【Microsoft 365】条件付きアクセスが会社ポリシーでブロックされる時の確認ポイント

会社のMicrosoft 365にサインインしようとしたら、「このサインインはブロックされました」というメッセージが表示されて先に進めない――そんな経験はありませんか。これは、会社の管理者が設定した条件付きアクセス(Conditional Access)ポリシーが働いて、アクセスを制限している可能性があります。条件付きアクセスは、アクセス元のネットワーク、端末の状態、ユーザーのリスクレベルなどをチェックし、ポリシーに合わない場合にブロックする仕組みです。この記事では、自分で確認できるポイントと、管理者に連絡すべき状況を整理します。

1. 条件付きアクセスでブロックされる原因の種類

条件付きアクセスポリシーは、 Azure Active Directory (Azure AD) 上で管理され、サインインのたびに評価されます。ブロックされる原因は大きく次の4つに分類できます。

• 端末側の問題: 会社の管理対象外の端末を使っている、ブラウザのバージョンが古い、必要な拡張機能がインストールされていないなど。
• アカウント側の問題: 多要素認証 (MFA) が未登録、パスワードの期限切れ、アカウントがロックされているなど。
• ネットワーク側の問題: 社外の信頼できないネットワークからアクセスしている、VPN接続が必要なのに接続していないなど。
• 管理設定側の問題: 条件付きアクセスポリシーそのものに問題がある、ユーザーのグループ割り当てが誤っているなど(これは管理者のみ修正可能)。

1-1. 端末側の具体的な確認点

企業では、Intuneなどのモバイルデバイス管理(MDM)を通じて端末を管理していることが多いです。条件付きアクセスは「準拠している端末」からのアクセスであることを要求します。端末が準拠していない場合、ブロックされます。

• 会社PCであることの確認: 会社から支給されたPCで、かつ会社の管理下にあることを確認します。個人PCからアクセスしている場合、ブロックされる可能性が高いです。
• OSやブラウザのバージョン: ポリシーで最低バージョンが指定されている場合があります。Windows Updateやブラウザの更新を実行してください。
• セキュリティソフトの状態: 会社指定のセキュリティソフトが動作しているか、リアルタイム保護が有効かを確認します。
• クッキーとキャッシュ: ブラウザのクッキーが破損していると認証に失敗することがあります。シークレットモードで再度試すか、クッキーを削除してみてください。

1-2. アカウント側の具体的な確認点

サインインに使用しているアカウントそのものに問題がある場合もブロックされます。

• 多要素認証 (MFA) の登録状況: 会社がMFAを必須にしている場合、まだ登録が完了していないとブロックされます。組織のMFA登録ページにアクセスするか、管理者に依頼してください。
• パスワードの有効期限: パスワードの期限が切れていると、サインイン後にパスワード変更を求められるか、ブロックされることがあります。
• アカウントのロックアウト: 複数回のログイン失敗でアカウントがロックされると、サインインできなくなります。
• ユーザーの所属グループ: ポリシーが特定のグループに割り当てられている場合、そのグループに入っていないとブロックされます。

1-3. ネットワーク側の具体的な確認点

多くの企業は社内ネットワークからのアクセスを許可し、社外からのアクセスにはVPNを要求します。また、特定の国やIPアドレス範囲からのアクセスをブロックするポリシーもよく見られます。

• VPN接続の確認: 社外からアクセスする場合、会社のVPNに接続しているか確認します。VPNを有効にした状態で再度サインインを試みてください。
• 信頼できるネットワークの確認: 自宅ネットワークや公共Wi-Fiが信頼できるネットワークとして許可されているか不明な場合、ブロックされる可能性があります。可能であれば、別のネットワーク(テザリングなど)で試すと原因を絞り込めます。
• IPアドレスの制限: 会社が許可したIPアドレス範囲外からアクセスしていないか確認します。

1-4. 管理設定側の問題(管理者に確認が必要)

管理者が設定したポリシー自体に問題がある場合、ユーザー側ではどうしようもありません。以下の点を把握して管理者に連絡しましょう。

• ポリシーの割り当てミス: たとえば、すべてのユーザーに適用されるべきポリシーが一部のユーザーにしか適用されていない、または逆に適用されるべきでないユーザーに適用されている。
• 条件設定の不備: 「クライアントアプリの種類」や「デバイスプラットフォーム」の条件が実環境と合っていない。
• 緊急時のバイパス: 管理者が緊急アクセス用のアカウントで一時的にポリシーを無効にするなどの対応が必要な場合がある。

2. 自分でできる確認手順

以下の手順を順に試すことで、原因の多くを切り分けられます。

1. エラーメッセージを確認する: ブロック画面に表示されているメッセージやエラーコード(例: AADSTS50057)をメモし、スクリーンショットを保存します。エラーコードをインターネットで検索すると手がかりが得られることがあります。
2. シークレットモードまたは別のブラウザで試す: ブラウザのクッキーやキャッシュが原因の場合があるため、シークレットモード(プライベートブラウジング)でサインインしてみます。または、別のブラウザ(EdgeやChromeなど)を試します。
3. 会社PCの状態を確認する: Windowsの場合、[設定]→[アカウント]→[職場または学校にアクセスする] で会社アカウントが接続され、かつ[準拠済み]と表示されているか確認します。
4. VPN接続を確認する: 社外で作業している場合、会社のVPNに接続しているか確認します。接続していなければ接続し、再度サインインを試みます。
5. 多要素認証の登録状況を確認する: マイクロソフトのセキュリティ情報ページ(https://mysignins.microsoft.com/security-info)にアクセスし、MFAの登録が完了しているか確認します。
6. パスワードの変更を試す: パスワードが期限切れの可能性があるため、パスワードを変更してみます。変更後、再度サインインします。
7. 別のネットワークから試す: 可能であれば、スマートフォンのテザリングなど、異なるネットワークからアクセスしてみます。これでブロックが解除されれば、ネットワーク側の原因である可能性が高いです。

