【Microsoft 365】会社アカウントのサインイン場所が海外扱いになる時のIP判定確認

Microsoft 365に会社アカウントでサインインすると、「予期しない場所からのサインイン」や「海外からのアクセス」という警告が表示され、多要素認証を求められたり、場合によってはアクセスがブロックされたりすることがあります。この問題が発生すると、業務の効率が大きく低下しますが、実際にはユーザーは国内にいるにもかかわらず、システムが海外と判定しているケースがほとんどです。原因の多くは、IPアドレスの位置情報データベースの誤差や、会社が利用するVPN・プロキシの出口IPが海外にあること、あるいはモバイルネットワークの経路問題にあります。本記事では、自分のIPアドレスがどのように判定されているかを確認する具体的な手順と、管理者が修正すべき設定について詳しく解説します。

なぜサインイン場所が海外扱いになるのか?原因の理解

IPアドレスと位置情報の仕組み

インターネット上のIPアドレスには、地理的な位置情報(国、都市、緯度経度)が紐づけられています。この情報は、IPアドレスの割り当て機関であるRIR(Regional Internet Registry)や、各プロバイダが公開するデータをもとに、位置情報データベース事業者(MaxMind、IP2Locationなど)が独自に整備しています。しかし、このデータベースは常に最新とは限らず、プロバイダがIPアドレスを別の地域に再割り当てした場合などに誤差が生じます。Microsoft 365はサインイン時にこの位置情報を参照するため、実際には国内にいるのにIPアドレスが海外のデータベースに登録されていると、海外扱いになってしまうのです。

会社が利用するVPNやプロキシの影響

多くの企業では、セキュリティ向上のために社内ネットワークへのアクセスをVPN経由に制限したり、インターネットへの出口をプロキシサーバーに統一したりしています。これらのVPNやプロキシのサーバーが海外に設置されている場合、ユーザーが国内から接続しても、Microsoft 365から見たアクセス元IPアドレスはそのサーバーのIPになります。特にクラウド型のVPNサービスや、グローバルに展開している企業のプロキシでは、出口がアメリカやヨーロッパになることがあります。これが原因で「海外からのアクセス」と判定されるケースは非常に多く、まずはこの点を疑う必要があります。

モバイルネットワークの位置ずれ

スマートフォンやタブレットをモバイルデータ通信で使用する場合、携帯電話会社が割り当てるIPアドレスの位置情報が実際の在圏エリアと一致しないことがあります。これは、携帯電話会社が複数の地域でIPアドレスを共有していたり、コアネットワークの構成によりIPアドレスが別の地域のゲートウェイから払い出されるためです。例えば、東京で使っている端末が大阪や沖縄のIPとして認識されることもあり、まれに海外のIPアドレスが割り当てられることもあります。このような場合は、モバイルネットワーク固有の問題として理解し、Wi-Fi経由でのアクセスを試すなどの切り分けが有効です。

自分のIPアドレスが海外と判定されているか確認する方法

以下の手順で、現在のIPアドレスと位置情報を確認し、Microsoft 365のサインインログと比較しましょう。これらの手順は一般ユーザーでも実行できますが、サインインログの詳細は管理者権限が必要な場合があります。

1. ブラウザを開き、IPアドレス確認サイト(例:CMANのアクセス情報確認ページ)にアクセスします。表示されたIPアドレスと国・都市をメモしてください。
2. 次に、Microsoft 365のポータル(https://portal.office.com)にサインインし、右上の歯車アイコンから「設定」→「全般」または「セキュリティ」→「サインインログ」を選択します(画面構成により異なります)。
3. 「サインインログ」または「最近のアクティビティ」に、これまでのサインイン日時、場所、IPアドレスが一覧表示されます。該当するサインインの「場所」列を確認してください。国や地域が「米国」「中国」など海外になっていないかチェックします。
4. 一般ユーザーではIPアドレスそのものが表示されない場合があるため、その場合は管理者に依頼してAzure ADのサインインログを確認してもらいます。管理者は「Azure Active Directory管理センター」→「ユーザー」→「サインインログ」から、該当ユーザーの詳細を開き、IPアドレスや場所を確認できます。
5. 手順1で取得したIPアドレスと、サインインログに記録されたIPアドレスが一致しているか確認します。もし一致していれば、位置情報データベースの問題可能性が高く、管理者がNamed locationsにそのIP範囲を追加するか、プロバイダの更新を待つことになります。
6. 一致しない場合、VPNやプロキシを経由している可能性があります。VPNを切断してから再度確認するか、会社のIT部門にVPNの出口IPを問い合わせてください。
7. さらに、複数のネットワーク(自宅Wi-Fi、会社LAN、モバイル)で同様のテストを行い、それぞれの位置情報を比較すると、原因の特定が容易になります。

