会社のMicrosoft 365環境で、管理者が承認した業務アプリにアクセスしようとした際に「条件付きアクセスによりブロックされました」というエラーが表示され、利用できないケースがあります。このエラーは、アプリ自体の問題ではなく、アクセス元の端末や場所、認証要件が組織のセキュリティポリシーを満たしていないことが原因です。本記事では、管理者承認が必要なアプリが条件付きアクセスで弾かれる原因と、端末・場所・認証条件ごとの切り分け手順を解説します。実際のトラブルシューティングに役立つ情報を提供しますので、IT部門やヘルプデスク担当者の方にも参考にしていただけます。
【要点】この記事で確認すること
- 最初に見る場所: Microsoft Entra管理センターの「サインインログ」でエラーコードとポリシー名を確認します。
- 切り分けの軸: 端末の準拠状態(Intune/Jamf)、アクセス元の場所(IPアドレス/国の範囲)、認証条件(多要素認証・ユーザーリスク)の3つです。
- 注意点: 個人所有端末を業務利用する場合は、デバイス登録や準拠条件が未達になりやすい点に留意してください。また、管理者承認の有無も合わせて確認する必要があります。
ADVERTISEMENT
目次
1. 管理者承認が必要なアプリの基本的な仕組み
Microsoft 365では、管理者が「エンタープライズアプリケーション」として登録したアプリに対して、ユーザーが同意する代わりに管理者が一括承認する仕組みがあります。この「管理者承認」を必要とするアプリは、承認済みであっても、その後の認証フローで条件付きアクセスポリシーによるチェックを受けます。条件付きアクセスは、サインインのたびに端末、場所、認証リスクを評価し、ポリシーを満たさないアクセスをブロックします。そのため、管理者がアプリを承認しても、エンドユーザー側の端末やネットワーク環境がポリシーに適合していなければ利用できません。
2. 条件付きアクセスで弾かれる主な原因
端末の状態が条件を満たしていない
条件付きアクセスの代表的な条件は「デバイスが準拠済みであること」です。IntuneなどのMDMに登録され、OSバージョンや暗号化、ウイルス対策などの準拠ポリシーをクリアしている端末からのアクセスが許可されます。個人所有のスマートフォンや自宅PCを業務用途で使う場合、登録や準拠状態が不足し、アプリがブロックされる原因になります。また、準拠デバイスであっても、更新が遅れて一時的に非準拠と判定されるケースもあります。
場所(IPアドレス)が制限されている
多くの企業は、信頼できるIPアドレス範囲(例:本社や拠点の固定IP)以外からのアクセスをブロックするポリシーを設定しています。在宅勤務や出張先など、社外のネットワークから接続する場合、そのIPアドレスが許可リストに含まれていないと条件付きアクセスが発動します。特に「すべての場所」を対象にしたポリシーや「不明な場所」をブロックする設定が有効になっている場合に注意が必要です。
認証条件(多要素認証など)が未達
管理者は、多要素認証の必須やサインインリスクの高い場合の追加認証を条件付きアクセスで設定します。ユーザーがまだ多要素認証を登録していなかったり、期限切れのセッションで条件を満たせなかったりするとブロックされます。また、ユーザーリスクポリシーが有効で、アカウントが危険と判定された場合もアクセスが拒否されます。
3. 原因の切り分け手順
以下の手順で、どの条件が原因かを特定していきます。管理者権限が必要な手順もありますので、ご自身の権限に応じて実施してください。
- サインインログを開く: Microsoft Entra管理センター > [監視] > [サインインログ] で、該当ユーザーの失敗したサインインを確認します。
- エラーコードとポリシーを特定する: サインインログの [条件付きアクセス] タブに、発動したポリシー名と判定結果が表示されます。エラーコードが「53003」の場合は条件付きアクセスによるブロックです。
- 端末の準拠状態を確認する: Intune管理センターで該当端末の [デバイスの準拠] ステータスを確認します。非準拠の場合は、その理由(OSアップデート、暗号化未設定など)を特定します。
- アクセス元の場所を確認する: サインインログの [場所] 項目で、どの国・地域のIPアドレスからアクセスがあったか確認します。ポリシーで許可されている範囲かどうかを管理者に問い合わせます。
- ユーザーの認証要件を確認する: 該当ユーザーが多要素認証を登録しているか、サインインリスクが高い状態になっていないかを、Entraの「ユーザー」ブレードで確認します。
- アプリに対する管理者承認の有無を再確認する: エンタープライズアプリケーション一覧で、該当アプリの「アクセス許可」が「管理者の同意が必要」となっていないか確認します。承認済みであっても、再度同意が必要な場合もあります。
ADVERTISEMENT
4. 状況別の原因と対応の比較表
| 状況 | エラーメッセージの例 | 主な原因 | 対応策 |
|---|---|---|---|
| 準拠していないデバイスからアクセス | このデバイスは必要な条件を満たしていません | 端末がIntuneに未登録、または準拠ポリシー未達 | 端末をIntuneに登録し、準拠ポリシーに従って設定を修正 |
