社内プロキシを変更した後、Microsoft 365やEntra ID(旧Azure AD)へのサインインで、意図しない別のアカウントに切り替わってしまう現象が発生することがあります。この問題は、PACファイルの設定不整合や認証キャッシュ、名前解決の影響など複数の要因が絡むため、原因を特定するには段階的な切り分けが必要です。特に会社のPCでは管理者設定が関与するケースが多く、利用者だけでは解決が難しい場合もあります。本記事では、プロキシ変更後にサインインアカウントが切り替わる原因を、PAC・認証・名前解決の観点から整理し、具体的な確認手順と対処法を解説します。
【要点】この記事で確認すること
- 最初に見る場所: ブラウザのプロキシ設定とPACファイルの内容、Windowsの認証情報マネージャー、DNSキャッシュ
- 切り分けの軸: 端末側(キャッシュ・名前解決)、アカウント側(トークン・保存資格情報)、管理設定側(PAC・GPO・プロキシ自動構成)
- 注意点: プロキシ設定の変更は管理者の指示に従って行い、組織のポリシーを無視した変更はトラブルのもとになります。また、社内プロキシが複数ある場合は、PACファイルのロジックを正確に把握する必要があります。
ADVERTISEMENT
目次
1. プロキシ変更後にサインインアカウントが切り替わる仕組み
プロキシを変更すると、ブラウザやOSが通信に使用する経路が変わります。Entra IDのサインインは、認証トークンの発行や更新のために特定のエンドポイント(login.microsoftonline.com など)へアクセスしますが、プロキシ経路が変わると以下のような影響が発生します。
- PACファイルの不整合: 新しいプロキシ設定で以前のPACファイルが使われている、または正しくダウンロードされず、トラフィックが誤ったプロキシや直通(バイパス)で送られる。
- 認証のキャッシュ: 以前のプロキシ経由で取得した認証トークンやセッション情報が残り、新しい経路で別のアカウントとして認識される。
- 名前解決の変化: プロキシ変更に伴い、DNS参照先や名前解決の優先順位が変わり、意図しない認証サーバーに接続する。
これらの要因が複合的に作用すると、サインインページで別アカウントが表示されたり、自動的に切り替わったりします。
2. 最初に確認すべき3つのポイント
問題の切り分けを効率的に進めるために、以下の3項目を順に確認してください。それぞれに失敗パターンと判断基準を示します。
2.1 PACファイルの設定と内容
社内プロキシ変更後、PACファイルのURLやロジックが正しく更新されていないと、一部のトラフィックが誤った経路に流れます。特に、Entra ID関連のエンドポイント(login.microsoftonline.com、login.windows.net、graph.microsoft.com など)がPAC内で直通(DIRECT)に設定されている場合、プロキシ変更の影響を受けませんが、そうでない場合は新しいプロキシ経由でアクセスされます。
確認手順:
- ブラウザのプロキシ設定を開きます。Internet Explorer/Edgeの場合は「インターネットオプション」→「接続」タブ→「LANの設定」で「自動構成スクリプトを使用する」のチェックとアドレスを確認します。
- 指定されたPACファイルのURLをブラウザで開き、内容をダウンロードします。通常はテキストファイルとして表示されます。
- PACファイル内で、Entra ID関連のドメインがどうルーティングされているか確認します。以下のような記述を探します。
例:if (shExpMatch(host, "*.microsoftonline.com")) return "PROXY proxy-new:8080"; - 以前のプロキシアドレスが残っていないか、また新しいプロキシが正しく指定されているかをチェックします。
- 管理者がPACファイルを配布している場合、最新版が端末にキャッシュされている可能性があるため、ブラウザを再起動するか、
ipconfig /flushdnsを実行してから再度読み込みます。
失敗パターン: PACファイルが古いプロキシを指定したまま更新されていない、またはURL自体が無効になっている。また、PACファイルのダウンロードに失敗し、自動構成が機能していない。
2.2 認証情報のキャッシュ
Windowsの資格情報マネージャーやブラウザのパスワードマネージャーに、以前のアカウントのサインイン情報が保存されていると、プロキシ変更後にその情報が再利用され、意図しないアカウントで自動サインインされることがあります。また、Entra IDのトークン(PRT: Primary Refresh Tokenなど)が古いプロキシ経路で取得されたまま残っている場合も同様です。
確認手順:
- Windowsの「資格情報マネージャー」を開きます。スタートメニューで「資格情報マネージャー」と検索し、起動します。
- 「Windows 資格情報」タブで、MicrosoftアカウントやEntra ID関連のエントリ(例: MicrosoftOffice16_Data:ADAL:<テナントID>)がないか確認します。
- 該当する資格情報を選択し「削除」します。ただし、削除すると次回サインイン時に再入力を求められます。
- ブラウザの設定から保存済みパスワードも確認し、不要なアカウント情報を削除します。Edgeの場合はedge://settings/passwords、Chromeの場合はchrome://settings/passwords で確認できます。
- コマンドプロンプトを管理者で開き、
dsregcmd /statusを実行して現在のEntra ID参加状態やPRTの有無を確認します。
失敗パターン: 複数のアカウントが混在して保存されており、優先順位の高いアカウントが自動選択される。特に、職場アカウントと個人アカウントの両方が保存されていると、意図せず切り替わります。
2.3 名前解決(DNS)の影響