サインインログで海外アクセスを確認する手順(管理者向け)

管理者は、Azure ADのサインインログから詳細なIP位置情報を取得できます。以下の手順で該当ユーザーのサインインを調査してください。

1. Azureポータルにサインインし、「Azure Active Directory」を開きます。
2. 左メニューから「ユーザー」→「すべてのユーザー」を選択し、問題が発生しているユーザーをクリックします。
3. 「アクティビティ」セクションの「サインインログ」をクリックします。日付範囲や状態でフィルタし、該当するサインインイベントを見つけます。
4. 該当する行をクリックすると詳細が表示されます。「場所」タブには、国、都市、緯度経度、そして元になったIPアドレスが表示されます。このIPアドレスが、実際に海外の位置情報データベースに登録されているか、外部のIP位置情報サービスで再確認できます。
5. また、「リスク」タブで「危険なサインイン」としてフラグが立っていないか確認します。リスクレベルが「中」または「高」の場合、条件付きアクセスポリシーでブロックされる可能性があります。
6. 問題のあるIPアドレスが会社の管理下にある場合は、そのIPを「Named locations」に信頼できる場所として追加することで、以降のサインインで海外判定を回避できます。

よくある誤解と失敗パターン

実際に多いケースとその対処法を表にまとめました。自身の状況と照らし合わせて確認してください。

状況	原因	正しい対処
自宅からアクセスしているのに「米国」と表示される	プロバイダのIP位置情報が古い、または誤って割り当てられている	管理者に連絡し、該当IPアドレスをNamed locationsに信頼できる場所として追加する。またはISPに問い合わせて位置情報の修正を依頼する。
会社PCなのに「オランダ」と表示される	会社のVPNやプロキシの出口サーバーが海外にある	IT部門にVPNサーバーの設置場所を確認し、可能であれば国内の出口に変更する。または条件付きアクセスでそのIP範囲を信頼リストに追加して回避する。
モバイル端末で「シンガポール」と表示される	モバイル回線のIPアドレスプールが海外に割り当てられている	モバイルデータ通信時は回避が難しい場合があるため、自宅や会社のWi-Fiに切り替えてアクセスする。なお、携帯キャリアによってはAPN設定で改善できることもある。
サインインログにIPアドレスが表示されず比較できない	一般ユーザーにはIPアドレスが見えない権限制限	管理者に依頼してAzure ADのサインインログから詳細を確認してもらう。
海外出張から戻った後も海外扱いが続く	ブラウザのキャッシュやセッション情報が残っている	ブラウザのCookieとキャッシュを削除し、再度サインインする。または端末を再起動してIPアドレスを再取得する。

管理者が確認すべき条件付きアクセスポリシーと場所ベースの設定

条件付きアクセスの「場所」条件

Microsoft 365では、条件付きアクセス(Conditional Access)ポリシーを使用して、アクセス元の場所に応じて制御をかけられます。場所条件は「すべての場所」「任意の場所」「信頼できる場所」の3種類があり、海外と判定された場所が「任意の場所」として扱われると、多要素認証が要求されたり、アクセスそのものがブロックされたりします。管理者は、ポリシーの「割り当て」→「場所」で設定を確認し、必要に応じて「すべての場所」から「信頼できる場所」を除外するなどの調整を行います。また、条件付きアクセスのレポートのみモードを有効にして、実際のブロック前に影響を評価することも重要です。

