Microsoft 365の条件付きアクセスポリシーが適用されている環境では、新しい端末から会社アカウントの初回設定を試みた際に、突然画面が止まって先に進めなくなることがあります。多くの場合、この原因は端末が組織の準拠要件を満たしていないか、アクセス元の場所が許可されていないという2つの可能性に集約されます。本記事では、このような状況で何を確認し、どのように対処すればよいのかを、具体的な手順を交えて解説します。
【要点】この記事で確認すること
- 最初に見る場所: エラーメッセージの内容と、サインインログ(Azure ADサインインログ)の「条件付きアクセス」タブ。
- 切り分けの軸: 端末側(Intune登録・コンプライアンス)と場所側(信頼できるIP・国/地域)のどちらでブロックされているかを特定する。
- 注意点: 会社PCであっても、許可されていない場所(自宅ネットワークなど)からのアクセスはブロックされます。また、端末のコンプライアンス設定は管理者しか変更できません。自分でレジストリなどを変更しないでください。
ADVERTISEMENT
目次
1. 条件付きアクセスで初回設定が止まる原因と、その切り分け方
条件付きアクセスポリシーは、組織が定めた条件(端末の状態、アクセス元の場所、アプリのリスクなど)を満たさないサインインをブロックしたり、多要素認証を要求したりする仕組みです。初回設定で止まる場合、ポリシーが「アクセスをブロック」する設定になっているか、もしくは「デバイス準拠を要求」していて端末が未登録であることが原因です。
まずは、どのポリシーが適用されて停止しているのかを確認する必要があります。そのためには、グローバル管理者または特権ロールを持つユーザーがAzure ADのサインインログを参照すると、ブロックの理由がわかります。自分で確認できない場合は、IT部門に問い合わせてください。
代表的な原因としては以下の2つが挙げられます。
- 端末の準拠(コンプライアンス)未達:IntuneやMicrosoft Endpoint Managerで管理されていない端末、またはコンプライアンスポリシー(暗号化、パスワード要件など)を満たしていない端末からのアクセス。
- 場所条件の不整合:許可されたIPアドレス範囲(信頼できる場所)以外からのアクセス、または許可されていない国・地域からのアクセス。
この2つは同時に発生することもあります。以下の比較表で、それぞれの特徴を整理します。
| 項目 | 端末準拠 | 場所条件 |
|---|---|---|
| 主なエラーメッセージ | 「このデバイスは組織のセキュリティポリシーを満たしていません」「デバイスを登録してください」 | 「この場所からのアクセスは許可されていません」「IT管理者に問い合わせてください」 |
| 確認方法 | Windowsの「設定」→「アカウント」→「職場または学校にアクセスする」で組織アカウントが「登録済み」と表示されるか。またはIntuneポータルで端末の状態を確認。 | サインインログの「条件付きアクセス」タブで、場所ポリシーの適用結果を確認。自分のグローバルIPアドレスを確認する。 |
| 対処の基本 | 端末をIntuneに登録し、コンプライアンスポリシーに準拠する(管理者の支援が必要な場合あり)。 | VPNまたは信頼できるネットワークに接続する。または管理者に場所条件の緩和を依頼。 |
2. 端末準拠(コンプライアンス)の問題を解決する手順
端末が組織のコンプライアンス要件を満たしていないためにブロックされている場合、まずは端末をAzure ADに参加させ、Intuneで管理されるようにする必要があります。以下の手順は、Windows 10/11の会社PCを例にしています。なお、これらの操作にはローカル管理者権限が必要です。
- Windowsの設定を開く:「スタート」→「設定」(歯車アイコン)をクリックします。
- 「アカウント」を選択:「アカウント」→「職場または学校にアクセスする」をクリックします。
- 「接続」をクリック:表示された画面で「接続」ボタンを押し、会社のメールアドレス(例:user@company.com)を入力します。
- サインインして登録を完了:組織のサインインページにリダイレクトされるので、パスワードを入力し、多要素認証が要求された場合はそれに応答します。「このデバイスを組織に登録しますか?」と表示されたら「登録」を選びます。
