コンテンツへスキップ
超解決
  • トップページ
  • 詐欺メールチェッカー
  • テキスト整形ツール
  • 高機能・文字数カウント(自動保存付き)
  • パスワード生成ツール
  • 全記事一覧(サイトマップ)
  1. ホーム
  2. デジタル・IT
  3. Office・仕事術
  4. 【Entra ID】ユーザーが無効化済みなのにアプリに入れる時のトークン失効確認

【Entra ID】ユーザーが無効化済みなのにアプリに入れる時のトークン失効確認

2026年5月27日2026年6月22日
Office・仕事術 会社アカウント・認証
【Entra ID】ユーザーが無効化済みなのにアプリに入れる時のトークン失効確認
🛡️ 超解決

Entra ID(旧Azure AD)でユーザーアカウントを無効化したにもかかわらず、そのユーザーがまだアプリケーションにアクセスできるという現象が発生することがあります。これは、ユーザーが以前に取得したアクセストークンやリフレッシュトークンが有効期限内であるために起こります。本記事では、トークンが即座に失効しない理由と、その確認方法、強制的に失効させる手順を具体的に解説します。管理者の方が適切なユーザー管理とセキュリティ対策を実施するための参考にしてください。

【要点】この記事で確認すること

  • 最初に見る場所: Entra ID管理センターの「サインインログ」と「ユーザーのトークン発行情報」
  • 切り分けの軸: ユーザー状態(無効化済み)、トークンの有効期限、アプリ側のキャッシュ期間
  • 注意点: ユーザー無効化だけではトークンが自動失効しないため、管理者による手動トークン失効が必要なケースがあります

ADVERTISEMENT

目次

  • 1 なぜ無効化済みユーザーがアプリにアクセスできるのか?
    • 1.1 アクセストークンとリフレッシュトークンの違い
    • 1.2 トークンのライフタイムと失効の仕組み
  • 2 トークン失効がすぐに反映されない理由
    • 2.1 アクセストークンの標準有効期間
    • 2.2 リフレッシュトークンの長期有効
    • 2.3 アプリ側のキャッシュとオフラインアクセス
  • 3 無効化後もアクセスできるアプリを特定する方法
    • 3.1 サインインログの確認手順
    • 3.2 Graph APIを使ったトークン一覧取得
  • 4 手動でトークンを強制失効させる手順
    • 4.1 PowerShellを使用したトークン失効
    • 4.2 Microsoft Graph API によるトークン失効
  • 5 トークン失効の失敗パターンと注意点
    • 5.1 失敗パターン1:アプリがオフラインキャッシュを使用している
    • 5.2 失敗パターン2:条件付きアクセスポリシーが適用されていない
    • 5.3 失敗パターン3:サービスプリンシパル(アプリ)にユーザー割り当てが必要
    • 5.4 管理者へ伝える情報と確認ポイント
  • 6 よくある質問(FAQ)
    • 6.1 Q1. ユーザーを無効化してからどのくらいでアクセスできなくなりますか?
    • 6.2 Q2. パスワードを変更すればトークンは失効しますか?
    • 6.3 Q3. すべてのアプリでトークン失効が効かないのはなぜですか?
    • 6.4 Q4. トークンを確認するための管理ツールはありますか?
  • 7 まとめ
    • 7.1 解決 関連記事でさらに詳しく
    • 7.2 Office・仕事術の人気記事ランキング

なぜ無効化済みユーザーがアプリにアクセスできるのか?

Entra IDでは、ユーザーがアプリにサインインする際にアクセストークンが発行されます。このトークンは一定期間(通常60~90分)有効で、その間はユーザーが無効化されてもトークン自体は失効しません。また、リフレッシュトークンはさらに長い期間(最大90日間)有効であり、これを使って新しいアクセストークンを取得できます。その結果、ユーザーアカウントが無効化された後も、既存のトークンが有効な間はアプリにアクセスし続けることが可能です。

アクセストークンとリフレッシュトークンの違い

アクセストークンはアプリへの直接アクセスに使われる短命なトークンです。一方、リフレッシュトークンはアクセストークンが期限切れになったときに新しいアクセストークンを取得するために使われます。リフレッシュトークンの有効期間はアプリや条件付きアクセスポリシーによって異なりますが、標準では90日間です。ユーザーを無効化しても、リフレッシュトークンが残っていると自動的に新しいアクセストークンが発行され続けるため、事実上アクセスが継続します。

