【Entra ID】セキュリティ情報の変更が禁止される時の認証方法ポリシー確認

会社のMicrosoft 365アカウントで「セキュリティ情報の変更が禁止されています」というメッセージが表示され、パスワードリセットや多要素認証の追加・変更ができないトラブルに遭遇したことはありませんか。このエラーはユーザーの操作ミスではなく、Entra ID(旧Azure Active Directory)の認証方法ポリシーによって制限がかけられている可能性が高いです。本記事では、なぜセキュリティ情報の変更がブロックされるのか、その原因を切り分ける具体的な確認手順と、管理者が知っておくべきポリシー設定について詳しく解説します。

セキュリティ情報の変更が禁止される仕組み

Entra IDでは、組織全体または特定のユーザーグループに対して、セキュリティ情報(パスワード、電話番号、認証アプリなど)の登録や変更を制限するポリシーを設定できます。この制限は主に「認証方法ポリシー(Authentication Methods Policy)」と「ユーザーフロー設定」の2つの管理画面で行われます。ユーザーが「セキュリティ情報のページ」(https://mysignins.microsoft.com/security-info)で変更を試みたときに表示されるエラーは、これらのポリシーが有効になっているために発生します。

認証方法ポリシーとは

Entra IDの認証方法ポリシーは、管理者がユーザーにどのような認証方法を許可するかを制御する設定です。例えば、特定の電話番号のみ許可する、認証アプリを強制する、パスワードリセットを禁止するなどの細かな制御が可能です。このポリシーで許可されていない方法をユーザーが追加しようとすると、変更がブロックされます。

ユーザー設定での制限

Entra管理センターの「ユーザー設定」には、「ユーザーによるセキュリティ情報の登録」を許可するかどうかのトグルがあります。これがオフになっていると、すべてのユーザーがセキュリティ情報を追加できなくなります。また、テナント全体で「外部ユーザーによるセキュリティ情報の登録」を制限する設定もあるため、ゲストアカウントの場合も影響を受けます。

原因を特定する確認手順(管理者向け)

ここからは、管理者が実際にポリシーを確認する手順を説明します。ユーザー側でこの手順を実行することはできませんが、管理者に依頼する際に「どこを見てほしいか」を伝える参考にしてください。

1. Entra管理センターにアクセスする:https://entra.microsoft.com にグローバル管理者または認証管理者としてサインインします。
2. 「保護」メニューを開く:左側のナビゲーションメニューから「保護」を選択し、その下にある「認証方法」をクリックします。
3. 各認証方法のポリシーを確認する:一覧の中で「パスワードリセット」「電話」「Microsoft Authenticator」「FIDO2セキュリティキー」などが表示されます。各方法をクリックし、「有効」の対象が「すべてのユーザー」か「選択したユーザー」(または「なし」)かを確認します。変更を制限したい場合、特定のユーザーグループのみ許可されるよう設定されていることがあります。
4. 「ユーザー設定」を確認する:Entra管理センターの「ユーザー設定」→「ユーザー機能の設定」で、「ユーザーによるセキュリティ情報の登録」が「はい」になっていることを確認します。ここが「いいえ」だと、誰もセキュリティ情報を追加・変更できません。
5. 条件付きアクセスポリシーとの連携を確認する:条件付きアクセスのポリシーでセキュリティ情報へのアクセスをブロックしていないか確認します。「保護」→「条件付きアクセス」→「ポリシー」で、セキュリティ情報のエンドポイント(security-info.microsoft.com)を対象としたポリシーがないか確認します。
6. 監査ログで詳細を確認する:Entra管理センターの「Identity」→「監査」で、最近の「セキュリティ情報の登録」や「パスワード変更」の失敗イベントを検索します。失敗の理由にポリシー制限の詳細が記録されていることがあります。

よくある失敗パターンと対処法

実際の現場で発生しやすい失敗事例をいくつか紹介します。これらを参考に、自分の状況に当てはまるか確認してください。

失敗パターン	主な原因	推奨される対処
認証アプリを追加しようとするとエラーになる	認証方法ポリシーで「Microsoft Authenticator」が特定のグループのみ許可されている	管理者がユーザーを許可グループに追加するか、ポリシーを緩和する
パスワードリセットができない	セルフサービスパスワードリセット(SSPR)が無効、または電話番号が未登録	SSPRの有効化と、認証方法ポリシーで電話番号を許可する
以前使えていたセキュリティ情報ページが突然表示されなくなった	条件付きアクセスポリシーでセキュリティ情報へのアクセスがブロックされた	条件付きアクセスのポリシーを確認し、必要なユーザーはブロック対象外に追加する
ゲストユーザーがセキュリティ情報を変更できない	テナント設定で「外部ユーザーによるセキュリティ情報の登録」がオフ	管理センターの「外部ユーザー」設定で許可する

管理者に伝えるべき情報と依頼のポイント

ユーザーが管理者に連絡する際、以下の情報をまとめて伝えるとスムーズです。管理者はすぐに原因を特定できます。

• エラーメッセージの正確な文言(スクリーンショットを添付するとなお良い)
• いつから変更できなくなったか(日時)
• どの認証方法を追加・変更しようとしたか(例:電話番号、認証アプリ、パスワードリセット)
• 所属部署や利用しているグループ(ポリシーの対象グループを特定するため)

管理者側では、上記の確認手順に加えて、ポリシーの変更履歴を監査ログで確認すると、意図しない設定変更が行われていないかを調べられます。また、複数のポリシーが重複している場合もあるため、優先順位や「ブロック」と「許可」の競合に注意が必要です。

よくある質問(FAQ)

Q1. 自分でポリシーを変更できますか?

いいえ、会社のEntra IDテナントのポリシーは管理者しか変更できません。ユーザーは変更できませんので、必ず管理者に依頼してください。

Q2. ポリシーが原因かどうかをユーザー側で判断する方法はありますか?

エラーページのURLを確認してください。セキュリティ情報ページ(https://mysignins.microsoft.com/security-info)で「変更が禁止されています」という表示が出た場合、90%以上の確率でポリシーによる制限です。また、別のブラウザやデバイスで試しても同じエラーなら、アカウントや端末の問題ではなくポリシー原因である可能性が高いです。

Q3. パスワードの変更だけができないのはなぜですか?

パスワード変更は「パスワードリセット」ポリシーと「パスワード書き込み」の設定に依存します。オンプレミスADと連携している場合は、オンプレ側のパスワードポリシーも影響します。管理者は「パスワード保護」の設定もあわせて確認する必要があります。

まとめ

セキュリティ情報の変更が禁止される場合、その原因はEntra IDの認証方法ポリシーやユーザー設定にあることがほとんどです。ユーザー側でできることは限られていますが、エラーの詳細を記録し、管理者に適切に伝えることで解決までの時間を短縮できます。管理者は、本記事で紹介した確認手順に沿って、認証方法ポリシー、ユーザー設定、条件付きアクセスを順にチェックし、監査ログで過去の変更を追跡してください。組織のセキュリティを維持しながら、必要なユーザーが適切にセキュリティ情報を管理できるバランスが重要です。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。