外部委託先のユーザーをEntra IDにゲストとして追加したにもかかわらず、サインインできないというトラブルはよく発生します。「アクセスが拒否されました」や「アカウントが見つかりません」といったエラーが表示される場合、原因はゲストアクセスの設定や共有範囲の制限にあることがほとんどです。本記事では、外部委託先を追加した後にサインインできない原因を切り分ける方法を、具体的な手順とともに解説します。管理者の方だけでなく、一般ユーザーが対応を依頼する際の参考にもなります。
【要点】この記事で確認すること
- 最初に見る場所: Entra ID管理センターの「外部ID」設定と「クロステナントアクセス設定」
- 切り分けの軸: ゲスト招待の設定、サインインブロックの有無、共有範囲(ドメイン制限)
- 注意点: 会社PCの設定だけでは解決できません。Entra IDの管理画面を変更する必要があるため、自分がグローバル管理者または外部ID管理者の権限を持っているか確認してください。権限がない場合は、管理者に依頼しましょう。
ADVERTISEMENT
目次
外部委託先がサインインできない主な原因
外部委託先(ゲストユーザー)がサインインできない原因は、大きく分けて3つあります。1つ目は、ゲスト招待の設定自体が制限されているケースです。Entra IDの外部コラボレーション設定で、ゲストユーザーのアクセス権限が制限されていたり、招待可能なドメインが制限されている場合があります。2つ目は、クロステナントアクセス設定によるブロックです。外部委託先のテナントとの間で、受信または送信のアクセスが許可されていないと、サインインできません。3つ目は、招待されたゲストユーザー個別のアカウント状態の問題です。管理者によってサインインがブロックされていたり、招待メールがまだ処理されていないケースがあります。これらの原因を順に確認していくことで、問題を特定できます。
原因を切り分けるための確認手順
サインインできない問題が発生したら、以下の順序で確認を進めてください。
ゲストユーザーの招待状態を確認する
最初に、Entra ID管理センターで該当のゲストユーザーが正しく追加され、招待が送信されているかを確認します。ユーザー一覧から対象ユーザーを選択し、「招待が送信されました」と表示されているか、また「サインインをブロック」が無効になっているかを確認します。招待メールが未送信の場合は、「招待の再送信」を実行します。
外部コラボレーション設定を確認する
次に、テナント全体の外部コラボレーション設定を確認します。「外部ID」→「外部コラボレーション設定」に移動し、「ゲストユーザーのアクセス権限の制限」がどのレベルに設定されているかを確認します。必要に応じて、ゲストユーザーがアクセスできる情報の範囲を緩和します。また、「コラボレーションの制限」で、招待を許可するドメインが指定されている場合は、外部委託先のドメインが許可リストに含まれているか確認します。
クロステナントアクセス設定を確認する
外部委託先のテナントがAzure ADを利用している場合、クロステナントアクセス設定が影響することがあります。「外部ID」→「クロステナントアクセス設定」で、該当する外部テナントの設定を開き、「受信アクセス」と「送信アクセス」がブロックされていないか確認します。必要に応じて「許可」に変更してください。
【手順】ゲストアクセス設定の確認と修正
ここでは、実際の操作手順をステップごとに説明します。管理者権限を持っていることを前提とします。
- ブラウザで https://entra.microsoft.com にアクセスし、グローバル管理者または外部ID管理者のアカウントでサインインします。
- 左側のメニューから「外部ID」を選択し、「外部コラボレーション設定」をクリックします。
- 「ゲストユーザーのアクセス権限の制限」で、現在の設定が「ゲストユーザーは、自分自身のディレクトリオブジェクトのプロパティとメンバーシップのみを表示できる」などになっている場合、外部委託先が必要とする情報にアクセスできない可能性があります。必要に応じて「ゲストユーザーは、ディレクトリオブジェクトのプロパティとメンバーシップの制限された情報にアクセスできる」に変更します。
- 「コラボレーションの制限」セクションで、「特定のドメインへの招待を許可する」が選択されている場合は、外部委託先のドメインが「ドメインを許可」の一覧に含まれているか確認します。含まれていない場合は追加します。また、「すべてのドメイン(最も広範囲)」を選択すれば、ドメイン制限は解除されますが、セキュリティポリシーに注意してください。
- 次に、左メニューから「クロステナントアクセス設定」を選択します。「組織設定」タブで、該当する外部テナントが表示されていない場合は「追加」をクリックします。テナントIDまたはドメイン名で検索し、追加します。
- 追加した外部テナントをクリックし、「受信アクセス」タブを開きます。「ゲストユーザーと外部ユーザーのアクセス」が「許可」になっていることを確認します。「アクセスのブロック」になっている場合は、「許可」に変更し、「信頼された」も適切に設定します。
- 同様に「送信アクセス」タブも確認し、ブロックされていないことを確認します。必要に応じて設定を変更し、「保存」をクリックします。
ADVERTISEMENT
共有範囲の制限(ドメイン制限)の影響
