Microsoft 365の条件付きアクセスは、組織のセキュリティポリシーに基づいてクラウドリソースへのアクセスを制御する強力な機能です。しかし、デバイス登録が正しく行われていないと、意図せずアクセスがブロックされてしまうことがあります。特に、端末の状態や場所、認証方法の組み合わせによってエラーが発生するケースが多く、原因の切り分けに苦労する方も少なくありません。本記事では、条件付きアクセスでデバイス登録が弾かれる主な原因と、端末・場所・認証条件ごとの確認手順を詳しく解説します。実際のトラブルシューティングに役立つ具体例や失敗パターンも交え、迅速に問題を解決するためのヒントをお伝えします。
【要点】この記事で確認すること
- 最初に見る場所: 条件付きアクセスのサインインログ(Azure ADサインインログ)で、ブロックされた際のエラーコードとタブを確認します。
- 切り分けの軸: 端末側(OSバージョン、デバイス登録状態、コンプライアンス)、場所側(IPアドレス、国、信頼できるネットワーク)、認証条件側(多要素認証の有無、セッションリスク)の3つで原因を特定します。
- 注意点: 会社PCではデバイス登録やコンプライアンスポリシーの変更を自分で行わず、IT管理者に連絡してください。誤った設定変更はアクセス不能の原因となります。
ADVERTISEMENT
目次
1. 条件付きアクセスでデバイス登録が弾かれるメカニズム
条件付きアクセスでは、アクセスを許可する条件として「デバイスが準拠していること」や「デバイスが登録されていること」を要求するポリシーが設定されることがあります。このようなポリシーが有効な場合、デバイスが組織に登録されていない、またはコンプライアンス状態を満たしていないと、アクセスがブロックされます。ブロックの具体的な動作は、ポリシーの割り当て条件(ユーザー、グループ、アプリケーション)とアクセス制御の設定に依存します。たとえば、「すべてのクラウドアプリ」に対して「デバイスは準拠としてマーク済みである必要があります」というポリシーが設定されていると、準拠していないデバイスからのアクセスは拒否されます。エラーメッセージとしては、「このデバイスは組織のセキュリティポリシーを満たしていません」や「アクセスがブロックされました」といった表示が一般的です。
1-1. デバイス登録とコンプライアンスの違い
デバイス登録とは、Azure ADにデバイスを追加して組織の管理下に置くことを指します。一方、コンプライアンスとは、Intuneなどのモバイルデバイス管理(MDM)で設定されたポリシー(パスワード要件、暗号化など)をデバイスが満たしている状態です。条件付きアクセスでは、両方を要求することも、どちらか一方だけを要求することもできます。たとえば、「デバイスは登録済みである必要があります」というポリシーは登録のみを確認し、「デバイスは準拠としてマーク済みである必要があります」というポリシーはコンプライアンス状態を確認します。両者が混同されがちですが、原因特定の際にはどちらの条件で弾かれているかを切り分けることが重要です。
2. 端末側の原因と確認手順
端末側の原因として、OSのバージョンが古い、デバイス登録が正しく完了していない、コンプライアンスポリシーを満たしていないなどが考えられます。Windows 10/11、macOS、iOS、Androidそれぞれで確認すべきポイントが異なります。以下では、一般的な会社PC(Windows)を例に手順を説明します。
2-1. Windowsでのデバイス登録状態の確認
- [設定] > [アカウント] > [職場または学校にアクセスする] を開きます。
- 組織のアカウントが表示されている場合、接続状態を確認します。「接続済み」と表示されていれば登録済みです。何も表示されていない、または「接続されていません」の場合は未登録の可能性があります。
- 登録を試みるには、[接続] ボタンをクリックし、組織のメールアドレスとパスワードでサインインします。
- 登録後、Azure ADポータルでデバイスが表示されるか、IT管理者に確認してもらいます。
- コンプライアンス状態を確認するには、[設定] > [更新とセキュリティ] > [Windows セキュリティ] > [デバイスのセキュリティ] などで暗号化やWindows Defenderの状態を確認します。Intuneで管理されている場合は、[設定] > [アカウント] > [職場または学校にアクセスする] で対象のアカウントをクリックし、[情報] を確認します。
2-2. よくある端末側の失敗パターン
代表的な失敗パターンとして、以下のようなケースがあります。
- OSがサポート終了: Windows 7や古いiOSバージョンでは、条件付きアクセスで弾かれることがあります。OSを最新に更新する必要があります。
- デバイス登録の重複: 同じ端末で複数の職場アカウントを登録していると競合が発生することがあります。一度切断して再登録してください。
- 証明書の問題: デバイス証明書が期限切れまたは破損していると登録が失敗します。管理画面から証明書を再発行してもらいましょう。
