【Copilot】Copilot Chatで社内LANから社外回線に変えた後に会社データが通らない時の条件付きアクセスと信頼済み場所の見直し

リモートワークや出張先で社内LANから社外のネットワークに切り替えた際、Copilot Chatが会社のデータ(SharePointやTeamsのファイルなど)にアクセスできなくなると、業務が大きく滞ります。この問題は、Microsoft Entra ID(旧Azure AD)の条件付きアクセスポリシーや信頼済み場所の設定が原因であることが多く、適切に見直すことで解決可能です。本記事では、なぜ社外回線で会社データが通らなくなるのか、その原因と具体的な確認・対処手順を解説します。

なぜ社外回線に変えると会社データが通らなくなるのか?

条件付きアクセスは、ユーザーがリソースにアクセスする際の「誰」「何」「どこ」「どうやって」を評価してアクセスを制御する仕組みです。多くの企業では、社内ネットワーク(信頼済み場所)からのアクセスを許可し、社外からのアクセスには多要素認証を求めたり、特定のアプリのみに制限したりするポリシーが設定されています。

Copilot ChatはMicrosoft 365のデータにアクセスするため、この条件付きアクセスの対象になります。社内LANから社外回線に変わると、アクセス元のIPアドレスが変わり、それが信頼済み場所リストに含まれていない場合、ポリシーによってブロックされたり、多要素認証が強制されたりします。

条件付きアクセスの基本

条件付きアクセスポリシーは、「割り当て」と「アクセス制御」で構成されます。割り当てにはユーザー・グループ、クラウドアプリ、条件(場所、デバイス、リスクなど)を指定します。アクセス制御では「ブロック」「許可」「多要素認証を要求」などを設定します。社内LANからのアクセスを許可するためには、事前にそのIPアドレス範囲を「信頼済み場所」として登録しておく必要があります。

まずは接続状況を確認する

トラブルシューティングの第一歩は、現在の接続状況を正確に把握することです。以下の手順で確認してください。

1. 現在のIPアドレスを確認する:ブラウザで「WhatIsMyIP」などのサイトにアクセスし、表示されるパブリックIPアドレスをメモします。
2. VPN接続の有無を確認する:会社から支給されたVPNクライアントが接続されているか、タスクバーやシステムトレイで確認します。VPN接続中は会社のIPアドレス範囲になるため、信頼済み場所とみなされる可能性があります。
3. Copilot Chatのエラーメッセージを確認する:アクセスが拒否された場合、「アクセスがブロックされました」「追加の確認が必要です」などのメッセージが表示されます。そのスクリーンショットを取っておくと、管理者への連絡がスムーズです。
4. ブラウザのシークレットモードや別のブラウザで試す:キャッシュやCookieの問題でアクセスできない場合もあるため、別の環境で試して切り分けます。
5. モバイルネットワーク(テザリングなど)でも試す:自宅Wi-Fiではなく、スマホのテザリングで接続して同様の現象が起きるか確認します。自宅Wi-Fi固有の問題かどうかがわかります。

条件付きアクセスポリシーの設定を見直す(管理者向け確認依頼)

上記の確認で「自分のIPアドレスが信頼済み場所に含まれていない」ことが疑われる場合、IT管理者に条件付きアクセスポリシーの見直しを依頼しましょう。管理者は以下のポイントを確認します。

状況	アクセス可否	考えられる原因
社内LAN(オフィス)	アクセス可	信頼済み場所に登録済み
自宅(VPN接続あり)	アクセス可	VPN経由で信頼済みIPになる
自宅(VPN接続なし)	ブロックまたは多要素認証要求	自宅IPが信頼済み場所にない
カフェWi-Fi	ブロックまたは多要素認証要求	IPが動的で未知のため

管理者が確認すべき主な項目は以下の通りです。

• 条件付きアクセスポリシーの確認:Entra管理センター(https://entra.microsoft.com)→保護→条件付きアクセスで、該当ユーザーに適用されているポリシーを確認します。
• 場所条件の設定:ポリシー内の「場所」条件で「信頼済み場所」のみ許可、または「すべての場所」から「信頼済み場所」を除外しているかを確認します。
• 信頼済み場所の一覧:Entra管理センター→保護→条件付きアクセス→名前付き場所で、現在登録されているIPアドレス範囲リストを確認します。
• ポリシーのテスト:対象ユーザーに対して「レポート専用モード」を有効にして、実際にブロックされるかどうかを事前に評価します。

