Microsoft 365のセキュリティ強化策として、管理対象デバイス(Intune準拠またはドメイン参加)を必須にする条件付きアクセスポリシーを導入する企業が増えています。しかし、このポリシーを有効にした直後から「一部のユーザーがOutlookやTeamsにログインできなくなった」というトラブルが発生することがあります。原因は、ユーザー側のデバイスがポリシーの条件を満たしていないか、除外設計が不十分であるケースが大半です。本記事では、管理対象デバイス必須ポリシーでアクセスできないユーザーを救済するための除外設計の考え方と具体的な手順を解説します。
【要点】この記事で確認すること
- 最初に見る場所: 条件付きアクセスポリシーの割り当て(ユーザーとグループ)と、ブロックされたサインインログ。
- 切り分けの軸: デバイスがIntuneに登録されているか、コンプライアンスポリシーに準拠しているか、ライセンスは適切か。
- 注意点: 除外設計ではセキュリティリスクを考慮し、恒久除外よりも一時的な例外グループやアプリ制限を優先すること。
ADVERTISEMENT
目次
なぜ「管理対象デバイス必須」で一部ユーザーが入れなくなるのか
管理対象デバイス必須ポリシーは、Microsoft Entra ID(旧Azure AD)の条件付きアクセスで「デバイスが準拠していることを要求」または「ハイブリッドAzure AD参加済み」を選択した場合に適用されます。このポリシーが有効になると、該当ユーザーは以下の条件をすべて満たすデバイスからのみアクセス可能になります。
- デバイスがEntra IDに登録済み(Intune管理対象)である
- Intuneのコンプライアンスポリシーに準拠している(例:パスワード設定、暗号化、OSバージョン)
- ユーザーに適切なライセンス(IntuneやEMS E3/E5など)が割り当てられている
これらが一つでも欠けると、アクセスはブロックされます。特に以下の3つの原因が頻発します。
原因1:デバイスがIntuneに未登録
社給PCであっても、Intune自動登録の設定が完了していなかったり、ユーザーが自分でデバイスを登録していないケースです。また、BYOD端末(私用デバイス)は初期状態では登録されていません。
原因2:コンプライアンス非準拠
デバイスは登録済みでも、OSバージョンが古い、ディスク暗号化が無効、ウイルス対策ソフトが未インストールなどの理由でコンプライアンスポリシーに違反しているとアクセスできません。
原因3:ライセンス不足
Intune管理や条件付きアクセスを利用するには、ユーザーにMicrosoft 365 E3/E5、Enterprise Mobility + Security E3/E5、または単体のIntuneライセンスが必要です。ライセンスがないユーザーはポリシーから除外するか、ライセンスを付与する必要があります。
除外設計の前に確認すべき基本手順
一部ユーザーがアクセスできない場合、いきなり除外グループを作る前に、まずは以下の手順で原因を特定してください。
- サインインログを確認する:Microsoft Entra管理センター > 監視と正常性 > サインインログで、ブロックされたユーザーのイベントを開きます。「条件付きアクセス」タブにどのポリシーが適用され、どのような結果になったか表示されます。失敗の理由(デバイス非準拠、未登録など)を確認します。
- デバイス登録状態を確認する:Entra ID > デバイス > すべてのデバイスで、ユーザーのデバイスが表示されているか確認します。表示されない場合は未登録です。表示されていても「準拠」列が×の場合はコンプライアンス違反です。
- Intuneコンプライアンス状況を確認する:Intune管理センター > デバイス > すべてのデバイスから該当デバイスを選択し、「デバイスコンプライアンス」の状態を確認します。準拠していない場合、理由が表示されます。
- ユーザーのライセンスを確認する:Microsoft 365管理センター > ユーザー > アクティブユーザーから該当ユーザーを選択し、ライセンスとアプリのタブでIntuneまたはEMSが割り当てられているか確認します。
- 条件付きアクセスポリシーの割り当てを確認する:Entra ID > 保護 > 条件付きアクセスで、該当ポリシーの「割り当て」を確認します。ユーザーとグループに「すべてのユーザー」が含まれている場合、除外グループを設定していないと全員に適用されます。
これらの確認で原因が明確になれば、適切な除外設計につなげられます。
状況別の除外設計:比較表
除外の方法は大きく分けて「ユーザーをポリシーから除外」「デバイスを強制的に準拠させる」「ポリシーの条件を緩和」の3つです。下表で比較します。
| 状況 | 推奨される除外設計 | セキュリティリスク | 管理工数 |
|---|---|---|---|
