【Microsoft 365】場所ベースの条件付きアクセスで出張先から入れない時のチェック項目

出張先でMicrosoft 365にアクセスしようとしたら、普段使えているはずのOutlookやTeams、SharePoint Onlineに突然ログインできなくなった経験はありませんか。画面に「このリソースにアクセスできません」といったエラーが表示され、何が原因か見当もつかないことも多いでしょう。その原因として多いのが、管理者が設定した「場所ベースの条件付きアクセス」です。これは企業が許可したIPアドレス範囲や国以外からのアクセスをブロックするセキュリティ機能ですが、出張時には意図せず引っかかることがあります。本記事では、このトラブルに直面した際に確認すべき項目を、端末・アカウント・管理者設定の観点から体系的に解説します。

場所ベースの条件付きアクセスとは

場所ベースの条件付きアクセスは、Microsoft Entra ID(旧Azure Active Directory)の条件付きアクセス機能の一部で、ユーザーがアクセスする場所(IPアドレスや国/地域)に基づいてアクセスを許可またはブロックする仕組みです。企業は信頼できるネットワーク(本社IP、拠点IP、VPN接続時のIPなど)を「既知の場所」として登録し、それ以外からのアクセスを制限できます。出張先のホテルやカフェ、お客様先のネットワークは通常「既知の場所」に含まれないため、ポリシーによってブロックされます。また、管理者が「許可された国」のみを指定している場合、出張先の国が対象外だと同様にアクセスできなくなります。

出張先で入れない場合の基本チェック手順

トラブルシューティングは、まず自分の接続環境を確認することから始めます。以下の手順を順番に試してください。

1. 接続元IPアドレスを確認する:ブラウザで「WhatIsMyIP」などのサイトを開き、現在割り当てられているグローバルIPアドレスを調べます。VPNを使用している場合は、VPN接続先のIP(多くの場合、会社のIP範囲)になっているかも確認します。
2. エラーメッセージを記録する:アクセス拒否時に表示されるメッセージをスクリーンショットまたはメモに取ります。「このリソースにアクセスできません」「AADSTS50076」「AADSTS50128」など、特定のコードが表示されることがあります。
3. シークレットモード/別ブラウザで試す:ブラウザのキャッシュやCookieが原因で誤判定される場合があります。シークレットモードや別のブラウザ(Edge、Chrome、Firefox)で再度アクセスしてみてください。
4. モバイルネットワークで試す:Wi-Fi接続をオフにし、スマートフォンのテザリング(LTE/5G)でPCをインターネットに接続します。モバイル通信のIPは出張先の固定IPとは異なるため、ポリシーの対象外になる場合があります。これでアクセスできれば、元のネットワークがブロックされている可能性が高いです。
5. 会社VPNに接続する:会社が提供するVPNクライアントがある場合は、それを起動してから再度Microsoft 365にアクセスします。VPN経由では会社のIPアドレスで通信するため、許可リストに含まれていればアクセス可能になります。
6. 管理者にIPアドレスを通知する:上記の手順で解決しない場合、管理者に対して現在のIPアドレスとエラーコードを伝え、許可リストへの追加やポリシーの一時的な緩和を依頼します。

よくある失敗パターンと対処法

パターン1: VPN未接続のままアクセスしてしまった

出張中は、社用PCであっても自動的にVPNが接続されないことがあります。特にホテルのWi-Fiに切り替えた際にVPNが切断されたまま気づかず、ブロックされるケースが頻発します。対策として、PCのタスクバーやVPNクライアントのアイコンを確認し、接続状態を確認してください。また、出張前から「常時VPN接続」を設定しておくのも有効です。

パターン2: 管理者のIP範囲設定が古い

会社が使っているIPアドレス範囲は、プロバイダ変更やクラウド移行に伴い変わることがあります。管理者が既知の場所リストを更新していないと、本来許可すべきIPでもブロックされることがあります。この場合は、管理者にIP範囲の見直しを依頼します。

