「端末は準拠済みと表示されているのに、OutlookやTeamsにアクセスしようとすると拒否される」という現象に遭遇したことはありませんか。コンプライアンスポリシーを満たしているにもかかわらずアクセスできない場合、原因は多くの場合「評価タイミング」にあります。Microsoft 365では、端末のコンプライアンス状態とアクセス許可が完全に同期されるまでにタイムラグが発生することがあります。本記事では、そのメカニズムを解説し、実際に評価タイミングを確認する手順や対処方法を具体的に説明します。
【要点】この記事で確認すること
- 最初に見る場所: Microsoft Intune管理センターのコンプライアンス状態と、Azure ADのサインインログ
- 切り分けの軸: 端末側の再評価トリガー、ポリシーの適用タイミング、Conditional Accessの評価タイミング
- 注意点: 会社PCではコンプライアンスポリシーの適用間隔を自分で変更できないため、管理者への確認が必要
ADVERTISEMENT
目次
準拠済み端末がアクセス拒否される主な原因
コンプライアンスは満たしているのにアクセスが通らない場合、単なるポリシー違反ではなく、評価のタイムラグや同期のズレが原因であることがほとんどです。以下に代表的な原因を挙げます。
ポリシーの評価タイミングのずれ
Intuneでは、端末がコンプライアンスポリシーに準拠しているかどうかを定期的に評価します。この評価は端末がチェックインするタイミングで行われますが、デフォルトでは8時間ごとです。もし端末が準拠状態になった直後であれば、Intuneにその情報が反映されるまでに遅延が発生します。その間、Conditional Accessポリシーは古い非準拠状態を参照してアクセスを拒否することがあります。
コンプライアンススコアの更新頻度
Azure ADのコンプライアンス状態は、Intuneから同期されるまでに最大で30分程度の遅延が生じることがあります。また、端末の登録から初回評価までにも時間がかかる場合があります。特に、新しいポリシーを適用した直後や、端末のOSアップデート後に準拠状態が変わったタイミングでは、この遅延が目立ちます。
コンプライアンス評価の仕組みとタイミング
評価タイミングを正しく理解するために、IntuneとConditional Accessの連携フローを確認します。
Intuneでのコンプライアンス評価
Intuneは端末にインストールされた管理エージェントを通じて、ポリシーの準拠状況を収集します。評価は以下のタイミングで行われます。
- 端末がIntuneにチェックインしたとき(デフォルト8時間ごと)
- ユーザーが明示的に「ポリシーの再評価」を実行したとき
- 端末の状態に変化があったとき(例えば、暗号化の有効化やパスワード変更など)
- 管理者がポリシーを変更して再割り当てしたとき
評価結果はIntuneに記録され、その後Azure ADに同期されます。この同期にも数分から30分程度の遅延が発生することがあります。
Conditional Accessのポリシー評価
ユーザーがリソースにアクセスしようとすると、Azure ADはサインイン要求を受け取り、Conditional Accessポリシーを評価します。このとき、端末のコンプライアンス状態はAzure ADに保存されている最新情報を参照します。そのため、Intuneでの評価が完了していても、Azure ADに反映されるまでにタイムラグがあると、アクセスが拒否されるのです。
評価タイミングを確認する手順
実際に評価タイミングが原因かどうかを切り分けるには、以下の手順を試してください。これらの操作は会社PCでも実行可能なものですが、一部管理者権限が必要な場合があります。
- 端末のコンプライアンス状態をIntune管理センターで確認する: 管理者でなくても、会社が提供するIntuneのポータルサイト(例: companyportal.microsoft.com)から自分の端末のコンプライアンス状態を確認できます。準拠済みと表示されていれば、Intune側の評価は完了しています。
- サインインログを確認する: Azure ADのサインインログは、グローバル管理者またはセキュリティ管理者でないと見られません。該当する場合は、Azure portalの「Azure Active Directory」→「サインインログ」で、拒否されたサインインを選択し、「Conditional Access」タブでポリシーの評価詳細を確認します。特に「コンプライアンス状態」が「未登録」や「非準拠」と表示されていれば、同期の遅延が疑われます。
- 端末でコンプライアンス評価を手動で再実行する: Windowsの場合は、設定アプリの「アカウント」→「職場または学校にアクセスする」で該当アカウントを選択し、「情報」→「同期」をクリックします。これによりIntuneへのチェックインが強制され、評価が即時実行されます。端末を再起動しても同様の効果がありますが、時間がかかります。
- サインアウトして再度サインインする: Conditional Accessはサインイン時に評価されるため、一度サインアウトしてから再度サインインすることで最新のコンプライアンス状態が反映されます。特に、ブラウザやOfficeアプリを完全に終了してからやり直すと効果的です。
- Intune管理センターで端末のチェックインを強制する(管理者のみ): 管理者であれば、Intune管理コンソールで該当端末を選択し、「同期」を実行できます。これによりIntuneから端末にポリシーの再評価が指示されます。