3. エラーメッセージから原因を切り分ける比較表

ブロック画面に表示されるエラーコードやメッセージは、原因を特定する重要な手がかりです。以下によくあるパターンをまとめました。

エラーメッセージ / コード	考えられる原因	主な対処
「このサインインはブロックされました。詳細は管理者にお問い合わせください」	条件付きアクセスポリシーによる一般的なブロック	上記の確認手順を実施し、それでも解決しない場合は管理者に連絡
「お使いのデバイスは組織のセキュリティポリシーを満たしていません」	端末が準拠していない(Intune未登録、OS未更新など)	会社PCの場合は [設定]→[アカウント]→[職場または学校にアクセスする] で状態を確認、再登録を試す
AADSTS50057: User account is disabled.	アカウントが無効化されている	管理者にアカウントの有効化を依頼
AADSTS50076: Unsupported authentication method.	MFAの登録が未完了、または登録方法が無効	セキュリティ情報ページでMFAを登録し直す
「アクセスが拒否されました。このリソースへのアクセスは許可されていません。」	特定のアプリやサイトへのアクセスが許可されていない	管理者にアクセス権限の付与を依頼

4. よくある失敗パターンと誤解

条件付きアクセスはクライアント側の単純な設定だけで解決できる問題ではありません。次のような誤解をしていないか確認してください。

• 「クッキーを削除すれば直る」: クッキー削除で直るのは、認証セッションの不具合など一時的な問題のみです。条件付きアクセスポリシー自体はサーバー側で評価されるため、クッキーを削除してもブロックは解除されないことが多いです。
• 「ブラウザを変えれば大丈夫」: ブラウザが原因の場合もありますが、ポリシーで使用可能なブラウザが限定されていない限り、ブラウザ変更では改善しないケースがほとんどです。
• 「自分は管理者だからブロックされない」: 管理者でも条件付きアクセスの対象になる場合があります。特権アカウントには厳しいポリシーが適用されることもあるので注意が必要です。
• 「再起動すれば直る」: 再起動で端末の登録状態がリセットされることはありません。Intuneに準拠していない端末は再起動してもブロックされます。

5. 管理者に問い合わせる際に伝えるべき情報

自分で試せることを試しても解決しない場合、管理者に連絡する必要があります。その際、以下の情報を伝えるとスムーズに原因調査が進みます。

• エラーメッセージのスクリーンショット: ブロック画面全体がわかる画像。特にエラーコードや日時が含まれていると良い。
• サインインを試行した日時: 正確な時刻( UTC でも可)を伝えます。管理者がサインインログを確認する際に必要です。
• 利用している端末の情報: OSの種類とバージョン(例: Windows 10 Pro 22H2)、ブラウザの種類とバージョン(例: Microsoft Edge 120.0.2210.91)、IPアドレス(https://whatismyipaddress.com/ などで確認)
• アクセス元のネットワーク: 社内ネットワークか、VPN経由か、自宅や出先のネットワークか。
• 対象のアプリケーション:
• 試した対処内容: 自分で試した手順(クッキー削除、ブラウザ変更、VPN接続など)を簡潔に伝える。

6. よくある質問 (FAQ)

Q1. 会社PCなのにブロックされるのはなぜですか?

会社PCでも、Intuneによる管理が正しく行われていない、OSの更新が保留中、セキュリティソフトが無効になっているなどの理由で「準拠していない」と判断されることがあります。まずはWindowsの[設定]→[アカウント]→[職場または学校にアクセスする]でアカウントが「準拠済み」と表示されているか確認してください。もし「アクションが必要です」と表示されたら、その指示に従って修復を試みてください。

Q2. VPNに接続しているのにブロックされるのはなぜですか?

VPNに接続していても、VPNの接続先が会社の許可リストに含まれていない、またはVPNの認証方式がポリシーと合致していない可能性があります。また、VPN接続後にサインインしていない(VPNだけでは不十分な場合)こともあります。一度VPNを切断し、再接続してからサインインしてみてください。それでもダメなら、管理者にVPNの設定を確認してもらう必要があります。

Q3. スマートフォンからアクセスしたらブロックされました。どうすればいいですか?

スマートフォンは通常、会社の管理対象外デバイス(BYOD)として扱われることが多いです。ポリシーで「モバイルデバイスからのアクセスは禁止」または「アプリ保護ポリシーが必要」などの設定になっている可能性があります。Outlook Mobileアプリなど、会社が許可したアプリをインストールし、そこからサインインしてみてください。それでもブロックされる場合は、管理者にスマートフォンからのアクセスが許可されているか確認しましょう。

まとめ

条件付きアクセスによるブロックは、多くの要因が絡むため、一つずつ切り分けることが重要です。まずはエラーメッセージの確認、端末の状態、ネットワーク環境、アカウントの状態を自分でチェックしてみてください。それでも解決しない場合は、必要事項を整理して管理者に相談しましょう。再発防止のためには、端末を常に最新の状態に保ち、多要素認証を適切に登録し、会社のセキュリティポリシーを理解しておくことが有効です。管理者側でも、ポリシーの適用範囲や条件を見直すことで、業務に支障が出るブロックを減らせるはずです。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。