【Entra ID】端末準拠なのにブロックされる時のIntune同期と評価タイミング確認

会社のPCがEntra ID(旧Azure AD)に準拠していると表示されているにもかかわらず、クラウドアプリや社内リソースへのアクセスが突然ブロックされることがあります。このような現象は、Intuneのポリシー評価タイミングや同期のずれが原因であるケースが少なくありません。本記事では、端末準拠状態と実際のアクセス可否が一致しない場合に、Intuneの同期状況や評価タイミングを確認する手順を具体的に解説します。原因の切り分け方や管理者への依頼ポイントも含めて、実務で役立つ情報をまとめました。

1. 端末準拠なのにブロックされる主な原因

Entra IDで端末が準拠と表示されていても、アクセスが拒否される原因はいくつか考えられます。最も多いのが、Intuneのポリシー評価タイミングと実際の準拠状態のずれです。端末が準拠基準を満たしていても、Intuneがその情報をEntra IDに反映するまでに時間差が生じることがあります。また、条件付きアクセスポリシーで「準拠デバイスが必要」と設定されていても、ポリシーが正しく割り当てられていない場合や、ポリシーの変更が即時反映されない場合もあります。さらに、端末の証明書やトークンが期限切れになっている、あるいはIntune管理コンソール上で「登録済み」だが「準拠」ステータスが未反映といったケースも見られます。

2. Intuneの同期と評価タイミングの基本

Intuneは定期的に端末と通信し、ポリシーの適用状況や準拠状態を評価します。デフォルトの同期間隔は約8時間ですが、ユーザーが手動で同期を実行することも可能です。評価タイミングは以下のように分かれます。

2-1. ポリシーの評価タイミング

Intuneの準拠ポリシーは、端末がIntuneと同期するたびに評価されます。同期後、準拠状態がEntra IDに送信され、条件付きアクセスで利用されます。ただし、ポリシーに変更があった場合、その変更が端末に届くまでに最大で数時間かかることもあります。

2-2. 条件付きアクセスの評価タイミング

条件付きアクセスは、ユーザーがアクセスを試みたときにリアルタイムで評価されます。この評価では、その時点のEntra ID上のデバイス準拠ステータスを参照するため、Intuneの同期が完了していないと古い情報で判断される可能性があります。

3. 端末側で確認する手順(自分でできること)

まずは自分の端末でIntuneの同期状態を確認し、必要に応じて手動同期を実行してみてください。以下の手順はWindows 11/10を対象としています。

1. Intuneポータルサイトアプリを開く:タスクバーの検索ボックスに「ポータルサイト」と入力し、アプリを起動します。
2. デバイスの状態を確認:アプリ内で「デバイス」タブを選択し、該当する端末の「状態」が「準拠」となっているか確認します。もし「同期が必要」と表示されていれば、次に進みます。
3. 手動同期を実行:デバイス詳細画面で「同期」ボタンをクリックします。これにより、Intuneとの強制同期が行われます。
4. 同期後、しばらく待つ:手動同期が完了しても、準拠ステータスがEntra IDに反映されるまでに数分かかることがあります。その後に再度アクセスをお試しください。
5. 再起動を試す:同期だけでは改善しない場合、端末を再起動してみてください。再起動により証明書やトークンが更新され、問題が解決することがあります。

上記の手順を実施しても改善しない場合は、次の章の管理者向け確認事項を参考に、社内のIT管理者に連絡してください。

4. 管理者が確認すべきポイント(依頼時に伝える情報)

端末側で同期を試しても問題が解決しない場合、管理者側での確認が必要です。以下の情報を整理して管理者に伝えると、原因特定がスムーズになります。

確認項目	詳細
Entra IDのデバイス準拠ステータス	Entra ID管理センターで該当デバイスの「準拠」ステータスが最新か確認。最終同期時刻も合わせて確認する。
Intuneの準拠ポリシー割り当て	対象の端末に適切な準拠ポリシーが割り当てられているか、またポリシーに「すべてのデバイス」などの包括的な割り当てが正しく設定されているか確認する。
条件付きアクセスポリシー	ブロックされているアプリに対して、条件付きアクセスが「準拠デバイスが必要」になっているか。除外グループやテストユーザーが設定されている場合は、その影響も確認する。
Intune管理コンソールのエラーログ	デバイスの「ハードウェアの詳細」や「準拠ポリシー」のタブにエラーが表示されていないか。特に証明書や暗号化関連のエラーは要注意。