- ポリシーの割り当て変更を確認する: 管理者がコンプライアンスポリシーを変更した直後は、そのポリシーが割り当てられたすべての端末に反映されるまでに時間がかかります。ポリシーの「割り当て」タブで適用状況を確認してください。
状況別の比較表
評価タイミングに関する問題を整理するために、よくある状況と推奨アクションを以下の表にまとめました。
| 状況 | 考えられる原因 | 推奨アクション |
|---|---|---|
| Intuneでは準拠済みだが、アクセス拒否される | Azure ADへの同期遅延 | 端末でコンプライアンス再評価 → サインアウト/サインイン |
| 端末登録直後にアクセスできない | 初回評価が未完了 | 30分程度待ってから再サインイン |
| ポリシー変更後にアクセスできなくなった | ポリシー適用のタイムラグ | 管理者がIntuneで同期を強制するか、端末の再起動 |
| 特定のアプリだけアクセス拒否 | Conditional Accessのポリシーがアプリごとに異なる | サインインログでポリシー評価を確認 |
| 端末再起動後も症状が続く | コンプライアンスポリシー自体に不備 | 端末のコンプライアンス設定を再確認 |
よくある失敗パターン
実際に現場で発生しやすい失敗例をいくつか紹介します。これらを知っておくことで、無駄な対応を避けられます。
- 端末の再起動だけでは不十分: 再起動によりIntuneへのチェックインは行われますが、Azure ADへの同期が完了する前にアクセスしようとすると、古い状態で評価されます。再起動後、必ずサインアウトしてから再度サインインするようにしましょう。
- ブラウザのキャッシュを疑わない: 特にWebブラウザ経由でアクセスする場合、古いキャッシュやCookieが原因で認証情報が古いまま評価されることがあります。ブラウザのシークレットウィンドウやキャッシュクリアを試すと解決することがあります。
- コンプライアンスポリシーの割り当てを誤解: 端末が準拠しているのにアクセスできないのは、ポリシーが端末に正しく割り当てられていない可能性もあります。管理者が「すべてのユーザー」ではなく「特定のグループ」に割り当てている場合、自分がそのグループに含まれていないとアクセスできません。
- サインインログの確認を怠る: 拒否された原因を特定する最も確実な方法はサインインログです。手間を惜しまずに確認することで、評価タイミングの問題かポリシー設定の問題かを切り分けられます。
管理者に確認すべき設定
評価タイミングの問題が頻発する場合、管理者が以下の設定を見直すことで改善できる可能性があります。
- コンプライアンスポリシーの評価頻度: Intune管理センターで、ポリシーの割り当て後に「即時同期」を有効にするオプションがあります。ただし、これは端末に負荷をかけるため、必要に応じて設定します。
- Conditional Accessポリシーのセッション制御: アクセスが拒否されたときのメッセージに「端末は準拠していません」と表示される場合、ポリシーの条件で「デバイスは準拠としてマーク済みである必要があります」が正しく設定されているか確認します。
- Azure ADの同期間隔: Azure AD Connectを使用しているオンプレミス環境の場合、同期間隔がデフォルト30分になっています。緊急性が高い場合は手動同期を実行することも検討します。
- 端末の再評価トリガー: ユーザーが自分で再評価を実行できるように、Intuneの会社ポータルアプリを配布しておくと、現場での解決がスムーズになります。
よくある質問(FAQ)
現場から寄せられる質問をQ&A形式でまとめました。
Q1. 会社のPCで「準拠済み」と表示されているのに、Outlookにサインインできません。どのくらい待てばよいですか?
A1. 通常は数分から30分程度で同期されます。待てない場合は、手順で説明した「端末のコンプライアンス再評価」と「サインアウト/サインイン」を実行してください。
Q2. 自分でIntuneの評価を強制することはできますか?
A2. はい、Windowsの場合は「設定」→「アカウント」→「職場または学校にアクセスする」でアカウントを選択し、「情報」→「同期」をクリックすることで強制チェックインが可能です。ただし、管理者によってはこの機能を制限している場合があります。
Q3. 再評価しても改善しません。ほかに何が考えられますか?
A3. 端末が本当にすべてのコンプライアンス要件を満たしているか確認してください。例えば、暗号化が有効になっていない、Windows Updateが未適用など、気づかないうちに条件から外れていることがあります。Intuneの会社ポータルで詳細なエラーを確認しましょう。
Q4. モバイル端末(iOS/Android)でも同じことが起こりますか?
A4. はい、同様の仕組みです。モバイル端末の場合は、会社ポータルアプリから「デバイスの状態を確認」や「同期」を実行できます。
まとめ
準拠済み端末であってもアクセス拒否が発生する原因の多くは、IntuneとAzure ADの間の評価タイミングのずれにあります。まずは端末側でコンプライアンスの再評価を実行し、サインアウトとサインインを試すことで、多くのケースで解決します。それでも改善しない場合は、サインインログを確認して評価の詳細を追跡してください。この問題はポリシー設定の誤りではなく時間的な遅延であることが大半なので、過度に慌てる必要はありません。日常的に発生する場合は、管理者に相談して評価頻度や同期設定の見直しを依頼することをおすすめします。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Teams】会議の「参加者リスト」を出席後にダウンロードする!誰が参加したか確認する手順