【Microsoft 365】会社PCからだけ追加認証が省略される時の信頼済み場所と端末条件確認

会社のPCでMicrosoft 365にサインインするとき、普段は追加認証(多要素認証)が求められないのに、自宅のPCやスマートフォンからアクセスすると毎回認証コードの入力が必要になる――このような現象に遭遇したことはありませんか。これは多くの場合、管理者が設定した「信頼済み場所」や「端末条件」に基づく条件付きアクセスポリシーが正しく機能しているために発生します。本記事では、なぜ会社PCだけが追加認証を省略されるのか、その仕組みと確認手順を詳しく解説します。

追加認証が省略される仕組みの全体像

Microsoft 365の追加認証省略は、管理者が設定した「条件付きアクセス」ポリシーによって制御されます。このポリシーは、サインイン時のリスク(場所、デバイス、アプリケーションなど)を評価し、追加認証が必要かどうかを判断します。会社PCからのみ追加認証が省略されるのは、主に以下の2つの条件が組み合わさっているケースです。

• 信頼済み場所: 会社のネットワーク(オフィス内のIPアドレス範囲)が「信頼済み場所」として登録されている。
• 端末条件: 会社PCがAzure ADに登録(Hybrid Azure AD Join or Intune管理)されており、かつ「準拠デバイス」または「ドメイン参加済み」として認識されている。

これらの条件が揃うと、ポリシーは「低リスク」と判断し、追加認証(多要素認証)をスキップします。一方、自宅のPCやスマートフォンではこれらの条件を満たさないため、追加認証が要求されます。ただし、必ずしも両方とも必要ではなく、片方だけでも省略される場合があります。

確認すべき主な設定項目

実際の原因を特定するには、以下の設定を順に確認します。すべての操作は、管理者権限を持つアカウントでMicrosoft Entra管理センター(旧Azure AD管理センター)にログインして行います。

信頼済み場所の設定を確認する

管理者が会社のネットワークを信頼済み場所として登録しているかどうかを確認します。

1. Microsoft Entra管理センター(https://entra.microsoft.com)にサインインします。
2. 左メニューの「保護」→「条件付きアクセス」→「名前付き場所」をクリックします。
3. 「IP範囲の場所」タブで、会社の外部IPアドレス範囲が登録されているか確認します。
4. 登録されている場合は、その場所名をメモします。後でポリシーで使われているか確認します。
5. 登録がない場合、信頼済み場所は「すべての信頼できる場所」(Microsoftが管理する信頼済みIPなど)に依存している可能性もあります。

端末条件の設定を確認する

会社PCがAzure ADにどのように参加しているか、またIntuneで準拠デバイスとして扱われているかを確認します。

1. 条件付きアクセスポリシー一覧で、該当のポリシーを開きます。
2. 「割り当て」→「デバイス」の条件を確認します。「すべてのデバイス」か「特定のデバイス条件」かを確認。
3. 「アクセス権」→「許可」で、「多要素認証が必要」などのコントロールが設定されているか確認します。
4. 「条件」→「場所」で、「選択した場所」に先ほどの信頼済み場所が含まれているか確認します。
5. 「条件」→「デバイス状態」で、「デバイスは準拠としてマーク済みである必要があります」などの条件が設定されているか確認します。

これらの設定がどう組み合わされているかで、省略の挙動が決まります。

信頼済み場所と端末条件の比較表

以下に、代表的な設定パターンと、追加認証が省略される条件を表にまとめました。

パターン	信頼済み場所	デバイス条件	会社PCでの追加認証
A: 場所のみ信頼	会社IP範囲	なし(すべてのデバイス)	省略される(会社ネットワーク経由なら)
B: デバイス条件のみ	なし(すべての場所)	準拠デバイス必須	省略される(準拠していれば)
C: 場所+デバイス条件の組み合わせ	会社IP範囲	準拠デバイス必須	省略される(両方満たす場合)
D: どちらも設定なし	なし	なし	省略されない(常に追加認証)

