在宅勤務に切り替えた後、会社のシステムにサインインできなくなるケースは珍しくありません。これまで社内ネットワークから接続していたユーザーが、自宅のネットワークからEntra ID(旧Azure Active Directory)を利用する際に、VPN接続やアクセス条件、端末のコンプライアンス状態が原因でブロックされることがあります。この記事では、在宅勤務時のサインイン障害の原因を切り分け、具体的な確認手順を解説します。
【要点】この記事で確認すること
- 最初に見る場所: エラーメッセージの内容と、サインイン時に表示される「追加情報が必要です」などの画面。これにより、多要素認証や条件付きアクセスの要求が原因かどうか判断できます。
- 切り分けの軸: 端末側(VPN接続状態、OSの更新、Intuneへの登録状態)、アカウント側(パスワード、多要素認証の設定)、管理設定側(条件付きアクセスポリシー、場所条件、コンプライアンスポリシー)の三つに分けて原因を特定します。
- 注意点: 会社PCの設定をむやみに変更しないでください。特にVPNクライアントやファイアウォール設定は、IT管理者の指示がない限り変更してはいけません。まずは管理者に状況を報告することをおすすめします。
ADVERTISEMENT
目次
在宅勤務時のサインイン障害の主な原因
在宅勤務に切り替えた際にサインインができなくなる原因は大きく分けて三つあります。一つ目はVPN接続が正しく確立されていないケースです。会社のリソースにアクセスするためにVPNが必要な場合、VPNが接続されていないとサインイン画面が表示されない、または認証後にリソースに到達できないことがあります。二つ目は条件付きアクセスポリシーによる場所条件の制限です。管理者が「信頼できるIPアドレスからのみ許可」というポリシーを設定していると、自宅のIPアドレスがブロックされる可能性があります。三つ目は端末のコンプライアンス状態です。Intuneなどで管理されている端末は、OSのバージョンやウイルス対策ソフトの状態が条件を満たしていないとサインインが拒否されることがあります。
これらの原因は単独で発生するだけでなく、複合的に絡み合うこともあります。例えば、VPNに接続していても端末のコンプライアンスが不足しているためにサインインできない、といったケースです。そのため、順を追って確認することが重要です。
確認手順①:VPN接続の状態を確かめる
まずはVPNの接続状態を確認しましょう。多くの企業では、在宅勤務時に会社のネットワークに接続するためにVPNが必要です。以下の手順で確認してください。
- タスクバーのネットワークアイコンをクリックし、VPNの接続状態を確認します。「接続済み」と表示されているかどうかが重要です。未接続の場合は、VPNクライアントを起動して接続してください。
- VPNに接続してもサインインできない場合、VPNクライアントのログを確認します。通常、クライアントソフトに「ログの表示」機能があります。エラーコード(例:691や800など)が記録されている場合は、そのコードをメモして管理者に伝えます。
- VPN接続に成功していても、サインイン後に特定のアプリが使えない場合は、VPNの分割トンネリング設定が原因かもしれません。すべてのトラフィックがVPN経由になっているかどうかを管理者に確認してください。
- VPNの接続先が正しいかどうかも確認します。誤ったサーバーアドレスやポート番号が設定されていると接続に失敗します。会社から提供された設定情報と照らし合わせてください。
- 最後に、一時的にVPNを切断して再試行してみることもあります。ただし、これは条件付きアクセスポリシーによっては逆効果になる場合があるため、管理者の指示がない限り避けたほうが無難です。
VPN接続に関しては、特に「VPNに接続していないのにサインインできてしまう」というケースも報告されています。これは、条件付きアクセスポリシーでVPNが必須になっていない可能性がありますが、その場合は社内リソースにアクセスできないことが多いです。VPNが正しく機能しているかを確認するためには、社内のファイルサーバーや共有フォルダにアクセスできるかどうかを試す方法も有効です。
確認手順②:場所条件(IPアドレス・国・地域)の制限を確認する
次に、条件付きアクセスポリシーによる場所条件が原因でブロックされていないかを確認します。Entra IDの管理者は、特定のIPアドレス範囲や国・地域からのアクセスを許可または拒否するポリシーを設定することができます。自宅のIPアドレスがその条件を満たしていない場合、サインインが拒否されます。
以下の手順で自分がブロックされている可能性を確認できます。
- サインインできないときに表示されるエラーメッセージを注意深く読みます。「アクセスがブロックされました」「この場所からのサインインは許可されていません」といった文言があれば、場所条件による制限の可能性が高いです。
- 自分の現在のIPアドレスを確認します。ブラウザで「What is my IP」と検索するか、コマンドプロンプトで「ipconfig」と入力してIPv4アドレスを確認します。特に、自宅のルーターを経由したグローバルIPアドレスが重要です。
- 管理者が許可しているIPアドレスの範囲を知っている場合は、自分のIPアドレスがその範囲内に含まれているか確認します。通常は社内VPNのグローバルIPアドレスが許可されていることが多く、自宅のIPアドレスは許可されていない可能性があります。
- もしVPNに接続している場合、VPN経由で割り当てられたIPアドレスが条件を満たしているかどうかが重要です。VPNクライアントの接続情報で「割り当てIPアドレス」を確認できます。
- 国や地域による制限がある場合、海外からのアクセスがブロックされていることがあります。もし海外出張中であれば、その地域が許可リストに含まれているか管理者に確認する必要があります。
場所条件の制限は、管理者がEntra IDの管理センターで「条件付きアクセス」ポリシーとして設定しています。ユーザー側で変更することはできません。そのため、ブロックされた場合は管理者に「自宅のIPアドレス(またはVPN経由のIPアドレス)でもアクセスできるようにしてほしい」と依頼する必要があります。その際、上記で確認したIPアドレスを伝えるとスムーズです。
