【Entra ID】サインイン頻度が短すぎる時の条件付きアクセスセッション制御

社内システムにサインインするたびに「もう一度認証してください」と何度も求められ、業務効率が落ちていませんか。その原因は、Entra ID(旧Azure Active Directory)の条件付きアクセスにおける「サインイン頻度」の設定が短すぎることにあります。この記事では、サインイン頻度が短すぎる場合の原因特定方法、管理者が行う設定変更手順、さらにユーザー側でできる対処法までを実践的に解説します。自社のポリシーを正しく理解し、適切なセッション制御を実現するための参考にしてください。

サインイン頻度が短すぎる原因と影響

サインイン頻度とは、ユーザーが認証を行ってから次に再認証が必要になるまでの時間間隔です。条件付きアクセスのセッション制御で設定されており、短く設定するとセキュリティは高まりますが、ユーザーにとっては大きなストレスになります。

条件付きアクセスのセッション制御とは

条件付きアクセスポリシーでは、サインインリスク、場所、デバイスの状態などに基づいてアクセスを制御できます。その中の「セッション」制御には「サインイン頻度」と「永続的ブラウザーセッション」の2つがあり、これらがユーザーの再認証タイミングに直接影響します。サインイン頻度は、指定された時間が経過すると、ユーザーがアクティブであっても再認証を要求します。一方、永続的ブラウザーセッションを有効にすると、ブラウザを閉じてもセッションが保持されるため、一定期間は再認証が免除されます。

なぜ短く設定されているのか

管理者はセキュリティ強化の意図でサインイン頻度を短く設定することがあります。例えば、機密データを扱うアプリケーションや、リスクの高いユーザーグループに対しては、15分や30分といった短い間隔が設定されることもあります。しかし、すべてのアプリに一律で短い頻度を適用すると、ユーザーの不満が高まります。また、長期のセッションが許可されていない場合、モバイルデバイスや共有PCで頻繁に認証を求められることになります。

実際のサインイン頻度を確認する方法

問題の原因がサインイン頻度の設定にあるのか、それとも他の要因(ブラウザのクッキー削除、シークレットモードの使用など)なのかを切り分けるには、実際の認証イベントを確認する必要があります。

ユーザー側で確認できるログ

ユーザーは「マイアプリ」ポータル(myapps.microsoft.com)のアクティビティ履歴から、直近のサインイン時刻を確認できます。また、Outlook on the webやSharePoint Onlineなどの各サービスのプロファイル設定でも、最終アクセス時間が表示される場合があります。これらをメモしておき、再認証が発生したタイミングと照らし合わせることで、設定された頻度が原因かどうかを推測できます。

管理者向けのサインインログ

より正確な判断には、Entra管理センターの「サインインログ」を参照します。対象ユーザーでフィルタリングし、各サインインイベントの「条件付きアクセス」タブを開くと、適用されたポリシーとセッション制御の詳細が表示されます。ここで「サインイン頻度」の値が60分など短い値になっていれば、それが原因の可能性が高いです。また、複数のポリシーが適用されている場合は、最も制限の厳しい頻度が有効になります。

セッション制御の設定を変更する手順(管理者向け)

ここでは、管理者が条件付きアクセスポリシーのサインイン頻度を変更する手順を説明します。ユーザーは直接変更できませんので、以下の手順を管理者に依頼してください。

1. Entra管理センター(https://entra.microsoft.com)にサインインし、「保護」→「条件付きアクセス」を開きます。
2. 変更したいポリシーをクリックして編集画面を開きます。
3. 左側のメニューから「セッション」を選択します。
4. 「サインイン頻度」のトグルをオンにし、希望の時間(例:1時間、4時間、8時間など)を設定します。また、「永続的ブラウザーセッション」も必要に応じて有効にします。
5. 「選択」をクリックし、ポリシーを「保存」します。変更は即座に反映されますが、既存のセッションには適用されないため、ユーザーが次回サインインしたときから新しい頻度が適用されます。
6. 影響範囲を確認するため、テストユーザーで動作確認を行います。必要に応じて「レポート専用」モードで事前に影響を評価することも可能です。

