新しいPCへ移行した直後、会社のアカウントでサインインしようとすると「権限がありません」や「アクセスが拒否されました」といったエラーが表示されることがあります。この問題は、端末がEntra ID(旧Azure Active Directory)に正しく登録されていないか、同期が完了していないことが主な原因です。本記事では、端末登録と同期状態を確認する具体的な手順を解説し、権限エラーを解消するための方法を紹介します。
【要点】この記事で確認すること
- 最初に見る場所: Windowsの設定 > アカウント > 職場または学校にアクセスする の画面で、会社アカウントの状態を確認します。
- 切り分けの軸: 端末側の登録状態(Azure AD Join / Hybrid Join / Registered)と、Entra IDとの同期状態(最終同期時刻、エラー有無)を確認します。
- 注意点: 会社PCでは登録解除や手動同期の実行が制限されている場合があるため、管理者に確認してから操作してください。
ADVERTISEMENT
目次
1. なぜ新しいPCで権限エラーが発生するのか
新しいPCに移行した後、サインイン時に権限エラーが表示される理由は、端末がEntra IDと適切に紐づいていないことです。企業環境では、PCをEntra IDに登録(Join)し、ユーザーアカウントとデバイスを関連付けることでリソースへのアクセス権が付与されます。新しいPCの場合、以下のような原因が考えられます。
原因1: 端末登録が完了していない
新しいPCは初期状態ではEntra IDに登録されていません。初回サインイン時に自動で登録が試みられますが、ネットワークや構成の都合で失敗することがあります。登録が完了していないと、そのPCは信頼されたデバイスと認識されず、アクセス権が拒否されることがあります。
原因2: 同期が未完了または失敗している
PCがEntra IDに登録されていても、ユーザーアカウントやグループの最新情報が同期されていない場合、権限エラーが発生します。特に、オンプレミスのActive DirectoryとEntra IDをハイブリッド構成で運用している環境では、Azure AD Connectによる同期が完了するまで時間がかかることがあります。
原因3: 旧PCの登録情報が残っている
ユーザーが旧PCで登録済みのデバイスがEntra IDに残っている場合、新しいPCが正しく登録されないことがあります。特に、同時に複数のデバイスを登録できる上限を超えている場合や、ライセンス制限がかかっている場合に問題が発生します。
2. 最初に確認すべき端末の登録状態
まずは、新しいPCがEntra IDに正しく登録されているかどうかを確認します。以下の手順で確認してください。
手順: 登録状態の確認
- Windowsマークをクリックし、歯車アイコンで「設定」を開きます。
- 「アカウント」をクリックします。
- 左メニューから「職場または学校にアクセスする」を選択します。
- 会社のアカウント(例: user@contoso.com)が表示されていることを確認します。表示されていない場合、登録が行われていません。
- アカウントをクリックし、「情報」を選択します。「Azure ADに参加済み」や「登録済み」の状態が表示されるはずです。「接続されていません」や「エラー」と表示される場合は、登録に問題があります。
また、以下のコマンドでも確認できます。コマンドプロンプトを管理者として開き、「dsregcmd /status」と入力します。出力結果の「AzureAdJoined」が「YES」となっていれば、Azure AD Joinが完了しています。「DomainJoined」が「YES」の場合はハイブリッドJoin、「DeviceRegistered」が「YES」の場合は登録済みです。
3. 同期状態の確認と手動同期の方法
登録が完了していても、Entra IDとの同期が正しく行われていないと権限エラーが発生します。同期状態の確認と手動同期の手順を説明します。
同期状態の確認
- 「設定」→「アカウント」→「職場または学校にアクセスする」でアカウントをクリックし、「情報」を開きます。
- 「最終同期時刻」が表示されます。現在時刻と比較して、数時間以上前の場合は同期が滞っている可能性があります。
- また、「同期エラー」の項目がないか確認します。エラーがある場合は、原因を特定します。
手動同期の実行
- コマンドプロンプトを管理者として開きます。
- 「dsregcmd /refresh」と入力してEnterキーを押します。これにより、手動で同期がトリガーされます。
- または、「Start-Sync」というPowerShellコマンドも利用できますが、環境によっては制限されています。
- 同期が完了したら、再度「dsregcmd /status」で最終同期時刻が更新されているか確認します。
- 同期後、一度サインアウトしてから再サインインすることで、権限エラーが解消されることがあります。
ADVERTISEMENT
4. 端末登録の種類による違い
Entra IDへの端末登録には主に3つのタイプがあります。それぞれの特徴を理解することで、エラーの原因を絞り込みやすくなります。
