Microsoft 365の組織アカウントでデバイス登録を試みた際、「管理者により制限されています」というエラーが表示され、先に進めないという状況は少なくありません。このエラーは、IntuneやAzure ADのポリシー、ライセンスの状態、あるいはデバイス自体の設定が原因で発生します。本記事では、会社のPCやスマートフォンでこのエラーが出たときに、どこを確認すればよいのか、原因を体系的に切り分ける方法を具体的に解説します。管理者に問い合わせる前に自分で確認できるポイントも含め、実務に役立つ情報をまとめました。
【要点】この記事で確認すること
- 最初に見る場所: 会社のポータルサイト(https://portal.azure.com)の「デバイス」ブレードで、自分のアカウントにデバイスが登録されているか、ポリシーが適用されているかを確認します。
- 切り分けの軸: 端末側の設定(Windowsの「職場または学校にアクセス」の状態)、アカウント側のライセンス割り当て、管理設定側(Intuneポリシー・条件付きアクセス)の3軸で原因を特定します。
- 注意点: 会社PCのレジストリやローカルグループポリシーをむやみに変更すると、セキュリティ違反や管理不能になる恐れがあります。作業の前に必ず管理者の許可を得てください。
ADVERTISEMENT
目次
「管理者により制限されています」エラーの主な原因
このエラーメッセージは、Microsoft 365のデバイス登録ポリシーや条件付きアクセスが、ユーザーの操作をブロックしていることを示しています。原因は大きく分けて以下の4つです。
1. デバイス登録の最大台数制限に達している
Azure ADでは、1ユーザーあたりのデバイス登録数に上限があります(通常は20台程度)。既に上限に達している場合、新しいデバイスを登録しようとすると制限エラーが発生します。この上限は管理者が変更可能ですが、初期設定のまま運用している組織も多いです。
2. デバイス登録が組織全体で無効になっている
Azure ADの「デバイス設定」で、「ユーザーはデバイスをAzure ADに登録できる」が「いいえ」に設定されている場合、すべてのユーザーがデバイス登録できません。部分的に許可するグループポリシーやIntuneの登録制限がかかっているケースもあります。
3. 条件付きアクセスポリシーによる制限
条件付きアクセスで、デバイスのコンプライアンス非対応や未登録時にアクセスをブロックするポリシーが有効になっていると、登録処理自体が途中で止まる場合があります。たとえば「デバイスが準拠している必要がある」というポリシーが、まだ登録していないデバイスにも適用されてしまうという矛盾が発生することがあります。
4. ライセンスまたはユーザー属性の問題
IntuneやAzure AD Premiumのライセンスがユーザーに割り当てられていないと、デバイス管理機能が利用できません。また、ユーザーが正しいグループに所属していない場合も、登録が許可されないことがあります。
エラー発生時の確認手順(自分でできる範囲)
以下では、ユーザー自身が実行できる確認手順を順に説明します。管理者権限がなくても、多くの情報はAzureポータルや会社のポータルアプリから確認可能です。
- 手順1:自分のデバイスリストを確認する – ブラウザで https://portal.azure.com にサインインし、「Azure Active Directory」→「デバイス」を開きます。ここに自分のアカウントで登録済みのデバイスが一覧表示されます。もし台数が20台近くある場合は、不要なデバイスを削除することで解決することがあります。
- 手順2:デバイス登録の可否設定を確認する – 同じ「デバイス」ブレードで、「デバイス設定」を開きます。「ユーザーはデバイスをAzure ADに登録できる」の項目が「すべて」または「選択済み」になっていて、自分のアカウントが対象グループに含まれているかを確認します。この画面は管理者のみ編集可能なので、見るだけにしてください。
- 手順3:Intuneポータルでコンプライアンス状態を確認する – https://endpoint.microsoft.com にアクセスし、「デバイス」→「すべてのデバイス」で自分のデバイスの管理状態を見ます。もし「コンプライアンス非対応」と表示されている場合、そのポリシーが原因で登録が制限されている可能性があります。
- 手順4:会社のポータルアプリのログを確認する – Windowsの場合は「会社のポータル」アプリを開き、設定メニューから「ログの収集」を実行します。生成されたログファイルを管理者に渡すと、エラーの詳細がわかります。自分で読むには専門知識が必要ですが、エラーコードをメモしておくと管理者への報告がスムーズです。
- 手順5:職場または学校にアクセスを確認する – Windowsの設定アプリで「アカウント」→「職場または学校にアクセス」を開きます。ここに会社のアカウントが「登録済み」または「接続済み」と表示されているか確認します。もし「切断」と表示されている場合は、一度切断してから再度追加を試みると改善することがあります。
状況別比較表:エラーが起きやすいシナリオ
以下の表は、代表的なシナリオごとにエラー発生の可能性と対処の方向性をまとめたものです。自分がどの状況に当てはまるか照らし合わせてみてください。
| シナリオ | エラーの可能性 | 主な原因 | 推奨アクション |
|---|---|---|---|
