【Entra ID】セキュリティ警告が出た後にサインインが通らない時のリスク判定と本人確認の進め方

会社の業務でMicrosoft 365やAzureなどのクラウドサービスにサインインしようとしたところ、「セキュリティ警告」や「異常なアクティビティが検出されました」といったメッセージが表示され、そのままサインインできなくなった経験はありませんか。このような状況は、Entra ID(旧Azure Active Directory)のリスク検出機能が不正なサインイン試行を検知し、自動的にアクセスをブロックしたために発生します。多くの場合、ユーザー自身でリスクを解消し、サインインを再開できるケースがありますが、一方で管理者による対応が必要なケースも存在します。本記事では、警告の意味を理解し、リスク判定の基準を把握した上で、本人確認とサインイン回復の手順を具体的に解説します。

Entra IDのセキュリティ警告が示すリスクとは

Entra IDは、サインインのたびにリスク評価を実施しています。この評価は、ユーザーの行動パターン、アクセス元のIPアドレス、デバイスの状態、過去の不正アクセス情報などを元にリアルタイムで行われます。リスクが一定の閾値を超えると、セキュリティ警告が表示され、場合によってはサインインがブロックされます。

リスクレベルの種類と意味

Entra IDでは、リスクレベルを「低」「中」「高」の3段階で分類しています。それぞれの意味を理解することで、取るべき対応が変わります。

リスクレベル	想定される原因	ユーザー側の対応
低	普段と異なる場所からのアクセス、新しいデバイスの利用	多要素認証(MFA)による本人確認で解除可能。多くの場合、自動的にリスクが低減。
中	不審なIPアドレスからのアクセス、パスワード漏洩の可能性	パスワード変更が推奨される。セルフサービスパスワードリセット(SSPR)で対応できる場合がある。
高	パスワードスプレー攻撃の被害、不正アクセスの確定的な証拠	ユーザー自身での解除は困難。必ず管理者に連絡し、アカウント復旧を依頼する。

リスク検出の種類

リスク検出には、以下のような種類があります。これらはEntra IDの管理画面で「リスク検出」として一覧表示されます。

• 漏洩した資格情報: ユーザー名とパスワードの組み合わせがダークウェブなどで公開されている場合に検出されます。
• 異常なサインインアクティビティ: 普段と大きく異なる場所や時間帯からのサインイン試行。
• マルウェアに関連するIPアドレス: 感染した端末からのアクセス。
• 匿名プロキシ/Tor からのアクセス: 身元を隠すためのネットワーク経由。

警告が表示されたときの最初の確認手順

セキュリティ警告が表示され、サインインが通らない場合、まずは落ち着いて以下の手順を試してください。

1. 表示されているエラーメッセージを記録する: 「サインインがブロックされました」「このアクションを完了するには追加の確認が必要です」などのメッセージ、およびエラーコード(例:AADSTS50056)をメモします。
2. リスクレベルの確認: サインインページに「リスクレベル: 中」などの表示がある場合は、そのまま読み進めてください。表示がない場合は、管理者に確認を依頼してください。
3. 登録済みのメールアドレスや電話番号を確認する: 会社のOutlookや個人の電話にMicrosoftからのリスク通知が届いていないか確認します。通知には「お客様のアカウントで異常なアクティビティが検出されました」といった件名で届きます。
4. パスワードの変更を試みる: リスクレベルが中以下の場合、パスワードを変更することでリスクが自動的に低減されることがあります。会社のパスワードポリシーに従い、強力なパスワードに変更してください。
5. 多要素認証(MFA)のプロンプトに応答する: 追加の確認として、Authenticatorアプリへの通知、SMSコード、電話などが求められる場合があります。身に覚えのある本人確認手段であれば素直に応答してください。

本人確認ができない場合の代替手段

多要素認証のプロンプトが表示されない、または登録済みの認証方法が使えない場合は、セルフサービスパスワードリセット(SSPR)を利用します。SSPRが有効になっていれば、https://passwordreset.microsoftonline.com にアクセスし、本人確認の手順(登録済みの電話や秘密の質問など)を経てパスワードをリセットできます。この操作により、リスク評価が再実行され、サインインが許可されることがあります。