外部委託先のサインインに直接影響するのが、共有範囲の制限、特にドメインベースの制限です。Entra IDでは、外部コラボレーション設定で「特定のドメインへの招待を許可する」を選択した場合、許可リストに含まれないドメインのユーザーは招待できず、仮に招待してもサインインできません。逆に「特定のドメインへの招待を拒否する」を選択した場合、拒否リストに含まれるドメインのユーザーがブロックされます。外部委託先のドメインがこれらのリストに該当していないか確認することが重要です。また、クロステナントアクセス設定でもテナント単位でのブロックが可能です。これらの設定が複合的に作用するため、両方の設定を確認する必要があります。
状況別の原因と対処法の比較表
| 状況 | エラーメッセージ例 | 主な原因 | 対処法 |
|---|---|---|---|
| ゲスト追加直後からサインイン不可 | 「アカウントがブロックされています」 | ゲストユーザーに「サインインをブロック」が設定されている | Entra IDのユーザープロパティで「サインインをブロック」を「いいえ」に変更する |
| 招待メールのリンクをクリックしたがエラー | 「アクセスが拒否されました」 | ドメイン制限またはクロステナントアクセスでブロックされている | 外部コラボレーション設定でドメイン許可、クロステナント設定を確認・修正 |
| 以前はアクセスできたが突然できなくなった | 「サインインできません」 | 管理者がポリシーを変更した可能性 | 管理者に問い合わせ、外部ID設定の変更履歴を確認する |
| サインインページが表示されない | 空白ページまたはリダイレクトループ | ブラウザの互換性、キャッシュ、またはカスタムブランドの影響 | シークレットウィンドウで試す、ブランド設定をデフォルトに戻す |
失敗しやすいパターンと注意点
実務でよく見られる失敗パターンとして、招待メールを再送しても問題が解決しないのに、何度も再送を繰り返すケースがあります。再送は設定が正しい場合に有効ですが、根本原因が設定にある場合は無駄です。また、ゲストユーザーが間違ったテナントに招待されている場合があります。外部委託先が複数のテナントを使用していると、混乱しやすいので注意しましょう。さらに、ゲストユーザーが自分の会社アカウントではなく、個人のMicrosoftアカウント(Outlook.comなど)でサインインしようとしていることもあります。招待メールのリンクからサインインする際、使用するアカウントを確認するよう伝えてください。
管理者に確認すべき設定項目
問題解決のために、管理者に以下の設定項目を確認してもらいましょう。これらはEntra IDの管理画面からのみ変更可能です。
- 外部コラボレーション設定: 「ゲストユーザーのアクセス権限の制限」「コラボレーションの制限(ドメインの許可/拒否リスト)」
- クロステナントアクセス設定: 該当テナントの受信アクセス、送信アクセスの許可/ブロック、信頼設定
- 条件付きアクセスポリシー: 外部ユーザーに対するポリシーが適用されていないか
- ユーザーのサインインブロック状態: 個々のゲストユーザーのプロパティ
よくある質問
Q: ゲストユーザーを追加したのに招待メールが届かない場合の対処は?
A: まずEntra IDで該当ユーザーの「招待が送信されました」状態を確認します。送信済みであれば、迷惑メールフォルダを確認してもらいましょう。それでも届かない場合は、ユーザープロパティから「招待の再送信」を実行します。再送しても届かない場合は、送信元ドメインのSPFやDKIMの設定に問題がある可能性があります。管理者に問い合わせてください。
Q: 外部委託先から「サインインページが表示されない」と言われた場合の原因は?
A: ブラウザの問題が最も多いです。シークレットウィンドウで試してもらうこと、別のブラウザを試すことを伝えてください。それでも改善しない場合、自社テナントのブランド設定でカスタムサインインページを設定していると、外部ユーザーに正常に表示されないことがあります。この場合は、Entra IDの「ブランド」設定で、カスタムサインインページを無効にするか、外部ユーザー向けに調整する必要があります。
Q: ゲストユーザーが「アカウントが存在しません」と表示されるのはなぜ?
A: 招待されたユーザーが、招待メール内のリンクをクリックして初めてアカウントが有効化されます。リンクをクリックしていない場合は、そのエラーが表示されます。ユーザーに招待メールのリンクをクリックするよう依頼してください。また、招待元のテナントでユーザーが削除されていないかも確認しましょう。
まとめ
外部委託先がサインインできない原因は、ゲストアクセス設定の制限、ドメインフィルター、クロステナントアクセス設定のブロックなど、管理者側の構成がほとんどです。最初にエラーメッセージを正確に把握し、外部コラボレーション設定とクロステナントアクセス設定を確認することで、多くの問題は解決できます。招待後すぐにサインインできない場合は、ゲストユーザーのサインインブロック状態も確認しましょう。この記事で紹介した手順を参考に、迅速に原因を特定してください。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】メール本文が「文字化け」して読めない!エンコード設定の変更と修復手順