Microsoft 365のサインイン障害が発生した場合、管理者は迅速に原因を特定し、利用者の業務影響を最小限に抑える必要があります。サインインできないという報告を受けたとき、最初に確認すべきは「利用者側の問題か、システム全体の問題か」という切り分けです。管理者はEntra ID(旧Azure AD)のサインインログや統合監査ログを活用することで、エラーの種類や発生状況を詳細に把握できます。本記事では、管理者としてサインイン障害を切り分けるために必要なログ検索条件と、利用者に確認すべき具体的な項目を解説します。
【要点】この記事で確認すること
- 最初に見る場所: Entra管理センターの「サインインログ」と「監査ログ」。具体的には「ユーザーサインイン」ブレードから日時、ユーザー、アプリケーション、ステータスでフィルターします。
- 切り分けの軸: 端末側(ブラウザキャッシュ、クライアントアプリのバージョン)、アカウント側(ライセンス、パスワード、MFA)、管理設定側(条件付きアクセスポリシー、ドメインのフェデレーション、ディレクトリ同期)の3軸で調査します。
- 注意点: 会社PCのレジストリやグループポリシーを勝手に変更しないこと。利用者に自己解決を促す前に、必ず管理者側でのログ確認を優先してください。
ADVERTISEMENT
目次
サインイン障害発生時の初動対応
利用者から「サインインできない」という連絡を受けたら、まずは影響範囲を把握します。1人の利用者だけの問題なのか、複数人に広がっているのかを確認してください。その際、以下の手順で素早く情報を収集します。
- 利用者から「いつから」「どのサービス(Outlook、Teams、SharePointなど)」「エラーメッセージのスクリーンショット」を取得します。
- Entra管理センター(https://entra.microsoft.com)にアクセスし、左メニューから「監視」→「サインインログ」を開きます。
- 該当ユーザーのユーザープリンシパル名(UPN)でフィルターし、直近24時間のログを表示します。
- ステータスが「失敗」のレコードをクリックし、「エラーコード」と「アクティビティの詳細」を確認します。
- 同時に「条件付きアクセス」タブで、どのポリシーが適用されたかを確認します。
この初動で、多くの場合は原因の大枠がつかめます。例えば「AADSTS50126」のようなエラーコードが表示されていれば、パスワードが間違っている可能性が高いと判断できます。
管理者が確認すべきログの種類と検索条件
Microsoft 365では複数のログが記録されており、障害の種類に応じて参照すべきログが異なります。以下に代表的なログと、効率的な検索条件を整理します。
サインインログ(Entra ID)
最も基本的なログで、すべてのサインイン試行が記録されます。検索条件として有効なフィールドは以下の通りです。
- ユーザー: ユーザープリンシパル名(例: user@contoso.com)で検索します。ワイルドカードは使えません。
- アプリケーション: 問題のサービス(例: Office 365 Exchange Online)を指定します。
- 日付: 問題発生時刻の前後30分を指定するとノイズが減ります。
- ステータス: 「失敗」または「成功」を選択。障害時は失敗に絞ります。
- エラーコード: 既知のエラーコード(例: AADSTS70008)を入力して絞り込みます。
統合監査ログ(Purview)
管理者操作やユーザー設定変更の履歴を確認する際に使用します。サインインそのものではなく、例えばMFAの登録状態やパスワードリセットの記録を確認できます。検索条件の例は以下の通りです。
- アクティビティ: 「ユーザーが多要素認証の登録を変更した」「管理者がユーザーのパスワードをリセットした」など。
- 日付範囲: 障害発生の前後数日に設定すると原因の手がかりになります。
- ユーザー: 対象の利用者または管理者を指定します。
利用者への確認事項
管理者がログを確認する一方で、利用者にも簡単に確認してもらえる項目があります。これらを事前に依頼することで、原因の切り分けが迅速に進みます。
- ブラウザのキャッシュとCookieのクリア: 最新の認証情報が古いキャッシュで上書きされているケースがあります。特にEdgeやChromeでは「シークレットモード」で試すことも有効です。
- パスワードの再確認: Caps Lockがオンになっていないか、キーボードの配列が正しいか(特にパスワードに記号が含まれる場合)を確認します。
- 別の端末やネットワークで試す: 自宅のWi-Fiやスマートフォンのテザリングなど、異なる環境でサインインできるかどうか確認します。会社のネットワーク自体に問題がある場合、この方法で切り分けられます。
- MFAが正常に動作するか: Microsoft Authenticatorアプリの通知が届くか、SMSが受信できるかを確認します。登録済みの認証方法が期限切れになっていないかも確認します。
- 他のMicrosoftサービスにアクセスできるか: Outlook Web App(OWA)やSharePoint Onlineなど、別のサービスにサインインできるか試してもらいます。特定のサービスだけが使えない場合は、サービス障害の可能性があります。
ADVERTISEMENT
よくある障害パターンと切り分け表
管理者が遭遇しやすいサインイン障害のパターンを表にまとめました。エラーコードや状況から原因を推測する際の参考にしてください。