リスク判定の基準と失敗パターン

リスク判定はEntra IDの機械学習モデルによって行われますが、ユーザーが誤った判断をしてしまうケースがあります。以下によくある失敗パターンを挙げます。

失敗パターン1: 警告を無視して繰り返しログインを試みる

警告が表示されたにもかかわらず、パスワードを入力し直したり、別のブラウザで何度もログインを試みると、かえってリスクレベルが上がり、アカウントが一時的にロックされる可能性があります。このような行動は避けてください。

失敗パターン2: 自分が犯人ではないと決めつけて問い合わせを先送りにする

「自分は何もしていないのに」と被害者意識を持ち、管理者への連絡を遅らせることで、不正アクセスが放置されるリスクがあります。警告は、あなたのアカウントが攻撃者に狙われている可能性も示しています。早急に対処してください。

失敗パターン3: パスワードを変更しても警告が消えない場合に対応を誤る

パスワード変更後に再度パスワードを元に戻したり、同じような簡単なパスワードに変更すると、セキュリティ警告が継続します。また、リスクレベルが高い場合はパスワード変更だけでは解除されないこともあります。この場合は、管理者によるリスクの確認とアカウントの復旧が必要です。

管理者に連絡する前に整理すべき情報

どうしても自分で解決できない場合、会社のIT管理者やヘルプデスクに連絡することになります。その際、以下の情報をまとめておくとスムーズです。

• エラー画面のスクリーンショット: サインインエラーが表示された画面を撮影しておきます。特にエラーコードやリスクレベルが含まれていると理想的です。
• 発生時刻と日時: いつ、何時に警告が出たかをメモします。
• 使用した端末とブラウザ: 会社PC、自宅PC、スマートフォン、ブラウザの種類(Chrome、Edgeなど)を伝えてください。
• 自分で試した対策: パスワード変更、MFA応答、SSPRの試行などを報告します。
• リスク検出通知の有無: メールやアプリでリスク検出の通知を受け取ったかどうかも伝えます。

管理者が行う可能性のある操作

管理者はEntra ID管理センターで次のような対応を行います。

• リスク検出の確認: 該当ユーザーのリスクイベントを詳細に調査します。
• ユーザーのリスクを解決(Dismiss)または報告(Confirm): 管理者が安全と判断すればリスクを解決し、サインインを許可します。
• アカウントの復旧: パスワードリセットや多要素認証の再登録をユーザーに促します。
• 条件付きアクセスポリシーの調整: ブロックの原因となったポリシーがあれば、それを一時的に緩和する場合もあります。

よくある質問(FAQ)

Q1. 警告が出たが、自分は何もしていない。無視しても大丈夫?

無視するのは危険です。警告はアカウントが攻撃者に狙われている可能性を示します。必ず本人確認を行い、必要であればパスワードを変更してください。無視し続けると、後で不正ログインによる情報漏洩が発生する恐れがあります。

Q2. 会社のPCなのに、どうして警告が出るの?

会社PCでも、出張先や自宅でのアクセス、新しいブラウザの利用、IPアドレスの変更などでリスクと判定されることがあります。会社のネットワーク以外からアクセスする際は、特に注意してください。

Q3. 管理者に連絡する前に、自分でできることはある?

はい。パスワード変更、MFAの登録確認、SSPRの試行などが有効です。また、ブラウザのキャッシュクリアや別のブラウザでの試行も効果的な場合があります。

Q4. リスクレベルが高い場合、サインインは完全にブロックされる?

その通りです。高リスクの場合は管理者による手動解除が必要です。ユーザー側からはどうすることもできないため、速やかに管理者に連絡してください。

まとめ

Entra IDのセキュリティ警告は、アカウントを守るための重要な仕組みです。警告が表示されたら、まずはエラーメッセージとリスクレベルを確認し、本人確認の手順(パスワード変更、MFA、SSPR)を試してください。リスクレベルが高い場合や自己解決できない場合は、管理者に必要な情報を整理して連絡しましょう。普段から多要素認証を有効にし、強力なパスワードを使用することで、警告の発生を予防することも可能です。本記事の手順を参考に、安全にサインインを再開してください。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。