信頼できるIP範囲の設定

位置情報の誤判定を根本的に解決するには、Azure ADで「Named locations(名前付き場所)」を設定し、会社のグローバルIPアドレス範囲やVPNの出口IPアドレスを「信頼できる場所」として登録します。設定手順は次の通りです。

1. Azure AD管理センターで「セキュリティ」→「条件付きアクセス」→「Named locations」を開きます。
2. 「新しい場所」をクリックし、場所の名前(例:「本社IP範囲」)を入力します。
3. 「IP範囲」として、会社が保有する固定IPアドレスをCIDR形式(例:192.0.2.0/24)で追加します。複数範囲がある場合は「+」ボタンで追加できます。
4. 「信頼できる場所としてマーク」をオンにすると、その場所からのサインインはリスク評価で「信頼できる」と見なされます。
5. 保存後、条件付きアクセスポリシーで「場所」条件に「信頼できる場所」を含めるか除外するかを設定します。

注意点として、Named locationsに登録できるのは固定IPアドレスのみであり、一般家庭のプロバイダが割り当てる動的IPアドレスは登録できません。そのため、リモートワークなどで自宅からアクセスするユーザーについては、別のポリシー(多要素認証の要求など)で対応する必要があります。

よくある質問(FAQ)

Q. サインイン場所が海外と表示されるだけで、実際のアクセスは問題なくできています。このまま放置しても安全ですか?
A. 安全とは限りません。条件付きアクセスポリシーによっては、リスクが蓄積されてアカウントがロックされたり、将来的にブロックされたりする可能性があります。また、不正アクセスの見逃しにもつながるため、早めに原因を特定し、管理者に対応を依頼することをおすすめします。

Q. 一般ユーザーでも自分のサインインログを確認できますか?
A. はい。Microsoft 365ポータルの「マイサインイン」ページ(https://mysignins.microsoft.com)から、最近のサインイン履歴を確認できます。ただし、表示される情報は限定的で、IPアドレスや詳細な場所は管理者権限がないと見えない場合があります。

Q. IP位置情報のデータベースはどのくらいの頻度で更新されますか?
A. データベース事業者によって異なりますが、多くの場合、月1回から四半期に1回程度の更新です。また、Microsoft 365が参照する位置情報は、独自のデータソースにも依存するため、更新が即座に反映されるとは限りません。どうしても改善しない場合は、管理者がNamed locationsにIP範囲を追加するのが確実です。

Q. スマートフォンのモバイルデータ通信で海外判定が出た場合、Wi-Fiに切り替えれば解決しますか?
A. 多くの場合、Wi-FiネットワークのIPアドレスは正しい位置情報を示すため、一時的な回避策として有効です。ただし、自宅Wi-Fiでも海外判定が出る場合は、プロバイダ起因の問題の可能性があります。

Q. 海外出張中に国内の自宅IPを固定したいのですが、どうすればよいですか?
A. 海外出張先から日本の自宅VPN経由でアクセスする方法があります。ただし、VPN経由の場合はVPNサーバーのIPアドレスが使われるため、そのIPがNamed locationsに登録されていれば海外判定は回避できます。管理者と相談の上、適切なVPN接続方法を選んでください。

まとめ

Microsoft 365のサインイン場所が海外扱いになる問題は、IP位置情報データベースの誤差やVPN・プロキシの出口IP、モバイルネットワークの特性など、複数の要因で発生します。一般ユーザーは、まず自分のIPアドレスを確認サイトで調べ、サインインログと比較することで原因の切り分けが可能です。管理者は、Azure ADのサインインログで詳細を確認し、条件付きアクセスの場所条件とNamed locationsを適切に設定することで、問題を解決できます。位置情報データベースの更新を待つよりも、Named locationsに信頼できるIP範囲を明示的に登録する方が確実です。再発防止のためには、定期的にサインインログを監視し、新しいIPアドレスが追加された場合には迅速にNamed locationsへ反映する運用が推奨されます。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。