間がアクセスできる安全な場所に保管してください。
まとめ
緊急時に管理者アカウントへアクセスできなくなるトラブルは、ブレークグラスアカウントを適切に準備することで迅速に解決できます。原因を端末・アカウント・管理設定の3軸で切り分けた上で、事前に作成されたブレークグラスアカウントを活用しましょう。最も重要なのは、ブレークグラスアカウントの存在確認とパスワードの定期的な更新です。また、使用後は必ずログを監査し、セキュリティの一貫性を保つことが求められます。この機会に、自社のブレークグラスアカウントの状態を確認し、万全の準備を整えてください。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Teams】会議の「参加者リスト」を出席後にダウンロードする!誰が参加したか確認する手順