| 個人のWindows PCに会社アカウントを追加しようとした | 高い | 組織のポリシーで個人デバイスの登録が禁止されている | 管理者に個人デバイス登録が許可されているか確認する。可能なら会社貸与のPCを使う |
| 会社貸与のWindows 11 PCを初めてセットアップしている | 中程度 | OOBE中の自動登録が失敗している、またはネットワークがプロキシで制限されている | 会社のネットワークに接続して再試行。それでもダメなら管理者にログを送る |
| スマートフォン(iOS/Android)に会社のメールを設定しようとした | 高い | Intuneポリシーでコンプライアンス非対応のデバイスがブロックされている | 会社のポータルアプリをインストールし、デバイスの登録を完了してからメール設定を行う |
| 既に別のデバイスを登録済みで、新しいノートPCを追加したい | 低~中程度 | デバイス登録上限に近い、または古いデバイスが残っている | Azure ADポータルで不要なデバイスを削除する(自分で可能か管理者に依頼) |
ADVERTISEMENT
よくある失敗パターンと回避策
失敗パターン1:古いデバイス証明書の残存
以前に同じPCで別の組織アカウントを登録していた場合、古い証明書が残っていると新規登録ができません。この場合は、管理者に頼んでPCから古い証明書を削除するか、PCを初期状態に戻す必要があります。ただし、会社PCの初期化は管理者の指示に従ってください。
失敗パターン2:ネットワークプロキシやファイアウォールによる通信ブロック
デバイス登録には特定のURL(例:device.login.microsoftonline.com)への通信が必要です。企業ネットワークのプロキシがこれらのURLを許可していない場合、登録が途中で止まります。自宅やモバイル回線に切り替えて試すと、原因がネットワークにあるかどうかを切り分けられます。
失敗パターン3:ローカル管理者権限の不足
WindowsでAzure AD参加を試みる場合、ローカルのAdministrator権限が必要な操作があります。ユーザーが標準権限しか持っていないと、登録処理が失敗することがあります。この場合は、IT部門に依頼して一時的に管理者権限を付与してもらうか、管理者がリモートで操作する必要があります。
管理者に伝えるべき情報と依頼のポイント
自分で原因を特定できない場合、管理者に問い合わせることになります。その際、以下の情報をまとめて伝えると、解決が迅速になります。
- エラーメッセージの正確な文言(スクリーンショットがあるとベスト)
- エラーが発生した日時と操作の内容
- 使用しているデバイスのOSとバージョン(例:Windows 10 22H2)
- 会社のポータルアプリのログファイル(前述の手順4で収集)
- 自分のユーザー名(UPN)とデバイス名
- 今までに試した対処方法(例:ネットワーク変更、アカウントの切断と追加など)
管理者はこれらの情報をもとに、Azure ADの登録ログやIntuneのポリシー適用状況を確認し、原因を特定します。特に、Azure ADの「サインインログ」や「監査ログ」には、デバイス登録の失敗理由が詳細に記録されています。管理者に「サインインログのDevice Registrationイベントを確認してください」と伝えると、的確な対応が期待できます。
よくある質問(FAQ)
Q1: スマートフォンでもこのエラーが出ます。どうすればよいですか?
スマートフォンで会社のメールやアプリにアクセスする際、エラーが表示される場合、まずMicrosoft Authenticatorアプリまたは会社のポータルアプリをインストールし、デバイス登録を完了してください。登録後、コンプライアンスポリシーに合格していれば、メールやアプリが利用可能になります。それでもエラーが続く場合は、会社のネットワークではなくモバイル回線で試すか、管理者に連絡してください。
Q2: 自分でデバイスを削除しても問題ありませんか?
Azure ADポータルから自分でデバイスを削除することは可能ですが、そのデバイスに保存されている会社のデータやアプリに影響が出る可能性があります。特に会社貸与のPCの場合、削除後に再度登録が必要になり、設定がリセットされることがあります。不要な個人デバイスや古いテスト端末に限って削除することをおすすめします。わからない場合は管理者に確認してください。
Q3: 管理者に連絡してもなかなか対応してもらえません。代わりの方法はありますか?
管理者の対応が遅い場合、自分の所属部署の上長や情報システム部門の別担当者に相談してみてください。また、会社のMicrosoft 365管理センターに自分でアクセスできる権限があれば、自分でデバイス登録の上限を増やすことも可能です。ただし、組織のポリシー違反になる可能性があるため、必ず事前に許可を得てから操作してください。
まとめ
「管理者により制限されています」というエラーは、多くの場合、Azure ADやIntuneの設定によるものであり、ユーザー側の操作ミスではないことがほとんどです。まずは自分のデバイスリストや登録上限を確認し、可能な範囲で不要なデバイスを整理してください。それでも解決しない場合は、エラーの詳細ログを収集し、管理者に的確な情報を伝えることが重要です。管理者と連携することで、原因の特定から解決までの時間を大幅に短縮できます。日頃から会社のポリシーやデバイス管理ルールを把握しておくことも、トラブル回避につながります。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】宛先が「オートコンプリート」に出ない・間違っている時の修正手順|履歴の削除と再構築