Entra ID(旧Azure Active Directory)の条件付きアクセスは、組織のセキュリティを強化するために欠かせない機能です。しかし、条件付きアクセスの対象になったユーザーが初めてサインインしようとした際に、画面が止まって先に進めないというトラブルが発生することがあります。特に「端末準拠」や「場所条件」の設定が関わるケースが多く、原因が分からずに困っている会社員も少なくありません。本記事では、そのような状況で何を確認すべきか、端末準拠と場所条件の観点から具体的な原因切り分けの方法を解説します。
【要点】この記事で確認すること
- 最初に見る場所: 条件付きアクセスのポリシー詳細とサインインログのエラーメッセージ。「サインインがブロックされました」や「その他の要件」などの表示を確認します。
- 切り分けの軸: ①端末が準拠(コンプライアンス)済みかどうか、②サインイン場所が信頼できるIP範囲かどうか、③ユーザーに必要なライセンス(Entra ID P1/P2)が割り当てられているか。
- 注意点: 会社PCのレジストリやグループポリシーを勝手に変更しないこと。端末準拠の登録や再評価は管理者が行うべき操作です。自己判断で設定を変えるとセキュリティポリシー違反になる可能性があります。
ADVERTISEMENT
目次
条件付きアクセスで初回サインインが止まる仕組み
条件付きアクセスは、ユーザーがサインインするときに「誰か」「どの端末か」「どこからか」「どんなアプリか」などの条件をチェックし、アクセスを許可・ブロック・制限します。初回設定で止まるのは、これらの条件を満たしていないために、ポリシーが「アクセスをブロック」または「追加の認証を要求」した結果です。特に、端末準拠(デバイスがIntuneなどでポリシーに準拠していること)や場所条件(信頼できるネットワークからのアクセスであること)は、ユーザーが自分で調整できない要素であるため、停止状態に陥りやすいのです。
主な原因:端末準拠と場所条件
端末準拠(コンプライアンス)の問題
条件付きアクセスで「デバイスは準拠としてマーク済みである必要があります」という条件が設定されている場合、端末がIntuneのコンプライアンスポリシーを満たしていないとサインインできません。初回サインイン時によくあるのは、端末がEntra IDに登録(Azure AD登録)されていない、または登録されていてもコンプライアンス評価が未完了であるケースです。例えば、Windows 10/11 PCで職場アカウントを追加しただけでは「登録済み」にならず、組織のデバイス管理に参加する必要があります。
場所条件(信頼できる場所)の問題
場所条件は「すべての信頼できる場所」「すべての信頼できない場所」「特定のIP範囲」などでアクセスを制御します。よくあるのは、会社のネットワーク(VPN含む)が信頼できる場所として登録されていない場合、または自宅や出先など信頼できない場所からアクセスしようとしてブロックされるパターンです。特に、条件付きアクセスが「信頼できる場所からのみ許可」と設定されているのに、ユーザーが自宅から接続しようとすると止まります。
問題を切り分けるための確認手順
- サインインログを確認する。管理者であればAzureポータル > Entra ID > 監視 > サインインログ で該当ユーザーのエラー詳細を開きます。「条件付きアクセス」タブにどのポリシーが適用され、どの条件が満たされなかったかが表示されます。
- エラーメッセージの内容を記録する。ユーザー画面に表示される「サインインがブロックされました」「その他の要件を満たしてください」などの文言をメモします。
- 端末の登録状態を確認する。Windowsの場合、[設定] > [アカウント] > [職場または学校にアクセスする] で組織のアカウントが「登録済み」になっているか確認します。未登録の場合は「接続」ボタンを押して組織に参加します。
- Intuneポータルで端末の準拠状態を確認する(管理者の場合)。[エンドポイントマネージャー] > [デバイス] > [すべてのデバイス] で該当端末を選び、コンプライアンスの状態が「準拠」であるか確認します。非準拠の理由が表示されるので、それに従い修正します。
- 場所条件が正しく設定されているか確認する。管理者はAzureポータル > Entra ID > セキュリティ > 条件付きアクセス > 該当ポリシー で「場所」条件を開きます。信頼できる場所として定義されたIP範囲が、現在使用中のネットワーク(会社VPNやオフィスWAN)を含んでいるか確認します。
ADVERTISEMENT
よくある失敗パターンと対処法
実際の現場で多い失敗パターンをいくつか紹介します。これらに当てはまる場合は、該当する対処を試してみてください。
- パターン1: 端末がEntra IDに登録されていない。→ [設定] > [アカウント] > [職場または学校にアクセスする] から「このデバイスをAzure ADに登録する」を実行します。管理者が自動登録のポリシーを設定している場合は、再起動してグループポリシーを適用させます。