設定変更後、ユーザーがすぐに再認証を求められた場合は、ブラウザのクッキーを削除して再サインインすると新しいポリシーが適用されます。

失敗パターンと回避策

サインイン頻度の設定を変更しても、期待通りに動作しないケースがあります。代表的な失敗パターンを表にまとめました。

失敗パターン	原因	回避策
頻度を変更してもすぐに再認証される	別の条件付きアクセスポリシーがより短い頻度を強制している	すべての適用ポリシーを確認し、最も短い頻度が有効になっていないかチェックする
モバイルアプリで頻回に認証される	モバイルアプリでは「永続的ブラウザーセッション」が効かない場合がある	モバイルアプリ向けのポリシーでは、サインイン頻度を長めに設定するか、アプリ保護ポリシーと組み合わせる
ブラウザを閉じると毎回認証される	「永続的ブラウザーセッション」が無効、またはサインイン頻度が短い	永続的ブラウザーセッションを有効にし、サインイン頻度を長くする
信頼できるデバイスでも頻繁に再認証	デバイスが条件付きアクセスの「準拠」状態になっていない	デバイスをIntuneなどに登録し、準拠状態にする

管理者に確認すべきこと・伝える情報

ユーザーがサインイン頻度に不満を持った場合、管理者への連絡は以下の情報を整理して行うと解決が早まります。

• どのアプリケーションで問題が発生しているか: すべてのアプリなのか、特定のアプリ(SharePoint Online、Teams、Outlookなど)だけなのか。
• どのくらいの頻度で再認証を求められるか: 例えば「30分ごと」「作業中に突然」「ブラウザを開くたび」など。
• 使用しているデバイスとブラウザ: 会社PCか個人PCか、ブラウザはEdgeかChromeか。プライベートブラウジングモードを使っていないか。
• エラーメッセージや画面のスクリーンショット: 再認証を求められる画面のスクリーンショットがあると、管理者が状況を把握しやすくなります。
• 自身のアカウントで確認できる最終サインイン時刻: myappsのアクティビティから取得します。

管理者は、これらの情報をもとに条件付きアクセスポリシーを見直したり、サインインログを調査したりします。場合によっては、ポリシーの適用範囲を限定したり、サインイン頻度の値を調整したりするでしょう。

よくある質問

Q1. サインイン頻度を自分で変更できますか?

いいえ、サインイン頻度の設定はテナント全体のセキュリティポリシーです。ユーザーが個別に変更することはできません。管理者に相談してください。

Q2. サインイン頻度を長くするとセキュリティリスクは高まりますか?

適切な長さに設定すればリスクは限定的です。通常は8時間から24時間が推奨されますが、機密性の高いアプリでは短めに設定する必要があります。多要素認証の利用やリスクベースの条件付きアクセスと組み合わせることで、バランスを取ることができます。

Q3. モバイルデバイスではなぜ頻繁に認証を求められるのですか?

モバイルアプリではブラウザのセッション管理が異なるため、Webブラウザよりも再認証が発生しやすい傾向があります。また、モバイルデバイスが準拠状態になっていない場合も同様です。管理者はモバイルアプリ向けのポリシーで別途設定を行うか、アプリ保護ポリシーを導入することで改善できます。

Q4. ブラウザのクッキーを削除するとどうなりますか?

クッキーを削除すると、そのブラウザではサインイン情報がリセットされるため、次回アクセス時に再認証が必要になります。ただし、サインイン頻度とは独立した動作です。クッキーを削除してもポリシーが変更されるわけではありません。

まとめ

サインイン頻度が短すぎる問題は、多くの場合、管理者が設定した条件付きアクセスポリシーのセッション制御に起因します。ユーザー自身で設定を変更することはできませんが、症状を具体的に伝えることで管理者の迅速な対応を促せます。管理者はサインインログを確認し、適切な頻度と永続的ブラウザーセッションの組み合わせを検討してください。セキュリティと利便性のバランスを取ることで、ユーザーのストレスを軽減しつつ、安全なアクセス環境を維持できます。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。