【Entra ID】社内LANから社外回線に変えた後にサインインが通らない時の条件付きアクセスと信頼済み場所の見直し

社内LANからリモートワークや出張などで社外回線に切り替えた際、突然Entra ID(旧Azure AD)のサインインが通らなくなるトラブルは少なくありません。特に、条件付きアクセスポリシーで「信頼済み場所」(IPアドレス範囲)を設定している場合、社外からのアクセスがブロックされることが原因です。この記事では、サインインが通らない原因を切り分け、信頼済み場所の設定を見直す手順を詳しく解説します。自身で解決できる部分と管理者に依頼すべき部分を明確にし、再発防止のポイントまでカバーします。

社外回線でサインインできない原因の切り分け

まず、問題が条件付きアクセスによるものか、それとも他の要因かを切り分ける必要があります。以下の手順で確認を進めてください。

1. エラーメッセージの内容を確認する

サインイン画面で表示されるエラーメッセージには、「このアプリにはアクセスできません」「条件付きアクセスポリシーによりブロックされました」など、場所に関するヒントが含まれていることがあります。特に「信頼されていない場所からアクセス」という文言があれば、条件付きアクセスが原因である可能性が高いです。エラーメッセージをスクリーンショットに保存し、管理者に共有すると解決が早まります。

2. 端末のネットワーク環境を確認する

自分が接続しているネットワークのIPアドレスを確認してください。社外回線(自宅、カフェ、宿泊先など)では、通常グローバルIPアドレスが会社とは異なります。以下の手順でIPアドレスを調べられます。

1. ブラウザで「What is my IP」など検索し、表示されたIPアドレスを控えます。
2. 会社PCにVPNクライアントがインストールされている場合は、VPN接続の有無を確認します。VPN接続中であれば、会社のIPアドレスと見なされることがあります。
3. スマートフォンのテザリングやモバイルルーターを使用している場合、キャリアのIPアドレス帯であるため、信頼済み場所に含まれていない可能性が高いです。

3. 過去に正常に接続できていた場所と比較する

以前社内LANで接続できていた時と、現在の社外回線での違いを整理します。例えば、オフィスの固定IPアドレス帯と、自宅の動的IPアドレスでは、条件付きアクセスの扱いが変わります。また、同じ社外回線でも、会社が許可する「その他の場所」に分類される場合と、ブロック対象になる場合があります。

状況	サインイン可否	主な理由
社内LAN(有線・Wi-Fi)	○成功	信頼済み場所に含まれているため
VPN接続(会社支給)	○成功	VPN経由で社内IPアドレスとして認識されるため
自宅回線(動的IP)	×ブロック	信頼済み場所に登録されていないため
モバイル通信(4G/5G)	×ブロック	キャリアIP帯が信頼済み場所に含まれないため

条件付きアクセスの信頼済み場所設定を確認する手順

このセクションは主に管理者向けですが、一般ユーザーでも理解できるように概要を説明します。管理者がEntra ID管理センターで実施する操作です。

1. Entra ID管理センターにサインインする

管理者アカウントで https://entra.microsoft.com にアクセスします。グローバル管理者または条件付きアクセス管理者の権限が必要です。

2. 条件付きアクセスのポリシー一覧を開く

左メニューから「保護」→「条件付きアクセス」を選択します。一覧から、問題が発生しているユーザーに適用されているポリシーを探します。

3. 該当ポリシーの場所条件を確認する

ポリシーをクリックし、「割り当て」→「場所」を開きます。「含める」または「除外する」で信頼済み場所が指定されていないか確認します。例えば「すべての信頼済み場所」が選択されていて、社外回線が含まれていない場合、アクセスが拒否されます。

信頼済み場所の見直し手順(管理者向け)