- パターン2: コンプライアンスポリシーに違反している(例:暗号化されていない、Windows Updateが未適用)。→ 端末のコンプライアンス違反の内容を確認し、該当する設定(BitLockerの有効化、Windows Updateの実行など)を修正します。修正後、Intuneのコンプライアンス再評価が自動で行われますが、手動で同期するには[設定] > [アカウント] > [職場または学校にアクセスする] > [情報] > [同期] をクリックします。
- パターン3: 場所条件で信頼できる場所が正しく設定されていない。→ 管理者に現在の接続元IPアドレスを伝え、信頼できる場所リストに追加してもらいます。もしくは、一時的に場所条件を緩和してもらうことも検討します。
- パターン4: ユーザーにEntra ID P1またはP2ライセンスが割り当てられていない。→ 条件付きアクセスを利用するには、対象ユーザーにAzure AD Premium(P1/P2)のライセンスが必要です。管理者はライセンス割り当てを確認し、不足していれば割り当てます。
- パターン5: 多要素認証(MFA)の登録が未完了。→ 条件付きアクセスでMFAを要求している場合、初回サインイン時にMFA登録画面が表示されて止まります。その画面に従い、電話番号や認証アプリを登録することで先に進めます。
管理者に確認すべき設定
ユーザー側で解決できない場合は、管理者に以下の設定を確認してもらう必要があります。
- 条件付きアクセスポリシーの対象: 全てのユーザーか特定のグループか。自分が対象外になっていないか確認します。
- 「ブロック」と「許可」のバランス: ポリシーが「ブロック」ではなく「アクセスを制御」で、許可条件(準拠、MFAなど)を満たせば通る設定になっているか。
- デバイス登録の自動化設定: Intuneの自動登録(MDM自動登録)が有効か。無効だとユーザーが手動で登録する必要があります。
- 場所条件の信頼できるIP範囲: 会社のVPNやオフィスのIPアドレスが正しく設定されているか。また、IPv6/IPv4の両方をカバーしているか。
- ライセンス割り当て: 条件付きアクセスを利用する全ユーザーにEntra ID P1/P2が割り当てられているか。
状況別の比較表
| 状況 | 可能性の高い原因 | 主な対処 |
|---|---|---|
| 会社PCでサインインしようとしたが、端末準拠が求められて止まる | 端末がIntuneに登録されていない、またはコンプライアンス違反 | [設定]の職場アカウントからデバイスを登録し、コンプライアンス要件を満たす |
| 自宅のPCからサインインしようとしたらブロックされた | 場所条件で信頼できる場所のみ許可されている | 管理者に信頼できる場所リストに自宅IPを追加してもらうか、VPN接続後に試す |
| スマートフォンでサインインしようとしたら止まる | モバイルデバイス管理(MDM)に未登録、またはアプリ保護ポリシー未適用 | Microsoft Authenticatorアプリをインストールし、組織アカウントを追加する |
| サインイン画面で「その他の要件」と表示され先に進めない | 多要素認証(MFA)またはセキュリティ情報の登録が必要 | 指示に従い、電話番号や認証アプリの登録を完了する |
よくある質問
- Q: 条件付きアクセスを外してもらえませんか? A: セキュリティポリシーによる制限のため、通常は外せません。管理者に相談して、必要な条件を満たす方法を検討してください。
- Q: 端末準拠にするにはどうすればいいですか? A: 会社PCであれば、Intuneに登録されていることが前提です。管理者が配布したPCは既に登録済みの場合が多いですが、初回は[設定]から組織アカウントを追加する必要があります。追加後、コンプライアンスポリシーが適用されるまで数分かかることがあります。
- Q: 場所条件で「信頼できる場所」はどうやって確認できますか? A: 管理者のみが確認できます。現在のIPアドレスを管理者に伝え、それが信頼できる場所に含まれているか確認してもらってください。
- Q: サインインログを見る権限がありません。どうすればいいですか? A: 管理者に問い合わせて、該当時刻のサインインログを確認してもらい、エラーの原因を教えてもらってください。
まとめ
条件付きアクセスでサインインが止まる原因は、端末準拠と場所条件が大半を占めます。まずはサインインログでどのポリシーが適用され、どの条件が満たされなかったかを特定することが重要です。端末準拠の問題であればIntuneへの登録とコンプライアンスの確認、場所条件の問題であれば管理者によるIP範囲の見直しが必要です。自分だけで解決できない場合は、管理者にエラーの詳細を伝え、適切な設定変更を依頼しましょう。条件付きアクセスは組織のセキュリティを守るための仕組みであり、正しく理解して対処することで、安全に業務を続けることができます。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】メール本文が「文字化け」して読めない!エンコード設定の変更と修復手順