トークンのライフタイムと失効の仕組み

Entra IDでは、ユーザーが無効化されただけでは発行済みのトークンは自動的に無効になりません。トークンの失効は、以下のいずれかのタイミングで発生します。

  • トークンの有効期限が切れたとき
  • 管理者が明示的にトークン失効操作(Revoke-AzureADUserAllRefreshTokenなど)を行ったとき
  • ユーザーのパスワードが変更されたとき(リフレッシュトークンが無効になる)
  • 条件付きアクセスのポリシーが変更され、トークン再評価が必要になったとき

そのため、ユーザー無効化後もトークンが有効な間はアプリにアクセスできる状態が続きます。

※ お探しの解決策が見つからない場合は、こちらの「Teams/Outlookトラブル完全解決データベース」で他のエラー原因や解決策をチェックしてみてください。

トークン失効がすぐに反映されない理由

ユーザー無効化後すぐにアクセスをブロックできない理由は、トークンのライフタイム設計とアプリ側のキャッシュにあります。Entra IDはパフォーマンスと可用性を考慮して、トークンを即時検証しない設計になっています。

アクセストークンの標準有効期間

アクセストークンの既定の有効期間は60~90分です。この期間内であれば、ユーザーが無効化されてもトークンの署名は有効とみなされ、アプリはアクセスを許可します。無効化後、最大90分間はアクセスが可能な状態となります。

リフレッシュトークンの長期有効

リフレッシュトークンはデフォルトで90日間有効です。ユーザーが無効化されても、リフレッシュトークンが残っていれば、新しいアクセストークンを取得できます。さらに、リフレッシュトークンはローテーションされるため、一度発行されると長期間利用される可能性があります。

アプリ側のキャッシュとオフラインアクセス

一部のアプリ(特にモバイルアプリやSPA)は、オフラインキャッシュとしてトークンを保存します。ユーザーが無効化されても、キャッシュされたトークンが有効であればアプリは動作します。アプリがEntra IDに問い合わせを行わない限り、無効化状態は検知されません。

操作 アクセス可否 トークン状態
ユーザー無効化直後 可(既存トークン有効) アクセストークン有効、リフレッシュトークン有効
アクセストークン期限切れ後 可(リフレッシュトークンで再取得) アクセストークン失効、リフレッシュトークン有効
リフレッシュトークン期限切れ後 不可(新規サインインが必要) 両方失効
管理者によるトークン失効後 即時不可 強制失効
パスワード変更後 即時不可(リフレッシュトークン無効) リフレッシュトークン失効

無効化後もアクセスできるアプリを特定する方法

ユーザー無効化後、どのアプリにアクセスされているかを確認するには、Entra IDのサインインログとアクティビティレポートを活用します。以下の手順で調査してください。

サインインログの確認手順

  1. Entra ID管理センター(https://entra.microsoft.com)に管理者アカウントでサインインします。
  2. 左メニューから「監視と正常性」→「サインインログ」を選択します。
  3. フィルターで「ユーザー」を選び、無効化したユーザーのUPNを入力して検索します。
  4. 結果リストから、無効化後に記録されたサインインイベントを確認します。「状態」が「成功」のものは、トークンを使ってアクセスが許可された可能性が高いです。
  5. 各イベントの「アプリケーション」列で利用されたアプリを特定します。
  6. イベントの詳細を開き、「認証プロパティ」タブで「トークン発行」に関する情報を確認します。

Graph APIを使ったトークン一覧取得

管理者はMicrosoft Graph APIを使用して、特定ユーザーに発行されたリフレッシュトークンの存在を確認できます。ただし、Graph APIではアクセストークンの一覧は直接取得できませんが、サインインログから推測可能です。リフレッシュトークンの失効操作はPowerShellで行うことが一般的です。

手動でトークンを強制失効させる手順

ユーザー無効化後、トークンを即座に失効させるには管理者の手動操作が必要です。以下にPowerShellとMicrosoft Graph APIを使った2つの方法を紹介します。

PowerShellを使用したトークン失効

  1. 管理者としてPowerShellを起動し、Install-Module AzureAD コマンドでAzureADモジュールをインストールします(未インストールの場合)。
  2. Connect-AzureAD コマンドでEntra IDに接続します。管理者アカウントでサインインしてください。
  3. Revoke-AzureADUserAllRefreshToken -ObjectId <ユーザーObjectId> を実行します。ObjectIdはユーザープロパティから取得できます。
  4. 実行後、そのユーザーのすべてのリフレッシュトークンが即座に失効します。アクセストークンは有効期限まで使用可能ですが、新しいアクセストークンは取得できなくなります。
  5. 確認として、ユーザーがアプリにアクセスできないことをテストします。必要ならアクセストークンが失効するまで待つか、パスワードを変更してすべてのトークンを無効にします。