ADVERTISEMENT
確認手順③:端末のコンプライアンス状態を確認する
三つ目の原因として、端末がコンプライアンス要件を満たしていないためにサインインがブロックされるケースがあります。IntuneやMicrosoft Defender for Endpointなどで管理されている端末は、OSのバージョン、ウイルス対策ソフトの状態、ファイアウォールの有効化、ディスク暗号化など、さまざまな条件を満たす必要があります。在宅勤務に切り替えたことで、これらの条件が変化することがあります。
端末のコンプライアンス状態を確認する手順は以下の通りです。
- Windows 10/11の場合、「設定」→「アカウント」→「職場または学校にアクセスする」を開きます。そこで「Intuneに登録済み」と表示されているか確認します。登録されていない場合、会社の管理下にないためコンプライアンスポリシーが適用されない可能性があります。
- 同じ画面で「詳細情報」をクリックすると、コンプライアンスの状態が「準拠」または「非準拠」と表示されます。非準拠の場合、どの要件が満たされていないかが表示されるので、その指示に従って修正します。
- ウイルス対策ソフトが最新の定義ファイルであるか、ファイアウォールが有効になっているかなど、基本的なセキュリティ設定を確認します。特に、会社PCではグループポリシーで設定されていることが多いため、勝手に無効にしていないか注意してください。
- OSの更新プログラムが保留されていないか確認します。「設定」→「更新とセキュリティ」で最新の状態であるか確認し、再起動が必要な場合は実行します。
- 最後に、会社のポータルサイト(Company Portal)アプリを開き、端末の状態を確認します。そこに「アクションが必要です」などのメッセージがあれば、それをタップして修正します。
端末のコンプライアンス状態は、Intuneの管理センターで管理者がポリシーを変更しない限り、ユーザー側ですべてを解決できるわけではありません。特に、OSのバージョンが古すぎる場合や、特定のセキュリティソフトがインストールされていない場合は、管理者によるポリシーの緩和が必要になることもあります。
状況別の比較表
以下の表は、在宅勤務時に発生しやすいサインイン障害の原因と、それぞれの特徴をまとめたものです。自分の状況に当てはめて確認してください。
| 原因 | エラーメッセージの例 | 確認ポイント | 対応方法 |
|---|---|---|---|
| VPN未接続 | 「ネットワークに接続できません」「サーバーが見つかりません」 | VPNクライアントの接続状態、ログエラー | VPNに接続する、設定を確認する |
| 場所条件の制限 | 「アクセスがブロックされました」「この場所からのサインインは許可されていません」 | 自分のIPアドレス、管理者の許可IPリスト | 管理者にIPアドレスを伝えて許可を依頼する |
| 端末のコンプライアンス非準拠 | 「このデバイスはセキュリティ要件を満たしていません」「アクセスが拒否されました」 | Intuneの登録状態、OS更新、ウイルス対策 | 設定を修正する、管理者にポリシーの緩和を依頼する |
| 多要素認証の失敗 | 「追加情報が必要です」「認証に失敗しました」 | 認証アプリの状態、電話番号、セキュリティキー | 多要素認証の方法を再設定する、管理者に連絡する |
よくある失敗パターンと管理者への相談ポイント
実際によくある失敗パターンと、その際に管理者に伝えるべき情報をまとめます。
失敗パターン1:VPNに接続しているのにサインインできない
この場合、原因は二つ考えられます。一つは、条件付きアクセスポリシーでVPNのIPアドレスが許可されていないケースです。VPNのIPアドレス範囲が管理者の設定と一致していない可能性があります。もう一つは、端末のコンプライアンスが原因です。VPNに接続していても、端末が非準拠だとサインインがブロックされます。管理者に伝える情報としては、「VPNには接続できており、割り当てIPアドレスは○○ですが、サインイン画面で『アクセスがブロックされました』と表示される」という具体的な状況を伝えてください。
失敗パターン2:自宅のWi-Fiからはサインインできないが、スマホのテザリングではできる
このパターンは、自宅のIPアドレスがブロックされていて、テザリングのIPアドレスが許可されている可能性があります。または、自宅のネットワークにプロキシやファイアウォールが影響していることもあります。管理者に伝えるべき情報は、「自宅の固定IPアドレス(またはISPから割り当てられているIP)を確認してほしい」という点です。また、VPNに接続した状態で試すことも有効です。
失敗パターン3:サインイン後に「組織のデータにアクセスできません」と表示される
これはサインイン自体は成功しているが、その後のリソースアクセスでコンプライアンス条件が課されているケースです。端末がIntuneに登録されていない、またはコンプライアンスポリシーを満たしていない可能性があります。管理者に伝える情報としては、「サインインはできたが、SharePointやOneDriveにアクセスしようとするとブロックされる」という具体的なアプリ名やサービス名を伝えてください。
まとめ
在宅勤務時のサインイン障害は、VPN接続、場所条件、端末のコンプライアンス状態のいずれかが原因であることが大半です。まずはエラーメッセージを確認し、VPNの接続状態や端末の準拠状況を順にチェックすることで原因を絞り込めます。自分で解決できない場合は、確認した情報(IPアドレス、エラーコード、画面キャプチャなど)をまとめて管理者に連絡すると対応がスムーズになります。勝手に設定を変更せず、管理者の指示に従うことが安全です。
最後に、在宅勤務を始める前に、事前にVPN接続のテストや端末のコンプライアンス状態を確認しておくことで、トラブルを未然に防ぐことができます。もし現在障害が発生している場合は、この記事の手順を落ち着いて実行してみてください。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】メール本文が「文字化け」して読めない!エンコード設定の変更と修復手順