| 登録タイプ | 認証方法 | 管理対象 | 適した環境 |
|---|---|---|---|
| Azure AD Registered | ユーザーごとのサインイン、MFA可能 | 個人デバイス(BYOD) | 従業員が個人所有のデバイスで業務アプリにアクセスする場合 |
| Azure AD Joined | デバイス単位の認証(PRT)、SSO対応 | 会社所有のデバイス(クラウド専用) | 完全クラウド環境の企業 |
| Hybrid Azure AD Joined | オンプレADとEntra IDの両方に認証 | オンプレADとEntra IDを併用する企業 | ハイブリッドID環境 |
権限エラーが発生する場合、自分のPCがどのタイプで登録されるべきかを会社のポリシーで確認してください。特に、Hybrid join環境では、オンプレミスADとの同期が完了していないと、Entra ID側でデバイスが認識されずエラーになります。
5. 失敗パターンとその対処
実際によくある失敗例と、その対処方法を紹介します。
パターン1: 旧PCの登録が残っている
新しいPCに移行する際、旧PCをEntra IDから削除しないまま新PCを使い始めると、デバイスの上限に達していたり、ユーザーとデバイスの紐づけで競合が発生することがあります。対処として、管理者に依頼して旧PCのデバイスオブジェクトをEntra IDから削除してもらってください。または、ユーザー自身がマイアプリポータルからデバイスを削除できる場合もあります(要管理者設定)。
パターン2: プロキシやファイアウォールで同期がブロックされる
社内ネットワークでプロキシを使っている場合、Entra IDとの通信に必要なエンドポイント(例: login.microsoftonline.com、device.login.microsoftonline.com)がブロックされていることがあります。IT部門に確認し、必要なURLが許可されているか確認してください。また、プロキシ設定が正しく適用されているか、Windowsのプロキシ設定やグループポリシーを確認します。
パターン3: 証明書の問題
ハイブリッドJoin環境では、デバイス証明書が必要になる場合があります。証明書が期限切れや失効していると、認証に失敗します。管理者に証明書の再発行を依頼するか、証明書ストアの更新を試みてください。
6. 管理者に確認すべき設定一覧
自身で解決できない場合、管理者に以下の点を問い合わせるとスムーズです。
- デバイス登録の上限: ユーザーあたりの登録デバイス数に上限がないか確認。上限に達している場合、古いデバイスを削除する必要があります。
- 条件付きアクセスポリシー: 新しいデバイスに対して「準拠デバイス必須」などのポリシーが適用されている場合、MDM(Microsoft Intuneなど)への登録が必要です。
- Azure AD Connectの同期状況: オンプレADとの同期が正常に行われているか、管理者用ポータル(Entra管理センター)で確認してもらいます。
- MDMプロファイル: 会社のモバイルデバイス管理ポリシーが正しく適用されているか確認します。Intuneなどで構成プロファイルが配信されていない場合、アクセスが制限されることがあります。
- グループポリシー: ローカルのグループポリシーやレジストリ設定が、Entra ID登録を妨げていないか確認します。
7. よくある質問(FAQ)
Q1. サインインはできるが、特定のアプリで権限エラーが出る
そのアプリが条件付きアクセスやデバイス準拠を要求している可能性があります。アプリごとに必要な条件が異なるため、端的に登録状態を確認し、必要に応じてデバイスをMDMに登録してください。
Q2. dsregcmd /refresh がエラーになる
権限が不足しているか、PCがEntra IDに接続できない状態です。管理者としてコマンドプロンプトを実行しているか確認してください。また、ネットワーク接続やプロキシ設定を見直します。
Q3. 端末登録を自分で実施する方法は?
設定の「職場または学校にアクセスする」から「接続」をクリックし、会社のメールアドレスとパスワードを入力すれば登録を試みられます。ただし、管理者が登録を許可している必要があります。また、Azure AD Joinを行う場合は、「設定」→「システム」→「バージョン情報」→「Azure ADに参加する」から手動で参加できます。
8. まとめ
新しいPC移行後の権限エラーは、端末登録の欠如や同期の未完了が主な原因です。まずはWindowsの設定画面で登録状態を確認し、必要に応じて手動同期や再接続を試みてください。それでも解決しない場合は、旧PCの登録解除や管理者への問い合わせを行います。エラーの種類によっては、ハイブリッド環境の同期待ち時間や証明書の問題も考慮する必要があります。この記事の手順を順に実行することで、多くの権限エラーを解消できるはずです。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】メール本文が「文字化け」して読めない!エンコード設定の変更と修復手順