Microsoft Graph API によるトークン失効

Graph APIを使用する場合、POST /users/{id}/revokeSignInSessions エンドポイントを呼び出します。これによりユーザーのすべてのサインインセッションとトークンが無効になります。PowerShellと同様の効果があります。

トークン失効の失敗パターンと注意点

トークン失効操作を行っても、期待通りにアクセスが遮断されないケースがあります。以下に主な失敗パターンと対策を挙げます。

失敗パターン1:アプリがオフラインキャッシュを使用している

モバイルアプリやデスクトップアプリがオフライン用にトークンをキャッシュしている場合、サーバー側で失効してもクライアントのキャッシュが残っているとアクセスが継続します。この場合、アプリのキャッシュをクリアするか、アプリ自体がEntra IDにアクセスしてトークン検証を行う仕様になっている必要があります。管理者はアプリの仕様を確認し、必要に応じてユーザーにキャッシュクリアを依頼してください。

失敗パターン2:条件付きアクセスポリシーが適用されていない

条件付きアクセスポリシーで「セッション制御」として「アプリのアクセスを要求」を設定していない場合、トークンが失効しても新しいトークンを発行する際にブロックされないことがあります。ユーザー無効化と組み合わせて、条件付きアクセスで「ユーザーが無効の場合アクセスをブロック」するポリシーを作成すると確実です。

失敗パターン3:サービスプリンシパル(アプリ)にユーザー割り当てが必要

アプリが「ユーザー割り当て必須」に設定されていない場合、無効化されたユーザーでもトークンがあればアクセスできます。アプリのプロパティで「割り当てが必要ですか?」を「はい」に設定し、無効化ユーザーを割り当てから削除することでアクセスをブロックできます。

管理者へ伝える情報と確認ポイント

トークン失効に関する問題を管理者に報告する際は、以下の情報を伝えてください。

  • ユーザー無効化の日時と、アプリへの最終アクセス日時
  • サインインログの該当イベント(成功したもの)の詳細
  • アプリケーション名と、アプリがトークンキャッシュを使用しているかどうか
  • 条件付きアクセスポリシーの設定状況
  • PowerShellによるトークン失効の実行履歴

これらの情報をもとに、管理者は追加のポリシー設定やアプリ設定の見直しを検討できます。

よくある質問(FAQ)

Q1. ユーザーを無効化してからどのくらいでアクセスできなくなりますか?

アクセストークンの有効期限(通常60~90分)が切れるまではアクセス可能です。リフレッシュトークンがある場合は、さらに長期間(最大90日間)アクセスが続く可能性があります。即時に遮断したい場合は、上記のトークン失効操作を実施してください。

Q2. パスワードを変更すればトークンは失効しますか?

はい。ユーザーのパスワードを変更すると、そのユーザーに発行されたすべてのリフレッシュトークンが無効になります(アクセストークンは有効期限まで有効)。パスワードリセットはトークン失効の簡易的な方法として有効です。ただし、ユーザーが再度サインインできてしまうため、無効化と併用することをお勧めします。

Q3. すべてのアプリでトークン失効が効かないのはなぜですか?

アプリによっては独自の認証キャッシュを持っていたり、OAuth2.0の「インプリシットグラント」を使用している場合、トークン失効が即時に反映されないことがあります。また、アプリがEntra IDのトークン検証エンドポイントを呼び出さない場合、トークンが無効でもアプリ側が気づきません。Microsoftが推奨するMSALライブラリを使用しているアプリでは、トークン失効が適切に処理されます。

Q4. トークンを確認するための管理ツールはありますか?

Entra ID管理センターのサインインログ、PowerShellのGet-AzureADUserRefreshTokenコマンド(非公開)、Microsoft Graph Explorerなどが利用できます。ただし、アクセストークンの中身を直接確認するには、JWTデコードツール(jwt.msなど)を使ってトークンをデコードする必要があります(ただし、トークン自体は管理者も取得できない場合があります)。

まとめ

ユーザーアカウントの無効化だけでは、既存のトークンが有効である限りアプリへのアクセスを完全に遮断できません。アクセストークンは最長90分、リフレッシュトークンは最長90日間有効であるため、管理者は無効化と同時にトークン失効操作を行う必要があります。サインインログの確認とPowerShell/Graph APIによる強制失効が効果的です。また、条件付きアクセスポリシーやアプリの設定を見直すことで、より確実なブロックが可能になります。適切なトークン管理を実施し、セキュリティインシデントを未然に防ぎましょう。