3. 場所(ネットワーク)側の原因と確認手順
条件付きアクセスでは、IPアドレスの範囲や国、信頼できるネットワーク(既知の場所)に基づいてアクセスを制御することができます。たとえば、組織のオフィスからのアクセスのみ許可するポリシーや、特定の国からのアクセスをブロックするポリシーが設定されている場合、該当しない場所からのアクセスは弾かれます。外出先や自宅からの接続で問題が発生するケースが多いです。
| 条件 | ポリシーの例 | ブロックされるケース |
|---|---|---|
| IPアドレス範囲 | オフィスのIPアドレス10.0.0.0/8のみ許可 | 自宅のIPアドレスが範囲外の場合 |
| 国/地域 | 日本からのアクセスのみ許可 | 海外出張などで海外IPからアクセス |
| 信頼できる場所 | 登録済みの信頼できる場所からのみ許可 | 新しい拠点や自宅が未登録 |
3-1. 場所条件によるブロックを確認する方法
- サインインログ(Azure AD > ユーザー > サインインログ)を開きます。
- ブロックされたサインインを選択し、[条件付きアクセス] タブでポリシー名を確認します。
- [場所] の詳細から、IPアドレス、国、信頼できる場所の情報を確認します。
- IT管理者に、自分がアクセスしている場所が許可リストに含まれているか問い合わせます。
- 可能であれば、組織のVPNを使用してオフィスのIPアドレス経由でアクセスしてみます。
ADVERTISEMENT
4. 認証条件側の原因と確認手順
認証条件とは、多要素認証(MFA)の要求、セッションリスクのレベル、認証強度などです。たとえば、条件付きアクセスポリシーで「多要素認証が必要」と設定されているのに、ユーザーがMFAを登録していない場合、ブロックされます。また、サインインリスクが高いと判定された場合もブロックされることがあります。認証条件によるブロックは、ユーザーごとのMFA設定やリスクポリシーに依存します。
4-1. MFA登録の確認方法
- ブラウザで https://aka.ms/mfasetup にアクセスします。
- 組織アカウントでサインインし、MFAが設定済みか確認します。設定されていない場合は、画面の指示に従って登録します。
- MFAの方法(電話、アプリ、SMSなど)が複数ある場合、各方法が有効であることを確認します。
- 管理者がMFAを強制しているかどうかは、ポリシー設定によります。不明な場合はIT部門に問い合わせます。
- 会社PCでWindows Hello for Businessが有効な場合、それがMFAとして利用されることもあります。設定 > アカウント > サインインオプションでPINや生体認証が設定されているか確認します。
5. 管理者に確認すべき情報とFAQ
トラブルシューティングでどうしても解決しない場合、IT管理者に連絡する必要があります。その際、以下の情報を伝えると迅速に対応してもらえます。
- サインインの日時(UTC)
- エラーメッセージのスクリーンショット
- 使用している端末のOSとデバイス名
- 接続元のIPアドレス(WhatIsMyIPなどで確認)
- サインインログの条件付きアクセスタブの内容(自分で見られる場合)
よくある質問(FAQ)
Q1. 条件付きアクセスポリシーを自分で変更できますか?
いいえ、変更は管理者のみ可能です。ポリシーを変更する必要がある場合は、IT部門に依頼してください。
Q2. デバイス登録が完了しているのにブロックされるのはなぜ?
コンプライアンスポリシーを満たしていない可能性があります。Intuneの準拠状態を確認してください。また、ポリシーに「デバイスは準拠としてマーク済み」と「すべてのアプリ」両方を要求している場合、どちらかが欠けているとブロックされます。
Q3. モバイルデバイスでも同じ問題が発生しますか?
はい。会社支給のスマートフォンでも同様に、デバイス登録とコンプライアンスが必要です。iOSの場合はポータルサイトアプリ、Androidの場合はCompany Portalアプリで状態を確認できます。
Q4. 海外出張中にアクセスできなくなりました。どうすれば?
場所ベースのポリシーでブロックされている可能性があります。VPNを使用してオフィス経由でアクセスするか、管理者に一時的な例外を依頼してください。
6. まとめ
条件付きアクセスでデバイス登録が弾かれる問題は、端末、場所、認証条件の3つの軸で切り分けることで原因を特定しやすくなります。サインインログを確認し、どのポリシーがブロックしているかを把握することが第一歩です。端末側では登録状態とコンプライアンス、場所側ではIPアドレスと国、認証条件側ではMFAとリスクレベルを順に確認してください。自分で対処できない場合は、管理者に正確な情報を伝えて迅速な解決を図りましょう。適切な準備とコミュニケーションにより、業務への影響を最小限に抑えることができます。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】宛先が「オートコンプリート」に出ない・間違っている時の修正手順|履歴の削除と再構築