| エラーコード/現象 | 考えられる原因 | 確認すべきログと項目 |
|---|---|---|
| AADSTS50126 | パスワードが間違っている | サインインログのエラー詳細、利用者にパスワードリセットを依頼 |
| AADSTS70008 | MFAの認証方法が期限切れ | ユーザーのMFA登録状況、Microsoft Entra管理センターの「認証方法」 |
| AADSTS50105 | 条件付きアクセスポリシーによりブロック | サインインログの「条件付きアクセス」タブ、どのポリシーが適用されたか |
| AADSTS16000 | ユーザーアカウントがロックアウト | サインインログの場所情報、ディレクトリ同期の状態(オンプレのロックアウト) |
| 「このページにアクセスできません」 | ブラウザの問題、またはプロキシによる遮断 | 利用者に別ブラウザで試すよう依頼、会社のプロキシ設定を確認 |
上記以外にも、フェデレーション(AD FS)を使用している場合は、企業ネットワークから外部への認証要求が通らないケースがあります。その際は「AADSTS50058」といったエラーが表示されることが多く、オンプレミスのAD FSログも併せて確認する必要があります。
失敗しがちな対応と注意点
管理者がサインイン障害の対応でよく陥る失敗パターンを挙げます。これらを避けることで、余計な工数を削減できます。
利用者の報告をそのまま鵜呑みにしない
「パスワードを入力したらエラーになった」という報告だけでは、パスワードが間違っているのか、MFAが原因なのかわかりません。必ずエラーメッセージ全体のスクリーンショットを取得し、サインインログと突き合わせてください。
全ユーザーに同じ対応をしてしまわない
例えば「パスワードをリセットすればいい」と決めつけて全員にリセットをかけると、MFAの再登録が必要になるなど、余計な混乱を招きます。まずはログで原因を特定し、個別に対応しましょう。
条件付きアクセスの影響を見落とす
管理者が最近条件付きアクセスポリシーを変更した場合、その影響で特定のユーザーがブロックされていることがあります。サインインログの「条件付きアクセス」タブは必ず確認し、ポリシーの割り当てやコントロールを見直してください。
管理者が事前に準備しておくべき設定
日頃から以下の設定を整備しておくことで、障害発生時の調査がスムーズになります。
- 診断ログの長期保存: サインインログの保存期間はデフォルトで7日間(Azure AD Free)です。Premiumライセンスを導入し、30日以上保存できるように設定することを推奨します。
- カスタムレポートの作成: よく使う検索条件(例:過去24時間の失敗ログ)をダッシュボードに保存しておくと、再現性のある障害で素早く確認できます。
- 利用者向けの自己解決手順書の配布: ブラウザキャッシュのクリア方法やパスワードリセットの手順を、社内ポータルなどで常に参照できるようにしておきます。これにより、管理者への問い合わせが減り、初動が早まります。
よくある質問(FAQ)
- Q: サインインログで「成功」と表示されているのに、利用者がサインインできないと言っています。なぜですか?
A: ログが記録された時間と実際の利用者の操作にずれがある可能性があります。また、クライアントアプリ(Outlookなど)がキャッシュされた資格情報を使っていて、古いパスワードで認証しようとしているケースもあります。利用者に一度パスワードの入力をクリアして再試行してもらい、その際のログを確認してください。 - Q: エラーコードが表示されず、「サインインに失敗しました」としか出ません。どう見分ければいいですか?
A: 詳細情報を表示するために、ブラウザの開発者ツール(F12)でネットワークタブを見てもらうか、利用者にFiddlerやブラウザのログを取得してもらう方法があります。もしくは、別のデバイスで試して同じエラーが出るか確認することで、アカウント固有の問題かどうかを切り分けられます。 - Q: 複数のユーザーが同時にサインインできなくなりました。最初に何をすべきですか?
A: まずEntra管理センターの「正常性」→「サービス正常性」を確認し、Microsoft側の障害が発生していないか確認します。同時に、最新の条件付きアクセスポリシーの変更や、フェデレーションサーバーの証明書更新など、管理者が行った変更がないかをチェックしてください。 - Q: サインインログをAPIで取得して自動監視したいのですが、可能ですか?
A: 可能です。Microsoft Graph APIの`/auditLogs/signIns`エンドポイントを使用して、プログラムでログを取得できます。ただし、必要な権限(AuditLog.Read.Allなど)の付与が必要です。運用前にテスト環境で動作確認を行ってください。
まとめ
Microsoft 365のサインイン障害を切り分けるためには、管理者がEntra IDのサインインログを適切に検索し、エラーコードや条件付きアクセスの状態を確認することが不可欠です。同時に、利用者にブラウザキャッシュのクリアやパスワード再確認を依頼することで、原因の特定がスピードアップします。障害対応で重要なのは、ログを客観的に見て推測ではなくデータで判断することです。日頃からログの保存設定や利用者向け手順書を整備し、迅速な初動を実現してください。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】メール本文が「文字化け」して読めない!エンコード設定の変更と修復手順