Microsoft 365の条件付きアクセス(Conditional Access)は、クラウドアプリへのアクセスを制御する強力な仕組みですが、設定によっては正当なユーザーがアクセスをブロックされるケースがあります。突然「このリソースにアクセスできません」と表示されると、仕事が止まってしまうため、原因を迅速に特定する必要があります。本記事では、条件付きアクセスで弾かれた際に確認すべき端末、場所、認証条件の切り分け手順と、管理者に伝えるべき情報を具体的に解説します。
【要点】この記事で確認すること
- 最初に見る場所: Microsoft Entra管理センターの「サインインログ」と「トラブルシューティングレポート」でブロック理由を確認します。
- 切り分けの軸: 端末(デバイスの準拠状態・OS)、場所(IPアドレス・国・信頼できるネットワーク)、認証条件(多要素認証・リスクレベル)の3つで原因を分類します。
- 注意点: 会社PCでは自分で条件付きアクセスポリシーを変更できません。無理に回避しようとするとセキュリティ違反になるため、管理者への連絡が第一です。また、プライベート端末で業務アクセスする際に多く発生するため、利用条件を確認してください。
ADVERTISEMENT
目次
条件付きアクセスで弾かれる3大原因
条件付きアクセスは、ユーザー属性、端末状態、場所、アプリのリスクレベルなど複数のシグナルを評価してアクセスを許可またはブロックします。よくあるブロック理由は以下の3つに集約されます。
| カテゴリ | 典型的な原因 | 確認ポイント |
|---|---|---|
| 端末 | 端末がIntuneに準拠していない、未登録のOSバージョン、個人所有端末の利用 | デバイス登録状況、準拠状態、OSバージョン |
| 場所 | 未承認の国からのアクセス、不明なIPアドレス、VPN未接続 | サインインログのIPアドレス、国、信頼できるネットワーク |
| 認証条件 | MFA未完了、認証強度不足、リスクの高いサインインと判断 | MFA登録状況、認証方法、リスクイベント |
端末に関する原因と対処
多くの企業では、会社貸与PCやスマートフォンはMicrosoft IntuneなどのMDM(モバイルデバイス管理)に登録され、準拠ポリシーが適用されます。端末が未登録だったり、OSアップデート未適用で準拠状態が崩れるとアクセスがブロックされます。個人端末(BYOD)でアクセスする場合は、アプリ保護ポリシーが適用されることがありますが、それでもブロックされる場合は端末の登録が必要です。
場所に関する原因と対処
「場所」条件はIPアドレスの地理位置情報に基づきます。出張先の国が許可リストにない、あるいは自宅のIPアドレスが信頼できるネットワーク(社内IP範囲)と見なされていない場合にブロックされます。特に、海外からのアクセスは「許可されていない国」としてブロックされやすいです。また、VPN経由でアクセスしても、VPNサーバーのIPアドレスが信頼できるネットワークとして登録されていなければ、ブロックされることがあります。
認証条件に関する原因と対処
条件付きアクセスポリシーで多要素認証(MFA)の必須設定や、認証強度(例:パスワード+FIDO2キー)が指定されている場合、それが満たされないとブロックされます。さらに、Azure AD Identity Protectionと連携してリスクベースの条件が設定されている場合、通常とは異なるサインイン(未知の場所、漏洩した資格情報など)が検出されるとブロックされます。
ブロックされた時の確認手順(エンドユーザー向け)
条件付きアクセスで弾かれた画面には、多くの場合「このリソースにアクセスできません」というメッセージと共に、トラブルシューティングのリンクが表示されます。以下の手順で詳細を確認してください。
- エラーメッセージを記録する: 表示されたエラーコードや「サインインログの詳細を表示」などのリンクがあれば、スクリーンショットを撮ります。
- トラブルシューティングツールを開く: 同じページにある「詳細を表示」または「トラブルシューティング」リンクをクリックし、表示されるレポートを確認します。このレポートには、どのポリシーが適用され、どの条件でブロックされたかが簡潔に示されます。
- 利用している端末を確認する: 会社貸与PCか個人端末かを確認し、会社PCであればIntuneポータルサイトからデバイスの準拠状態をチェックします(ポータルサイトにアクセスできれば)。個人端末の場合は、Microsoft Authenticatorアプリでデバイス登録が済んでいるか確認します。
- 場所とネットワークを確認する: 現在のIPアドレスを確認(例:ブラウザで「What is my IP」と検索)し、それが自宅、会社、海外のどれかを特定します。VPNを使用している場合は、そのIPアドレスも確認します。
- 多要素認証の状態を確認する: ブラウザで https://mysignins.microsoft.com/ を開き、サインイン履歴で失敗したサインインをクリックして、「認証が必要」などの詳細を確認します。MFAが未登録の場合は、セキュリティ情報の登録を促されます。
管理者が確認すべきサインインログとポリシー
エンドユーザーがブロックされた場合、管理者はMicrosoft Entra管理センター(旧Azure AD)の「サインインログ」で原因を特定できます。以下の手順で確認すると効率的です。