信頼済み場所(Trusted Locations)の確認と追加方法

信頼済み場所は、企業の固定IPアドレス範囲や、特定の国のIPアドレスをまとめて指定できます。自宅のIPアドレスが固定でない場合は、VPN経由で会社のIPアドレスを使う方法が一般的です。ただし、どうしても自宅IPを信頼済み場所に追加したい場合は、管理者が以下の手順を実施します。

信頼済み場所の種類

• IPアドレス範囲:特定のIPアドレスまたはCIDR範囲(例:203.0.113.0/24)を直接指定します。
• 国または地域:日本など国単位で指定します。ただし、これは大まかな制御に使われます。
• 複合条件:複数のIP範囲や国を組み合わせることはできません。複数ある場合はそれぞれ別の名前付き場所として登録します。

管理者が信頼済み場所を追加する手順:

1. Entra管理センターにログインする。
2. 「保護」→「条件付きアクセス」→「名前付き場所」を開く。
3. 「新しい場所」をクリックし、種類を「IPアドレス範囲」に設定する。
4. 表示名(例:「本社」)を入力し、該当するIPアドレス範囲(例:192.168.1.0/24)を追加する。
5. 必要に応じて「信頼済み場所としてマーク」にチェックを入れて保存する。

注意点として、動的IPアドレスを信頼済み場所に追加することはセキュリティ上のリスクがあるため、多くの企業は許可していません。VPNを利用することをおすすめします。

失敗パターンと対処法

失敗パターン①:自宅IPがポリシーでブロックされる

自宅のパブリックIPアドレスが会社の信頼済み場所リストにないため、条件付きアクセスポリシーによりブロックされるケースです。対処法としては、会社のVPNに接続する、または管理者に自宅IPを信頼済み場所に追加してもらうよう依頼します。ただし、前述の通り動的IPの追加は推奨されません。

失敗パターン②:条件付きアクセスが正しく評価されない

ポリシーが複数ある場合、優先順位や「すべての条件を満たす」などの設定が原因で意図しない評価結果になることがあります。また、ユーザーが「場所」条件の対象外グループに属している可能性もあります。管理者は「レポート専用モード」でどのポリシーが適用されるかを確認し、ポリシーの順序や条件を見直します。

失敗パターン③:信頼済み場所リストが古い

会社のIPアドレス範囲が変更されたにもかかわらず、信頼済み場所リストが更新されていない場合、社内LANからでもアクセスがブロックされることがあります。定期的なメンテナンスが必要です。管理者にリストの最終更新日を確認してもらい、必要に応じて更新を依頼してください。

よくある質問(FAQ)

Q1. 自分で条件付きアクセスポリシーを変更できますか?

いいえ、条件付きアクセスポリシーの変更にはEntra IDのグローバル管理者権限または条件付きアクセス管理者ロールが必要です。一般ユーザーは変更できません。必ずIT管理者に連絡してください。

Q2. VPNに接続してもアクセスできない場合はどうすれば?

VPN接続後にアクセスできない場合、VPNクライアントの設定やルーティングが正しくない可能性があります。また、VPNのIPアドレスが信頼済み場所に含まれていないことも考えられます。管理者にVPNのIP範囲を確認してもらいましょう。

Q3. モバイルデータ通信(テザリング)ではどうしてアクセスできるのですか?

モバイルデータ通信のIPアドレスが偶然信頼済み場所の範囲に含まれているか、またはモバイル用の別のポリシーが適用されている可能性があります。しかし、一般的には推奨される方法ではありません。

まとめ

Copilot Chatで社内LANから社外回線に切り替えた後に会社データが通らない問題は、条件付きアクセスポリシーと信頼済み場所の設定が原因であることが大半です。まずは自分のIPアドレスとVPN接続状況を確認し、管理者に連絡して適切なポリシー設定や信頼済み場所の追加を依頼してください。特に、動的IPアドレスを信頼済み場所に追加するよりも、VPNを介したアクセスが推奨されます。定期的なポリシーの見直しとリスト管理により、セキュリティを保ちながらスムーズなリモートワークを実現しましょう。

✨

Microsoft Copilot完全解決データベース 使い方が分からない、回答がおかしい、職場で使えないなど、Copilotのあらゆるトラブル・操作ガイドを網羅しています。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。