| 許可されていない場所からアクセス | この場所からのアクセスは許可されていません | IPアドレスが許可範囲外、または国ブロックに該当 | VPN経由で社内ネットワークに接続するか、管理者に場所の例外申請 |
| 多要素認証が未登録 | 追加の検証が必要です | ユーザーが多要素認証を設定していない | Microsoft Authenticatorなどを登録して多要素認証を有効化 |
| アプリに管理者同意が不足 | アプリにアクセスするには管理者の承認が必要です | アプリのアクセス許可が未同意、または同意が期限切れ | 管理者がエンタープライズアプリケーションから同意付与 |
5. 失敗パターンと回避方法
実際のトラブルでよく見られる失敗パターンをいくつか挙げます。
パターン1:個人スマートフォンを業務アプリで使おうとしてブロック
個人のiOS/Android端末にTeamsやOutlookをインストールし、会社アカウントでサインインした際にブロックされるケースです。多くの場合、Intuneへの登録が求められますが、ユーザーが登録手順を知らずに失敗します。回避方法としては、会社のポータルサイトからIntune登録を行い、準拠ポリシーを満たすことです。
パターン2:自宅Wi-Fiからのアクセスが「未知の場所」と判定される
自宅のIPアドレスが企業の許可リストに含まれていないためにブロックされることがあります。これは、企業が「すべての場所」ではなく「信頼できる場所のみ許可」ポリシーを設定している場合に発生します。回避策として、会社VPNに接続してからアプリにアクセスする方法があります。管理者が在宅勤務用に「特定の国」を許可している場合でも、自宅IPがその国に属していれば問題ない場合もあります。
パターン3:古いセッション情報で再認証が求められた際にブロック
長時間アプリを使わなかった後、再び開いたときにトークンが期限切れとなり、再認証が必要になります。このとき、端末の状態が変化している(例:OSアップデート未完了で非準拠になった)とブロックされます。対策としては、端末の準拠状態を常に最新に保つことです。また、条件付きアクセスのセッション制御で「サインインの頻度」が短く設定されている場合も同様です。
6. 管理者に確認すべきポイント
一般ユーザーが自分で解決できない場合、管理者に以下の点を確認してもらうと原因特定がスムーズです。
- どの条件付きアクセスポリシーが適用されているか: ポリシー名、割り当てユーザー、条件(デバイス、場所、クライアントアプリ)を確認します。
- ポリシーの「許可」設定: 「アクセスをブロック」なのか「アクセスを許可(その他の制限あり)」なのかを確認します。後者の場合、多要素認証や準拠デバイス要求が原因です。
- 除外グループの有無: 特定ユーザーやグループをポリシーから除外していないか確認します。バイパスできるグループがあれば、一時的に追加してもらう方法もあります。
- アプリのマニフェスト設定: 一部のアプリは「knownClientApplications」などのマニフェスト設定が必要な場合があります。管理者が同意付与時に正しく設定したか確認します。
7. よくある質問
Q1. 自宅では使えたのに、会社のPCから使えなくなりました。なぜですか?
自宅と会社で異なる条件付きアクセスポリシーが適用されている可能性があります。会社のPCはドメイン参加していても、準拠条件を満たしていない場合や、社内ネットワークのIPが許可リスト外の場合はブロックされます。サインインログで原因を確認してください。
Q2. 多要素認証は設定済みなのにブロックされます。どうすればいいですか?
多要素認証が登録されていても、セッションのリスクレベルが高いとブロックされることがあります。また、多要素認証の方式(アプリ通知やSMS)がポリシーで要求されている方式と一致していない場合も考えられます。管理者にポリシーの詳細を確認してもらいましょう。
Q3. 管理者に問い合わせる前に自分でできることはありますか?
まず、端末が会社のMDMに登録されているか確認し、OSやセキュリティソフトが最新かどうかをチェックしてください。また、ブラウザのシークレットモードや別のブラウザで試すと、キャッシュの問題が切り分けられます。プライベートネットワークからVPN経由で接続するのも有効です。
8. まとめ
管理者承認が必要なアプリが条件付きアクセスで弾かれる場合、原因は端末の準拠状況、アクセス元の場所、または多要素認証などの認証条件にあります。サインインログを確認することで、どのポリシーが発動したかを特定できます。個人端末を業務利用する際はIntune登録と準拠ポリシーの遵守が不可欠です。また、VPN接続や多要素認証の事前設定も忘れずに行いましょう。管理者と協力してポリシーの内容を確認することで、迅速な解決が可能になります。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【Outlook】宛先が「オートコンプリート」に出ない・間違っている時の修正手順|履歴の削除と再構築
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する