会社の共有端末を利用していると、前のユーザーがサインアウトした後に別のユーザーがサインインしようとした際に「権限エラー」や「アクセスが拒否されました」といったメッセージが表示されることがあります。この現象は、前のユーザーの認証情報やキャッシュが端末に残存しているために発生します。Entra ID(旧Azure AD)で管理された環境では、この残存情報が新しいユーザーのサインインを妨げる原因となります。本記事では、この問題の原因を明確にし、安全に残存情報を削除する手順を解説します。
【要点】この記事で確認すること
- 最初に見る場所: 共有端末でサインインできない場合、まずはWindowsの「設定」→「アカウント」→「他のユーザー」や、「資格情報マネージャー」で前のユーザーの情報が残っていないか確認します。
- 切り分けの軸: 問題が端末側の残存情報によるものか、アカウント自体の権限不足か、Entra IDの条件付きアクセスポリシーによるものかを切り分けます。
- 注意点: 会社PCでは、グループポリシーや管理者設定により手動削除が制限されている場合があります。勝手にレジストリを編集せず、管理者に相談してから対応してください。
ADVERTISEMENT
目次
1. 共有端末で発生する権限エラーの原因
共有端末に前のユーザーのサインイン情報が残る主な原因は、Windowsがサインアウト時にユーザープロファイルや資格情報を完全に削除しない仕様にあるためです。特に、Entra IDと同期されたアカウントでは、以下のような残存情報が問題を引き起こします。
- Windows資格情報マネージャー: 前のユーザーが保存したネットワークパスワードや証明書が残っていると、新しいユーザーが同じリソースにアクセスしようとしたときに旧ユーザーの資格情報が使われ、権限エラーになります。
- ユーザープロファイルの残骸: サインアウト後もC:\Users\に前のユーザーのフォルダが残っていると、新しいユーザーがサインインしたときにプロファイルの競合が発生し、アクセス許可が混乱する場合があります。
- キャッシュされたサインイントークン: Entra IDのトークンが端末にキャッシュされていると、新しいユーザーが同じアプリケーションにサインインしようとしたとき、期限切れトークンが原因で認証に失敗します。
これらの残存情報は、共有端末を複数のユーザーが連続して使用する際に、新しいユーザーのサインインを妨げる大きな要因となります。
2. 残存情報の確認手順
問題を解決する前に、まずは端末にどのような残存情報があるのかを確認します。以下の手順で、前のユーザーの痕跡をチェックしてください。
- 資格情報マネージャーを開く: コントロールパネルから「資格情報マネージャー」を開き、「Windows資格情報」を選択します。ここに前のユーザーに関連する資格情報(例:\server\share)が残っていないか確認します。
- ユーザープロファイルフォルダを確認: エクスプローラーでC:\Usersを開き、前のユーザーのフォルダ(例:C:\Users\olduser)が存在するか確認します。空のフォルダでも権限が残っている場合があります。
- イベントビューアーで認証エラーを確認: イベントビューアーの「Windowsログ」→「セキュリティ」で、新しいユーザーのサインイン試行時にエラーイベント(ID 4625など)が記録されていないか確認します。
- サインイン画面の前ユーザー表示: Windowsのサインイン画面で、前のユーザーのアカウントが一覧に表示される場合があります。これはサインイン情報が残っている証拠です。
- Entra IDのサインインログを確認: 管理者に依頼して、Entra IDの「サインインログ」で新しいユーザーのサインインが失敗している原因を確認します。エラーコード「AADSTS50034」や「AADSTS53003」などが手がかりになります。
これらの確認で残存情報が見つかった場合、安全な削除を検討します。
3. 安全に残存情報を削除する方法
残存情報の削除方法は、情報の種類によって異なります。ここでは、一般ユーザーでも実行可能な方法と、管理者権限が必要な方法を説明します。
3.1 資格情報マネージャーからの削除
前のユーザーが保存したWindows資格情報は、資格情報マネージャーから削除できます。
- コントロールパネル→「資格情報マネージャー」→「Windows資格情報」を開きます。
- 「汎用資格情報」または「Windows資格情報」の一覧から、前のユーザーに関連するエントリ(例:共有フォルダのパス)を探します。
- 該当するエントリをクリックし、「削除」を選択します。確認ダイアログで「はい」をクリックします。
3.2 ユーザープロファイルの手動削除
前のユーザーのプロファイルフォルダが残っている場合は、管理者権限で削除する必要があります。
- 設定→「アカウント」→「他のユーザー」を開き、前のユーザーが一覧に表示されていれば、アカウントを選択して「削除」します。
- これでユーザープロファイルが削除されない場合は、エクスプローラーでC:\Users\[旧ユーザー名]フォルダを右クリックし、プロパティ→「セキュリティ」タブで現在のユーザーにフルコントロール権限を付与してから削除します。
- システムのプロパティ→「詳細設定」→「ユーザープロファイル」の「設定」からも削除可能です。該当プロファイルを選択し、「削除」をクリックします。
3.3 キャッシュされたトークンのクリア
Entra IDのキャッシュトークンをクリアするには、以下の方法があります。
- コマンドプロンプトを管理者で開き、