パターン3: 複数の条件付きアクセスが競合している

条件付きアクセスポリシーは複数設定でき、優先順位があります。例えば「すべての場所をブロック」するポリシーと「特定IPを許可」するポリシーが両方適用されると、後者が優先されずブロックされる場合があります。管理者がポリシーの順序を確認・調整することで解決します。

パターン4: 端末の位置情報サービスが影響している

一部の条件付きアクセスポリシーは、IPアドレスだけでなく端末のGPS情報も参考にします(特にモバイルデバイスの場合)。出張先でVPN接続しても、端末の位置情報が現地を示していると、場所が不一致と判断されてブロックされることがあります。この場合は、端末の位置情報サービスをオフにするか、管理者が「IPベースのみ」のポリシーに変更する必要があります。ただし、会社で位置情報サービスを無効化することが禁止されている場合もあるため、事前に確認してください。

管理者に確認すべき設定(比較表)

確認項目	管理者における確認場所	具体的な確認内容
既知の場所リスト	Entra管理センター → 保護 → 条件付きアクセス → 既知の場所	出張先のIPアドレス範囲が含まれているか、カスタム場所として追加されているか。
条件付きアクセスポリシー	Entra管理センター → 保護 → 条件付きアクセス → ポリシー	場所条件で「すべての場所」か「信頼できない場所」が選択されていないか、また除外設定に「既知の場所」が含まれているか。
国/地域の許可設定	条件付きアクセスポリシーの場所条件 → 選ばれた場所 → 「選択した国」	出張先の国が許可リストに含まれているか(例:日本以外は不可の場合、中国出張でブロック)。
サインインログ	Entra管理センター → 監視と正常性 → サインインログ	該当ユーザーのサインイン試行履歴で、「条件付きアクセス」タブの「ポリシー」と「結果」を確認。
VPN構成	各VPNクライアントの管理コンソール	出張時に自動接続する設定になっているか、VPN接続後に会社IPが割り当てられるか。

よくある質問

Q1: 自分でIPアドレスを許可リストに追加できますか?

通常、Microsoft 365の条件付きアクセスポリシーは管理者のみが編集できます。一般ユーザーが自分のIPアドレスを追加することはできません。出張先でアクセスできない場合は、管理者に現在のIPを連絡して一時的な許可を依頼するか、VPNの使用を案内されるでしょう。

Q2: 社用スマホのテザリングで接続してもブロックされました。なぜですか?

モバイル通信のIPアドレスもキャリアによって割り当てられた動的IPです。管理者がそのIP範囲を許可していなければブロックされます。また、モバイル通信の送信元国が日本のキャリアでも、実際のIP位置情報が海外に判定される場合があります。この場合も管理者に連絡してIPを確認してもらう必要があります。

Q3: エラーコード「AADSTS50076」が出ました。どういう意味ですか?

このエラーは多要素認証(MFA)が必要であることを示しますが、場所ポリシーが原因でMFAが要求される前にブロックされることもあります。正確な原因はサインインログで確認できます。管理者にエラーコードを伝え、ログを調査してもらってください。

Q4: 出張先のネットワークが会社の許可リストに入っているのにブロックされます。

考えられる原因として、IPアドレスが動的で範囲外になっている、複数の条件付きポリシーが競合している、端末のコンプライアンスポリシーを満たしていない(OSバージョンやウイルス対策など)ことが挙げられます。管理者にサインインログを確認してもらい、実際に適用されたポリシーを特定してください。

まとめ

場所ベースの条件付きアクセスによる出張先からのアクセス障害は、多くの場合、接続元IPが許可リストにないことが原因です。まずはVPN接続やモバイル通信で回避できるか試し、それでもダメなら管理者に現在のIPとエラーコードを伝えましょう。自分でネットワーク設定を変更すると、セキュリティポリシー違反になる可能性があるため、管理者の指示に従って行動することが大切です。事前に出張先のネットワーク情報を会社に共有しておくことで、スムーズな対応が期待できます。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。