【Microsoft 365】多要素認証の既定方法で番号一致が出ない時の端末登録と時刻設定チェック

Microsoft 365の多要素認証(MFA)において、既定の方法として番号一致(Number matching)が採用されるようになりました。番号一致は、認証アプリにランダムな2桁の数字が表示され、それに対応する番号をタップする方式で、従来の通知承認よりもセキュリティが向上します。しかし、社内でこの番号一致が表示されず、従来の「承認/拒否」画面しか出てこないというトラブルが報告されることがあります。この問題は多くの場合、端末の時刻設定のずれや認証アプリの登録状態に起因します。本記事では、番号一致が出ない原因を切り分け、具体的な確認手順と対処方法を解説します。

番号一致が出ない主な原因

番号一致が表示されない原因は、大きく分けて3つあります。ひとつは端末の時刻が正しくないケース、もうひとつは認証アプリ(Microsoft Authenticatorなど)の登録状態やバージョンが古いケース、そしてテナント側のポリシー設定で番号一致が無効化されているケースです。それぞれの原因を詳しく見ていきます。

原因1:端末の時刻設定のずれ

多要素認証では、認証サーバーとの時刻同期が非常に重要です。Microsoft Authenticatorなどの認証アプリは、サーバーと端末の時刻の差が30秒以上あると、ワンタイムパスワード(TOTP)や番号一致の要求が正しく機能しない場合があります。特に、Windows PCやスマートフォンで時刻の自動同期がオフになっていたり、社内ネットワークのファイアウォールによってNTP(Network Time Protocol)サーバーとの通信が遮断されていると、時刻がずれてしまいます。

原因2:認証アプリの登録またはバージョン問題

番号一致を利用するには、Microsoft Authenticatorアプリが最新バージョンであることと、アカウントが正しく登録されていることが必要です。古いバージョンでは番号一致に対応していない場合があります。また、アプリ内のアカウント登録が途中で終わっていたり、職場または学校アカウントとしてではなく個人アカウントとして登録されていると、番号一致が表示されません。

原因3:テナントポリシーで番号一致が無効

管理者側の設定で、認証方法ポリシーにおいて「Microsoft Authenticator」の設定が「Any」または「Number matching only(プレビュー)」になっていないと、ユーザーに番号一致が提供されません。また、古いポリシーが適用されている場合も同様です。これは管理者が確認する必要があります。

まずは端末の時刻設定を確認する

問題の切り分けとして、最初に端末の時刻設定を確認しましょう。以下の手順で、自動時刻同期が有効か、実際の時刻とずれていないかをチェックします。

1. Windows PCの場合:タスクバーの時刻表示を右クリックし、「日付と時刻の調整」を選択します。
2. 「時刻を自動設定する」と「タイムゾーンを自動設定する」がオンになっていることを確認します。
3. 「今すぐ同期」ボタンをクリックして、時刻を強制的に同期します。
4. 同期後、正確な時刻と現在の端末時刻を比較します。30秒以上の差がある場合は問題です。
5. スマートフォン(iOS/Android)の場合:設定アプリから「日付と時刻」を開き、自動設定がオンになっていることを確認します。
6. NTPサーバーへの接続を妨げていないか、社内VPNやプロキシの設定も確認します。管理者に問い合わせるとよいでしょう。

時刻が正しい場合でも、認証アプリ側の内部時刻がずれている可能性があります。その場合はアプリのキャッシュクリアや再起動も試してみてください。

認証アプリの登録状態を確認・再登録する

次に、Microsoft Authenticatorアプリの登録状態を確認します。以下の手順で、アカウントが正しく登録されているかをチェックし、必要に応じて再登録を行います。

1. Microsoft Authenticatorアプリを開き、右上のメニューから「アカウントの管理」または「設定」を開きます。
2. 職場または学校アカウントが一覧に表示されていることを確認します。個人アカウント(Outlook.comなど)のみの場合は番号一致が機能しません。
3. アカウントを選択し、「アカウントの再登録」または「削除してサインインし直す」を実行します。
4. アプリのバージョンを確認し、最新でなければストアからアップデートします。
5. 再登録後、テストとして実際にMFAが要求される操作(ポータルへのサインインなど)を行い、番号一致が表示されるか確認します。