プロキシ変更時にDNSサーバーも変更された場合、名前解決の結果が変わります。Entra IDのエンドポイントが複数のIPアドレスを持つ場合、古いDNSキャッシュが残っていると以前のプロキシ経由でアクセスすることになり、認証サーバーが異なる応答を返す可能性があります。また、社内DNSに特定のFQDNのプライベートレコードがある場合、それが優先されることで別テナントに誘導されることもあります。
確認手順:
- コマンドプロンプトを開き、
ipconfig /displaydnsを実行してDNSキャッシュを確認します。特に login.microsoftonline.com や sts.microsoft.com のレコードをチェックします。 - 古いIPアドレスがキャッシュされている場合は、
ipconfig /flushdnsでキャッシュをクリアします。 - nslookup login.microsoftonline.com を実行し、現在の名前解決結果が正しいことを確認します。予期しないIPアドレスが返ってきた場合は、社内DNSの設定を管理者に確認します。
- hostsファイル(C:\Windows\System32\drivers\etc\hosts)に手動エントリがないか確認し、不要な行を削除します。
失敗パターン: DNSキャッシュに以前のプロキシ環境で学習した古いレコードが残り、新しいプロキシを経由しないで直接接続してしまう。または、hostsファイルに強制指定されたエントリが優先される。
3. 状況別トラブルシューティング比較表
問題の症状から原因を絞り込むための比較表を以下に示します。当てはまる症状を確認し、優先的にチェックすべき項目を判断してください。
| 症状 | 主な原因 | 優先確認項目 |
|---|---|---|
| サインイン画面で別ユーザー名が自動表示される | 認証キャッシュ(資格情報マネージャー) | Windows資格情報マネージャー、ブラウザパスワード |
| サインインボタンを押すと別アカウントでサインインされる | PACファイルによる誤ルーティング | PACファイルの内容、プロキシ設定 |
| 一度サインアウトしても再度同じ現象が起きる | トークンキャッシュ(PRT) | dsregcmd /status、サインイン履歴 |
| 特定の時間帯や端末でだけ起きる | DNSキャッシュの有効期限 | ipconfig /displaydns、nslookup |
| 複数アカウントが混在して表示される | ブラウザのプロファイルまたは保存資格情報 | ブラウザプロファイルの切り替え、パスワードマネージャー |
ADVERTISEMENT
4. 管理者に確認すべき情報と次のアクション
上記の確認で原因が特定できない場合、またはプロキシ設定の変更権限がない場合は、管理者に以下の情報を伝えてください。
- 発生時刻と頻度: いつから、どのくらいの頻度で発生するか。
- 影響を受けるアカウント: 社用アカウントか個人アカウントか、複数アカウントを使用しているか。
- プロキシ変更の詳細: いつプロキシが変更されたか、新しいプロキシサーバー名とポート番号。
- PACファイルのURL: 現在設定されている自動構成スクリプトのアドレス。
- 実施した対処: DNSキャッシュクリア、資格情報削除などを行ったか。
管理者は以下のアクションを検討します。
- PACファイルの更新と適切な配布(グループポリシーやWPADなど)
- Entra IDのテナントレベルの認証ポリシー(条件付きアクセス、シングルサインオン設定)の確認
- プロキシ変更に伴うKerberos認証やNTLM認証の設定変更
- エンドポイントのIPアドレス変更がないか、DNSレコードの整合性確認
5. よくある質問(FAQ)
Q1. プロキシ変更後、すべてのサイトでアカウント切り替わりが起こるわけではありません。なぜEntra IDだけが影響を受けるのですか?
Entra IDのサインインは複数のドメイン(login.microsoftonline.com、login.windows.net、sts.microsoft.comなど)を使用し、認証トークンのやり取りに特殊なヘッダーやリダイレクトを利用します。プロキシ変更によりこれらのトラフィックが意図しない経路を通ると、認証サーバーがセッション情報を正しく扱えないため、別のアカウントとして認識されることがあります。他のサイトではCookieやセッション情報が単純なため、影響が出にくいのです。
Q2. 資格情報マネージャーからエントリを削除しても、また元のアカウントに戻ってしまいます。どうすればよいですか?
削除後もブラウザのシークレットモードや別のプロファイルで試してください。また、Windows HelloやPINサインインを使用している場合、それらがPRTに関連付けられている可能性があります。管理者に連絡してPRTを失効させるか、端末をEntra IDから切断し再参加する必要がある場合もあります。
Q3. PACファイルを手動で変更してもいいですか?
会社のポリシーで許可されていない限り、手動変更は推奨しません。PACファイルは管理者が一元管理している場合が多く、変更すると他のシステムに影響を及ぼす可能性があります。必ず管理者に相談し、最新版のPACファイルを適切な方法で適用してください。
まとめ
社内プロキシ変更後にEntra IDのサインインで別アカウントに切り替わる問題は、PACファイル、認証キャッシュ、名前解決の3点を順に確認することで原因を特定できます。最初にPACファイルの内容とプロキシ設定を確認し、次にWindows資格情報マネージャーやブラウザの保存パスワードを削除、さらにDNSキャッシュをクリアして名前解決をリセットしてください。これらの手順で解決しない場合は、管理者に情報を整理して報告し、PACファイルの更新やトークンの失効を依頼しましょう。プロキシ変更に伴うトラブルは組織全体に影響するため、自己判断で設定を変更せず、ガイドラインに従うことが重要です。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】メール本文が「文字化け」して読めない!エンコード設定の変更と修復手順