4-1. 代表的な失敗パターン

実際によくあるのは、準拠ポリシーで「デバイスの暗号化」や「OSバージョン」の要件を満たしていないにもかかわらず、端末の状態が「準拠」と表示されるケースです。これはIntuneの評価が正しく行われていない可能性があります。また、条件付きアクセスで「セッションコントロール」としてアプリ保護ポリシーが要求されているのに、該当アプリにポリシーが適用されていない例もあります。さらに、Intuneのライセンス割り当てが切れているユーザーのデバイスは、同期自体が行われなくなります。

5. 状況別の比較表

以下の表は、端末準拠なのにブロックされる原因を、端末側・管理側・ネットワーク側に分類したものです。自分で解決できる範囲か、管理者に依頼すべきかの目安としてご活用ください。

状況	原因の可能性	自分で解決	管理者が必要
Intune同期が古い	前回の同期から長時間経過、または同期失敗	手動同期を実行	同期エラーの詳細確認
Entra IDのステータスが未更新	IntuneからEntra IDへの反映遅延	端末再起動、時間をおく	強制同期の実行(管理者画面)
準拠ポリシーが未割り当て	ユーザーまたはデバイスグループにポリシー未割り当て	×	ポリシー割り当ての確認・修正
条件付きアクセスが競合	複数のポリシーが適用され、ブロックするポリシーが優先	×	ポリシーの優先順位と影響範囲の確認
端末の証明書期限切れ	デバイス証明書またはユーザー証明書の失効	再起動、サインアウト/サインイン	証明書の再発行、Intuneからの再登録

6. よくある質問(FAQ)

ここでは、端末準拠なのにブロックされる問題に関してよく寄せられる質問をまとめました。

Q: 手動同期してもブロックが解除されない場合はどうすればよいですか?

手動同期が成功しても、Entra IDへの反映に最大で15分程度かかることがあります。しばらく待ってから再度アクセスを試みてください。それでも改善しない場合は、端末の再起動やサインアウト/サインインを試してください。それでもダメなら管理者に連絡し、Intune管理コンソールで「同期の強制」を依頼してください。

Q: 他の端末は問題なくアクセスできるのに、自分の端末だけブロックされるのはなぜ?

ユーザー個別の条件付きアクセスポリシーが適用されている可能性があります。管理者に自分のアカウントに特別なポリシーが割り当てられていないか確認してもらってください。また、端末自体の登録状態や準拠ポリシーの評価に失敗している場合もあります。

Q: Intuneの同期間隔はどのくらいですか?変更できますか?

デフォルトの同期間隔は約8時間です。管理者がIntuneのポリシーで同期頻度を変更することは可能ですが、通常はユーザーが変更することはできません。業務影響が大きい場合は管理者に相談してください。

Q: 端末が準拠しているのにアクセスできないのは、Intuneの問題ですか?Entra IDの問題ですか?

多くの場合、Intuneの評価とEntra IDへの同期のずれが原因です。まずは端末のIntuneポータルサイトで同期を実行し、Entra IDのデバイスステータスを確認することで切り分けられます。それでも不明な場合は、管理者がEntra IDのサインインログを確認することで原因を特定できます。

7. まとめ

端末が準拠状態にもかかわらずアクセスがブロックされる場合、まずはIntuneの手動同期と端末の再起動を試すことで、多くの問題が解決します。それでも改善しない場合は、Entra IDのデバイスステータスや条件付きアクセスポリシーに原因がある可能性が高く、管理者の協力が不可欠です。問題が発生したときは、端末の状態やエラーメッセージを正確に管理者に伝えることで、迅速な対応が期待できます。Intuneの同期や評価タイミングを理解しておくことは、日常的なトラブルシューティングの効率を大きく向上させます。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。