アプリの再登録は、時刻設定が正しい場合でも有効な手段です。登録情報が古くなっていると、サーバー側の要求とアプリ側の応答が一致しません。

テナントポリシーの確認(管理者向け情報)

ユーザー側で時刻とアプリを確認しても改善しない場合、管理者がテナントの認証方法ポリシーを確認する必要があります。以下の点をチェックしてください。

設定項目	推奨値	確認場所
Microsoft Authenticatorの認証モード	Any または Passwordless+Number matching	Azure AD管理センター → セキュリティ → 認証方法 → ポリシー
番号一致(Number matching)の有効化	有効(プレビュー機能)	Azure AD → ユーザー認証方法ポリシー → Microsoft Authenticator設定
多要素認証の対象ユーザー	全ユーザーまたは対象グループ	Azure AD → プロパティ → 管理セキュリティの既定値

特に注意すべきは、Microsoft Authenticatorのポリシー設定で「認証モード」が「Any」または「番号一致のみ」に設定されているかです。「Notification through mobile app」のみだと番号一致は無効になります。また、レガシーなポリシーが残っていると優先されることがあるため、古い設定が混在していないか確認してください。

失敗パターンとその対処

パターン1:時刻を自動同期してもずれが直らない

社内のNTPサーバーに接続できない場合、端末が正しい時刻を取得できません。この場合、管理者が社内のNTPサーバーの設定見直しや、外部NTPサーバーへのアクセス許可を行う必要があります。一時的には、手動で正しい時刻に設定することも可能ですが、正確な時刻を維持するためには自動同期が不可欠です。

パターン2:再登録後も番号一致が出ず、従来の承認画面のまま

テナントポリシーが原因である可能性が高いです。管理者がAzure AD管理センターで「認証方法ポリシー」を開き、Microsoft Authenticatorの設定を「Number matching only (Preview)」に変更すると解決します。ただし、組織全体への影響を考慮して段階的に適用してください。

パターン3:スマートフォンでは番号一致が出るが、PCでは出ない

PC側の時刻設定の問題であることが多いです。特にWindows PCで時刻がずれる原因として、マザーボードのバッテリー切れや、仮想マシン環境での時刻同期問題が挙げられます。PCのBIOS時刻をリセットするか、仮想マシンの場合はホストとの時刻同期設定を見直してください。

よくある質問(FAQ)

Q1: 番号一致が出ないが、SMSや電話でMFAを突破できる。それでも問題か?

SMSや電話もMFAの方法としては有効ですが、番号一致の方がフィッシングに強く推奨されます。特に管理者が番号一致を必須としている場合、それ以外の方法が許可されていないことがあります。まずは番号一致が使えるように修正しましょう。

Q2: スマートフォンの時刻が正しくても、認証アプリが番号一致を表示しない。

アプリのキャッシュが原因で正しく動作しないことがあります。アプリの設定から「アカウントのリセット」を実行するか、アプリを再インストールしてください。それでも解決しない場合は、テナントポリシーが原因の可能性があります。

Q3: 管理者として番号一致を展開したいが、すべてのユーザーに同時に適用すると混乱しないか?

段階的なロールアウトをお勧めします。まず一部のパイロットグループで有効にし、問題がないことを確認してから全社に展開します。その際、ユーザーに対して事前に通知と手順を配布するとスムーズです。

まとめ

番号一致が出ない問題は、端末の時刻設定のずれ、認証アプリの登録状態、テナントポリシーの3つが主な原因です。最初にユーザー自身で時刻の自動同期を確認し、次にアプリの再登録を試みてください。それでも解決しない場合は、管理者がAzure ADの認証方法ポリシーを見直す必要があります。特に、番号一致はセキュリティ強化の観点から積極的に有効化すべき機能です。正しい設定と定期的な時刻同期の徹底により、多くのトラブルは未然に防げます。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。