- コンプライアンスステータスを確認:登録後、同じ画面で「組織のリソースにアクセスする」と表示されていれば、端末はAzure ADに参加しています。ただし、コンプライアンスポリシーに違反している場合は、アクセスがブロックされたままになることがあります。その際は、ポリシーの内容(パスワードの長さ、BitLocker暗号化など)を確認し、手動で設定を修正するか、管理者に連絡します。
- 問題が続く場合:「管理情報」の横にある「情報」アイコンをクリックし、エラーの詳細を確認します。しばしば「デバイスはコンプライアンス違反です」というメッセージが表示されます。その場合は、[設定]→[更新とセキュリティ]→[Windows セキュリティ]→[デバイス セキュリティ]で暗号化やウイルス対策の状態を確認し、不足があれば修正します。
上記の手順で解決しない場合、端末がすでに別の組織に登録されていたり、Intuneライセンスが割り当てられていない可能性があります。その際は管理者に「端末の登録解除」や「ライセンス割り当て」を依頼してください。
失敗パターン:コンプライアンス違反のまま登録しようとする
よくあるのが、端末のWindows Updateが未適用だったり、サードパーティのウイルス対策ソフトが無効になっている状態で登録を試みるケースです。コンプライアンスポリシーはリアルタイムでチェックされるため、登録後すぐにブロックされることがあります。事前にWindows Updateを最新の状態にし、セキュリティソフトが有効であることを確認してから登録作業を行うとスムーズです。
3. 場所条件(信頼できるIP・国/地域)の問題を解決する手順
場所条件によるブロックは、主に「信頼できる場所」が定義されている場合に発生します。会社のネットワーク(固定IP)やVPN接続時のIPアドレスが許可リストに含まれていないと、自宅や外出先からのアクセスは拒否されます。以下の手順で状況を確認し、対応を検討します。
- 自分のグローバルIPアドレスを確認する:ブラウザで「what is my IP」などと検索し、表示されたIPアドレスをメモします。このIPが会社の許可範囲内かどうかを調べる必要があります。
- サインインログを確認する(管理者権限が必要):管理者に依頼して、Azure ADのサインインログ(Azure Portal > Azure Active Directory > サインインログ)で該当するユーザーのログを開き、「条件付きアクセス」タブを確認します。適用されたポリシーと「結果」が「失敗」となっている場合、その理由に「場所」と表示されていれば場所条件が原因です。
- VPNを使用する:会社が提供するVPNクライアントをインストールし、接続してから再度サインインを試みます。VPN接続により、会社のネットワーク経由とみなされ、場所条件を満たせる場合があります。
- 携帯電話回線やテザリングを避ける:モバイルネットワーク経由のIPアドレスは、多くの場合許可リストに含まれていません。自宅Wi-Fiや有線LANなど、固定のインターネット回線を使うことを推奨します。
- 管理者に場所条件の緩和を依頼する:上記の方法で解決できない場合、管理者に対して「自宅のIPアドレスを信頼できる場所に追加してほしい」または「場所条件を緩和したポリシーを別途作成してほしい」と依頼します。この際、事前に自宅IPの固定化(プロバイダのオプション)を検討すると、恒久的な対策になります。
失敗パターン:場所条件と端末準拠の両方が原因で混乱する
たとえば、自宅から会社PCを初めて使おうとしたとき、端末準拠が未達でブロックされ、同時に場所条件でもブロックされることがあります。エラーメッセージだけではどちらが原因か分かりにくいため、サインインログで詳細を確認することが重要です。管理者にログを確認してもらえない場合は、まずVPN接続を試し、それでもダメなら端末登録を試す、という順番で切り分けると効率的です。
ADVERTISEMENT
4. 管理者に確認すべき設定項目と依頼内容
自分では解決できない設定については、IT管理者に協力を仰ぎます。以下の情報を整理して伝えると、迅速な対応が期待できます。