この表を参考に、自分の会社のポリシーがどのパターンに該当するか考えてみてください。

よくある失敗パターンと判断基準

失敗パターン1: 自宅からVPN接続しても追加認証が省略されない

自宅のPCから会社のVPNに接続した場合、そのPCのIPアドレスはVPN経由で会社のIPアドレスになるため、信頼済み場所条件は満たせます。しかし、デバイス条件(準拠デバイス)が別途設定されていると、デバイスが準拠していないために追加認証が求められます。逆に、場所条件だけのポリシーであれば、VPN経由でも省略されることがあります。この違いを理解しておくと、切り分けがスムーズです。

失敗パターン2: 会社PCでもWi-Fi経由だと追加認証が必要

会社の有線ネットワークではなく、ゲストWi-Fiやモバイルネットワーク経由で接続した場合、IPアドレスが信頼済み場所の範囲外になることがあります。特に、ポリシーが場所条件に依存している場合、社内ネットワークでもIPが異なると追加認証が発生します。また、デバイス条件が「会社ネットワークに接続していること」まで要求しているポリシーもあるため、注意が必要です。

失敗パターン3: スマートフォンのOutlookアプリで追加認証が頻発する

スマートフォンは通常、信頼済み場所条件を満たさず、かつデバイス登録もされていないため、追加認証が頻繁に発生します。ただし、Microsoft Authenticatorアプリの「電話サインイン」や「パスワードレス」機能を有効にすると、認証の頻度を減らせます。これは端末条件の一部として扱われるわけではありませんが、ユーザー体験を改善する方法です。

管理者に確認すべき情報

もし自分でポリシーを確認できない場合や、不審な挙動がある場合は、管理者に以下の情報を伝えて確認を依頼してください。

• 自分が使っている会社PCのIPアドレス(サインインログから取得可能)と、そのIPが信頼済み場所に含まれているか。
• 会社PCがHybrid Azure AD Joinされているか、またIntuneで準拠デバイスとして認識されているか。
• 該当する条件付きアクセスポリシーの名前と、そこで「場所」と「デバイス状態」がどのように設定されているか。
• 最近、ポリシーの変更やネットワーク再構成が行われていないか。

これらの情報は、管理者が原因を特定するのに役立ちます。

よくある質問(FAQ)

Q1: 信頼済み場所として自宅のIPアドレスを登録してもらえますか?

通常、セキュリティ上の理由から管理者は個人の自宅IPを信頼済み場所に追加しません。自宅IPは動的に変わる可能性があり、攻撃者のIPと重なるリスクもあるためです。どうしても必要な場合は、VPN経由で会社ネットワークに接続する方法を検討しましょう。

Q2: 会社PCでも追加認証が突然求められるようになりました。

まず考えられる原因は、ポリシーの変更です。管理者が条件を厳しくした、またはデバイスの準拠状態が失われた(例:証明書の期限切れ、Intuneの再登録が必要)可能性があります。また、会社PCが別のネットワーク(コワーキングスペースなど)に接続している場合、IPが変わったことも考えられます。サインインログでリスク評価を確認してください。

Q3: どこで自分のサインインログを確認できますか?

Microsoft Entra管理センターの「ユーザー」→「サインインログ」で、自分のアカウントのサインイン履歴を確認できます。そこに「多要素認証が必要」などの詳細が表示されます。ただし、アクセス権限がない場合は管理者に依頼してください。

Q4: 信頼済み場所と準拠デバイス、どちらが優先されますか?

条件付きアクセスポリシーでは、複数の条件がANDまたはORで結合されます。一般的な設定では、場所とデバイス条件の両方を満たす必要がある(AND)か、いずれかを満たせばよい(OR)かはポリシー次第です。ポリシーの「条件」セクションで、各条件が「すべての条件を満たす必要があります」と表示されていればAND、そうでなければORです。

まとめ

会社PCからのみ追加認証が省略される現象は、条件付きアクセスポリシーによる「信頼済み場所」と「端末条件」の組み合わせが原因です。まずは自分のPCが会社のネットワークにいるか、またデバイスがAzure ADに登録されているかを確認してください。確認が難しい場合は、管理者にポリシー設定を問い合わせるとスムーズです。自宅のPCで追加認証が面倒な場合は、会社支給のVPNを利用するか、Microsoft Authenticatorアプリのパスワードレスサインインを検討すると良いでしょう。適切な理解と対応で、セキュリティを保ちながら快適なリモートワーク環境を維持してください。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。