👥
Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。
🔐
会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。
この記事の監修者
🌐

超解決 リモートワーク研究班

Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。

解決 関連記事でさらに詳しく

  • ✅【OneDrive】ファイルオンデマンドに古い職場アカウントが残る時のキャッシュ整理手順
  • ✅【Microsoft 365】アプリパスワードが使えない時の先進認証と例外確認
  • ⚡【Teams】Teamsのセキュリティインシデント発生時の調査手順とログ取得方法
  • ⚡【Outlook】新しいOutlookで電子署名(S/MIME)を使う証明書ストア確認手順
  • ✅【Teams】Teams会議で外部ユーザーだけ録画を見られない時の権限確認
  • 💡【確定申告/e-Tax】ブラウザに残った古い電子証明書を削除して新しい証明書の競合を防ぐ術

Office・仕事術の人気記事ランキング

  • 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
  • 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
  • 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
  • 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
  • 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
  • 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
  • 【Excel】文字が入っているセルの「個数」を数える!COUNTA関数の簡単な使い方
  • 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
  • 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
  • 【Excel】矢印キーで「セルが動かず画面がスクロールする」!ScrollLockの解除方法(ノートPC対応)
Office・仕事術 会社アカウント・認証
SSO・組織アカウント Teams/Outlook 会社アカウント・認証 会社ポリシー・条件付きアクセス
  • 【Entra ID】管理者ロールを付けたのに権限が反映されない時のPIMと再サインイン
  • 【Entra ID】サインインリスクが高いと判定される時の解除依頼と本人確認
⚠️
【最新】通信・アプリ障害まとめ 更新中 リアルタイムで発生中の障害を即チェック
🔍 落とし物トラブル解決
🔍
落とし物発見ナビ 3ステップ診断で発見ルートを提示・PNG保存可
📚
落とし物解決DB 電車・バス・空港・海外・ペット網羅
📚 ITトラブル解決DB
💻
Windows解決DB 不具合・設定・エラーを完全解決
🧭
Edge解決DB 表示・パスワード・拡張機能を完全解決
📊
Excel解決DB エラー・不具合の対処法を網羅
📝
Word解決DB 不具合・書式・設定のトラブル解消
✨
Copilot解決DB 使い方・エラー・設定を完全解決
👥
Teams/Outlook解決DB 接続・サインイン・送受信の不具合解消
📽️
PowerPoint解決DB マスター固定・図形結合・動画再生の解消
📑
PDFトラブル解決DB 閲覧・編集・結合・印刷のエラー解消
🏛️
確定申告解決DB e-Tax・マイナンバーカードの不具合解消
📱
Facebook解決DB 乗っ取り・権限譲渡・ログイン障害に対応
📗
Sheets解決DB 関数エラー・Apps Script・共有の解消
📝
Docs解決DB 書式・共有・Apps Script・参考文献の解消
🎥
Zoom解決DB 参加・画面共有・録画・Webinarの解消
✨
生成AI解決DB 基礎・料金・著作権・社内ルールの解消
🍎
iPhone解決DB 起動・Wi-Fi・アプリ・設定の解消
🤖
Android解決DB 設定・アプリ・通信・カスタマイズの解消
🔐
会社アカウント認証DB MFA・サインイン・VPN・権限の不具合解消
☁
OneDrive・SharePoint DB同期・共有・権限・復元の不具合解消
🧩
Notion解決DB 共有・権限・DB・AIの不具合解消

ADVERTISEMENT

   🔧 ツール
🛡️
詐欺メール判定 届いたメールを即座に診断
📦
送料最安シミュレーター            郵便・宅急便の最安料金を比較
✂️
テキスト自動整形 全角半角・改行削除を一発で
📝
文字数カウント 自動保存付き・レポート作成
🔒
パスワード生成 強力なパスワードを安全作成
📅
西暦・和暦変換 履歴書の年号・年齢を計算
🧩 診断・チェック
🏆
超解決 Excel検定 実務能力を1級〜3級で判定
📘
超解決 Word検定 文書作成のスキルを格付け
🦆
騙されやすさ診断 あなたは「歩くATM」かも?
Global Edition
WiseChecker
🔐🧠📦

超解決の「海外版」姉妹サイト。
世界標準のパスワード生成や
性格診断・送料計算はこちら。

海外版サイトへ移動 ✈️
  • トップページ
  • 本サイトについて・運営企業情報
  • 著書の紹介
  • プライバシーポリシー

© 超解決.