サインインログの確認手順
- Microsoft Entra管理センターにアクセスし、「モニター」>「サインインログ」を選択します。
- ユーザー名と時刻でフィルターし、該当するサインインイベントを開きます。
- 「条件付きアクセス」タブをクリックし、適用されたポリシーとその結果(許可/ブロック)を確認します。
- 「ブロック」となっているポリシーをクリックし、どの条件(デバイス準拠、場所、リスクなど)が満たされなかったかを確認します。
- ポリシーの詳細を編集する場合、同じ画面から「ポリシーの編集」リンクをクリックして割り当てと条件を見直します。ただし、変更は慎重に行ってください。
よくあるポリシーの誤設定パターン
管理者がポリシーを構成する際に、以下のような失敗パターンが報告されています。
- デバイス準拠条件に「準拠デバイス」のみを設定したが、Intune登録が必須になっていない: 実際には「ハイブリッドAzure AD参加」デバイスも許可すべきケースがある。対応するには条件に「ハイブリッドAzure AD参加デバイス」も追加する。
- 場所条件で信頼できる国のみ許可しているが、社員の出張先がカバーされていない: 出張が多い企業は、許可国リストを定期的に更新する必要がある。代わりに「危険の高い国のみブロック」というネガティブリスト方式も検討する。
- 認証強度で「MFA」を要求しているが、ユーザーがMFAを登録していない: 事前に全てのユーザーにMFA登録を強制するポリシー(例:MFA登録を要求する条件付きアクセス)を別途設定し、ブロックを回避する。
- リスクベースの条件で「中以上のリスク」をブロックしているが、正当なユーザーの行動がリスクと判定される: リスク検出の誤検出を減らすため、ユーザーリスクポリシーとサインインリスクポリシーを適切にチューニングし、自己修復(MFAでリスクをクリア)を許可する設定にする。
ADVERTISEMENT
状況別:ユーザーが取るべき行動と管理者へ伝える情報
ブロックされたユーザーは、自分で修正できないケースが多いため、管理者への連絡が不可欠です。以下の表に、状況別にどの情報を伝えるべきかをまとめました。
| 状況 | ユーザーが取る行動 | 管理者に伝える情報 |
|---|---|---|
| 会社PCで社内ネットワーク接続時にブロック | PCの再起動、Intuneポータルサイトで準拠状態を確認、会社のネットワークに直接接続しているか確認 | エラーメッセージのスクリーンショット、PCのホスト名、サインインの時刻(タイムゾーン含む) |
| 自宅のWi-Fiからアクセス時ブロック | 自宅IPアドレスを確認(例:whatismyip.com)、VPNを試す(会社支給のVPNがあれば) | 自宅IPアドレス、使用したアプリ、MFA実施の有無 |
| 海外出張先でブロック | ホテルや現地オフィスのネットワークを確認、VPN接続を試す | 現地のIPアドレス、国名、接続元の日時、どのアプリを使おうとしたか |
| スマートフォン(個人端末)でブロック | Microsoft Authenticatorアプリを開き、デバイス登録が完了しているか確認、アプリのバージョン更新 | 端末のOSとバージョン、Authenticatorの登録状態、エラー画面のコード |
よくある質問(FAQ)
Q1. 条件付きアクセスでブロックされた際、自分でポリシーを変更できますか?
いいえ、エンドユーザーはポリシーを変更できません。管理者に連絡してください。無理にレジストリや設定を変更すると、セキュリティポリシー違反となり懲戒処分の対象になる可能性があります。
Q2. 「このリソースにアクセスできません」と表示されたが、すぐに再試行すると通ることがある。なぜ?
条件付きアクセスは、サインイン時に評価されるため、ネットワーク状態や認証トークンの有効期限が影響することがあります。ただし、頻繁にブロックされる場合は、根本原因の解決が必要です。
Q3. 出張先でVPNを使っているのにブロックされる。なぜ?
VPN経由であっても、そのVPNサーバーのIPアドレスが条件付きアクセスの「場所」条件で許可されていない可能性があります。管理者にVPNの出口IPを伝えて、条件付きアクセスの信頼できる場所に追加してもらう必要があります。
Q4. ブロック画面に「詳細を表示」のリンクがない場合はどうすれば?
その場合は、サインイン履歴を確認するか、Microsoft Authenticatorアプリの通知を確認してください。また、同じアカウントで別のアプリ(Outlook Webなど)を試して、同様のエラーが発生するか切り分けてください。
まとめ
条件付きアクセスで弾かれたときは、端末の準拠状態、場所(IPアドレス、国)、認証条件(MFA、リスク)の3軸で原因を切り分けることが有効です。エラーメッセージとサインインログの詳細を確認し、管理者に正確な情報を伝えることで、迅速な解決につながります。管理者は、ポリシーの設定ミスや抜け漏れを定期的に見直し、ユーザーへの事前周知を徹底することで、ブロックによる業務停止を最小限に抑えられます。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【Outlook】宛先が「オートコンプリート」に出ない・間違っている時の修正手順|履歴の削除と再構築
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する