- エラーのスクリーンショット:どの画面で止まったか、エラーメッセージが表示されている場合はその画像を用意します。
- サインイン日時とユーザー名:正確な時刻(タイムゾーンも含む)とメールアドレスを伝えます。
- 使用しているネットワークの種類:会社ネットワーク、自宅ネットワーク、モバイル回線、VPNの有無などを伝えます。
- 端末のOSバージョンとIntune登録状況:Windowsのバージョン(例:Windows 10 22H2)、および職場アカウントの登録状態(登録済みか未登録か)を確認して伝えます。
管理者には、以下のような依頼を検討してもらうとよいでしょう。
- 条件付きアクセスポリシーの「デバイス準拠」要件に、未登録端末に対する代替アクション(一時的なアクセス許可)が設定可能か確認してもらう。
- 場所条件の「信頼できる場所」リストに、リモートワーク用のIPアドレス範囲を追加してもらう。
- 端末登録のトラブルシューティングとして、Intuneの「登録」状態をリセットしてもらう。
5. よくある質問(FAQ)
Q1. エラーメッセージが「このデバイスは組織のセキュリティポリシーを満たしていません」と表示されます。どうすればよいですか?
A. 端末がIntuneのコンプライアンスポリシーに違反している可能性があります。Windowsの「設定」→「更新とセキュリティ」→「Windows セキュリティ」で、デバイスの正常性を確認し、不足している要件(BitLocker暗号化、ウイルス対策の有効化、Windows Updateの適用など)を満たしてください。それでも改善しない場合は、管理者にコンプライアンスポリシーの詳細を確認してもらい、必要に応じてポリシーを緩和してもらう必要があります。
Q2. 自宅から会社のメールにアクセスしようとすると「この場所からはアクセスできません」と表示されます。会社に戻らないと使えないのでしょうか?
A. 必ずしもそうとは限りません。まずは会社のVPNに接続してから再度アクセスを試してみてください。VPNが利用できない場合は、管理者に自宅のIPアドレスを「信頼できる場所」に追加してもらうよう依頼しましょう。ただし、セキュリティポリシーによってはどうしても会社ネットワークからのアクセスしか許可されない場合もあります。その場合は、リモートアクセスのための別の手段(クラウド経由の仮想デスクトップなど)を管理者に相談してみてください。
Q3. 毎回サインインのたびに端末登録を求められます。一度登録したのに、なぜ再度要求されるのですか?
A. 端末がAzure ADから切断されている可能性があります。Windowsの「設定」→「アカウント」→「職場または学校にアクセスする」で、組織アカウントの下に「登録済み」と表示されているか確認してください。もし「切断」ボタンしか表示されない場合は、一度切断して再接続してみてください。また、複数のプロファイルが混在していると混乱することがあるので、不要なアカウントは削除しておきましょう。
Q4. 管理者ではない一般ユーザーですが、サインインログを自分で確認する方法はありますか?
A. 一般ユーザーはAzure ADのサインインログを直接参照することはできません。ただし、myapps.microsoft.com にサインインし、右上のアカウント名から「表示」→「最近のアクティビティ」を選ぶと、自分のサインイン履歴と、ブロックされた場合の理由の一部が表示されることがあります。完全な情報が必要な場合は、管理者に連絡してログを確認してもらってください。
6. まとめ
条件付きアクセスによる初回設定の停止は、端末準拠と場所条件の2つが主要原因です。エラーメッセージやサインインログを確認し、どちらに問題があるかを特定することが第一歩です。端末準拠の問題であれば、端末をIntuneに登録しポリシーを満たすことで解決できます。場所条件の問題であれば、VPNの利用や管理者へのIP追加依頼が有効です。自分だけで解決が難しい場合は、躊躇せずにIT管理者に具体的な情報を伝えてサポートを仰ぎましょう。これらのポイントを押さえておけば、初回設定で戸惑うことは減るはずです。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】メール本文が「文字化け」して読めない!エンコード設定の変更と修復手順