net stop wuauservと入力してWindows Updateサービスを停止(トークンキャッシュの一部が関連する場合)。 - %ProgramData%\Microsoft\Crypto\RSA\MachineKeys フォルダ内のファイルを全て削除(証明書キャッシュ)。ただし、この操作は管理者権限が必要で、他のサービスに影響する可能性があるため、IT部門の指示を仰いでください。
- サインアウト後に再起動し、再度サインインすることで新しいトークンが取得されます。
ADVERTISEMENT
4. 状況別の比較表
残存情報の種類と対処法をまとめました。
| 残存情報の種類 | 発生するエラー例 | 削除方法 | 必要権限 |
|---|---|---|---|
| Windows資格情報 | ネットワークドライブ接続時の資格情報エラー | 資格情報マネージャーから削除 | ユーザー権限 |
| ユーザープロファイル | サインイン時のプロファイルエラー、権限不足 | 設定からアカウント削除、またはエクスプローラーからフォルダ削除 | 管理者権限が必要な場合あり |
| キャッシュトークン | 「アクセスが拒否されました」「認証に失敗しました」 | 再起動、または証明書キャッシュ削除 | 管理者権限推奨 |
| サインイン画面のユーザー一覧 | 不要なユーザーアカウントが表示される | 設定→アカウント→「その他のユーザー」から削除 | ユーザー権限 |
5. よくある失敗パターンと対策
実際に現場で発生しやすい失敗例を紹介します。
- 失敗1: ユーザープロファイルを強制削除してシステムが不安定になる。 プロファイルフォルダをエクスプローラーで直接削除しようとすると、アクセス許可がないエラーが表示されたり、削除後にシステムの動作が不安定になることがあります。必ず「設定」からの削除や、管理者権限での削除を推奨します。
- 失敗2: 資格情報マネージャーで全ての資格情報を削除してしまう。 自分が使っている正当な資格情報まで削除すると、逆にアクセスできなくなります。削除する前に、対象のエントリが本当に前のユーザーのものか確認してください。
- 失敗3: キャッシュトークンを削除するためにレジストリを編集してPCが起動しなくなる。 レジストリの誤った編集はシステム全体に影響するため、絶対に行わないでください。トークンのクリアは再起動やIT部門の指示に従ってください。
- 失敗4: サインイン画面のユーザー一覧を削除したつもりが再表示される。 単に一覧から非表示にしただけでは、次回のサインイン時に再表示されることがあります。設定から完全にアカウントを削除するか、グループポリシーで制御する必要があります。
6. 管理者に確認すべき設定と注意点
共有端末の管理は、多くの場合IT部門が担当しています。以下の点を管理者に確認してください。
- グループポリシーによる制限: 会社PCでは「ユーザープロファイルの削除を禁止」などのポリシーが適用されている場合があります。その場合、手動削除ができず、管理者の操作が必要です。
- 共有PCモードの設定: Windows 10/11では「共有PCモード」を有効にすると、サインアウト時に自動的にユーザープロファイルが削除されるようになります。この設定が有効かどうか確認しましょう。
- Entra IDの条件付きアクセス: 「信頼済みデバイス」や「準拠デバイス」の要件が厳しい場合、新しいユーザーのサインインがブロックされることがあります。管理者にサインインログを確認してもらい、原因を特定します。
- 定期的なメンテナンス: 共有端末では、定期的に古いユーザープロファイルを削除するスクリプトを実行するなど、IT部門によるメンテナンスが重要です。
7. よくある質問(FAQ)
Q1: サインイン画面に前のユーザーが表示されるのを防ぐには?
設定→アカウント→サインインオプション→「プライバシー」で、「サインイン画面にアカウントの詳細を表示する」をオフにすると、ユーザー名が表示されなくなります。ただし、これはあくまで表示の制御であり、根本的な解決にはなりません。完全に削除するには、アカウントを削除するか、共有PCモードを有効にしてください。
Q2: 管理者権限がない一般ユーザーでもできることは?
一般ユーザーでも、資格情報マネージャーから自分の資格情報を削除することや、設定から他のユーザーアカウントを削除(管理者権限が必要な場合あり)することが可能です。ただし、システム全体のプロファイル削除には管理者権限が必要です。自分でできない場合は、IT部門に連絡してください。
Q3: 再発を防ぐにはどうすればいいですか?
IT部門が共有PCモードを有効にする、または定期的に古いプロファイルを削除するスクリプトを実行することで再発を防げます。ユーザー側では、サインアウト時に「サインアウトしてすべてのアプリを閉じる」を選択し、ブラウザのキャッシュもクリアする習慣をつけると効果的です。
まとめ
共有端末での権限エラーは、前のユーザーの情報が残存していることが主な原因です。資格情報マネージャーやユーザープロファイル、キャッシュトークンを適切に削除することで、多くの問題は解決します。ただし、会社のポリシーによる制限や管理者権限が必要な操作もあるため、無理に自分で対処せず、IT部門に相談することも重要です。再発防止のためには、組織全体で共有端末の運用ルールを整備し、定期的なメンテナンスを実施することを推奨します。適切な管理のもとで、快適な共有端末環境を維持してください。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】メール本文が「文字化け」して読めない!エンコード設定の変更と修復手順