問題が信頼済み場所の設定不足による場合、以下の手順で場所を追加または修正します。ただし、セキュリティバランスを考慮しながら行ってください。

1. Entra ID管理センターで「保護」→「条件付きアクセス」→「場所」を開きます。
2. 新しい場所を追加する場合、「新しい場所」をクリックし、「IP範囲」に現在社外で使っているIPアドレスまたはサブネットを入力します。ただし、動的IPの場合は範囲を広く指定する必要があるため、会社のセキュリティポリシーに従ってください。
3. 登録済みの信頼済み場所を編集する場合、該当の場所をクリックし、IPアドレス範囲を修正します。
4. 条件付きアクセスポリシー自体を編集する場合、ポリシー内の「場所」条件で「除外する」設定を追加し、ブロックを回避する方法もあります。
5. 変更後、影響を確認するために、対象ユーザーにテストサインインを依頼します。サインインログで「場所」が意図通りに判定されているか確認します。

よくある失敗パターンと対策

信頼済み場所のトラブルでは、以下のような失敗がよく発生します。

1. 固定IPと思って登録したが、実際は動的IPだった

自宅やモバイル回線は動的IPが一般的で、数日で変わる可能性があります。対策として、会社が許可するIP範囲をCIDR表記で広めに設定するか、VPNを必須にするポリシーに変更する方法があります。ただし、広げすぎないように注意してください。

2. 信頼済み場所を更新したのにサインインが通らない

場所の変更が反映されるまでに最大30分程度かかることがあります。また、ブラウザのキャッシュやトークンが古い場合もあるため、ブラウザを再起動するかプライベートウィンドウで試してください。それでもダメなら、サインインログで実際にどの場所として判定されたかを確認します。

3. 管理者が場所設定を変更したが、ユーザーに周知されていなかった

ポリシー変更後は、対象ユーザーに影響範囲を通知する必要があります。特に、新しい場所の追加や除外設定が正しく行われたか、ユーザー側でも動作確認を依頼しましょう。

管理者に確認すべきポイント

一般ユーザーが自分で設定変更できない場合、管理者に以下の情報を伝えるとスムーズです。

• エラーのスクリーンショット: サインイン画面やエラーメッセージを撮影しておく。
• 接続元IPアドレス: トラブル発生時に、https://www.cman.jp/network/support/go_access.cgi などで確認したIPアドレス。
• 使用しているネットワーク: 自宅Wi-Fi、モバイルデータ通信、公共Wi-Fiなどの種別。
• VPNの有無: VPN接続を試したかどうか、試した場合は成功したかどうか。
• 正常動作した環境: 過去に社内LANや特定の場所で問題なくサインインできたこと。

よくある質問(FAQ)

Q1. 自宅のIPアドレスが変わるたびに管理者に連絡しなければならないのですか?

A. その必要はありません。動的IPの場合は、会社の信頼済み場所にそのISPのIP範囲全体を含めるか、VPN経由のアクセスを必須にするポリシーを検討してください。管理者と相談の上、適切な方法を選びましょう。

Q2. 条件付きアクセスポリシーを自分で無効にしてもいいですか?

A. 絶対にしないでください。条件付きアクセスは会社のセキュリティを守るための重要な設定です。無効にすると、不正アクセスや情報漏洩のリスクが高まります。必ず管理者に相談し、正当な理由があれば管理者が調整します。

Q3. 社外でもサインインできるようにするには、他に方法はありますか?

A. 多要素認証(MFA)を要件とするポリシーを組み合わせる方法があります。場所に依存せず、MFAを満たせばアクセスを許可する設定も可能です。ただし、会社のセキュリティポリシーによりますので、管理者に確認してください。

まとめ

社内LANから社外回線に変わった後のEntra IDサインイン不具合は、条件付きアクセスの信頼済み場所設定が原因であることが大半です。まずエラーメッセージと接続元IPアドレスを確認し、必要に応じて管理者に連絡してください。管理者は場所の追加やポリシー修正を行い、ユーザーはVPNやMFAの利用を検討することで、安全かつスムーズにリモートアクセスを実現できます。なお、設定変更は必ず管理者の指示のもとで実施し、セキュリティを損なわないように注意してください。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。