| 1. デバイスが未登録(社給PCだが設定漏れ) | Intune自動登録を再構成し、ユーザーに登録を促す。登録までの間、一時的にユーザーを除外グループに追加。 | 低(数日間のみ) | 中 |
| 2. コンプライアンス非準拠(OS古い、暗号化無効) | コンプライアンスポリシーの猶予期間を設定するか、非準拠デバイスでもアクセス可能なアプリを制限して許可。 | 中(条件付きで許可) | 中 |
| 3. ライセンス不足(Intune未ライセンス) | ユーザーを条件付きアクセスから除外するか、ライセンスを購入・割り当てる。 | 高(無条件でアクセス可能) | 低 |
| 4. BYOD端末(私用デバイス) | アプリ保護ポリシー(Intune MAM)を併用し、デバイス登録なしでアクセス可能にする。または専用の除外グループを作成。 | 中〜高 | 高 |
実際の除外設定手順(IntuneとEntra ID)
ここでは、代表的な除外設計を実現する手順を2パターン紹介します。
条件付きアクセスポリシーでユーザー除外グループを設定
- Microsoft Entra管理センターにサインインし、「保護」→「条件付きアクセス」を開きます。
- 該当のポリシー(例:「管理対象デバイス必須」)を選択します。
- 「割り当て」→「ユーザーとグループ」で、「含む」を「すべてのユーザー」などに設定し、「除外」で特定のグループを選択します。このグループには一時的にアクセスさせたいユーザーを追加します。
- 「アクセス制御」→「許可」で、「アクセスをブロック」ではなく「アクセスを許可」に変更する場合は、「デバイスが準拠していることを要求」のチェックを外さないように注意します。除外グループにはポリシー自体が適用されないため、不要な操作です。
- 「ポリシーの有効化」を「オン」にしたまま保存します。除外グループに含まれるユーザーにはポリシーが適用されず、アクセスできるようになります。
コンプライアンスポリシーの猶予期間を設定
- Intune管理センターにサインインし、「エンドポイントセキュリティ」→「デバイスコンプライアンス」を開きます。
- 該当のコンプライアンスポリシーを選択し、「プロパティ」→「非準拠に対するアクション」を編集します。
- 「非準拠が検出されたときのアクション」で、「デバイスに非準拠をマークする」の後に「猶予期間(日数)」を設定します(例:7日)。この間はユーザーがアクセス可能です。
- 猶予期間中にユーザーがデバイスを修正しない場合、最終的にブロックされます。必要に応じて「ユーザーに通知」のアクションも追加します。
よくある失敗パターンと回避方法
除外設計で陥りやすい失敗を3つ紹介します。
- 失敗1:除外グループを恒久的に使い続ける
一時的な措置のはずが、そのまま放置されるとセキュリティホールになります。回避方法は、除外グループに有効期限を設定する(Entra IDの動的グループで時間経過で自動削除)か、定期的に見直す運用ルールを決めることです。 - 失敗2:ポリシーの「含む」に個別ユーザーを追加してしまう
「含む」でユーザーを指定すると、管理が煩雑になります。グループ単位で管理し、除外もグループで行うのがベストプラクティスです。 - 失敗3:コンプライアンスポリシーの猶予期間を長く設定する
猶予期間を無制限にすると、非準拠デバイスがいつまでもアクセスできてしまいます。最大でも30日以内に設定し、猶予期間中にユーザーが対応できるようにサポートしましょう。
管理者が確認すべきログとツール
除外設計の効果を確認し、問題を再発防止するには以下のログ・ツールを活用します。
- サインインログ(Entra ID):条件付きアクセスの結果が詳細に記録されます。ポリシー適用の有無やブロック理由を確認できます。
- Intune監査ログ:コンプライアンスポリシーの変更やデバイス登録の履歴が残ります。
- Microsoft Graph API:スクリプトを使って除外グループのメンバーシップを自動チェックできます。
- What Ifツール(条件付きアクセス):ポリシー変更前に特定ユーザーがどう影響を受けるかシミュレーション可能です。
よくある質問(FAQ)
Q1. 管理対象デバイス必須ポリシーを全社に適用したが、役員だけはBYODを許可したい。どうすればよいか?
A. 役員用のセキュリティグループを作成し、条件付きアクセスの「除外」にそのグループを追加します。または、役員向けにアプリ保護ポリシー(MAM)を適用して、デバイス登録なしでアクセスできるようにする方法もあります。
Q2. 除外グループに追加したが、すぐに反映されない。反映までどのくらいかかるか?
A. 条件付きアクセスポリシーの変更は通常1時間以内に反映されますが、キャッシュの影響で最大24時間かかる場合があります。即座に反映させたい場合は、ユーザーがサインアウト/サインインするか、デバイスを再起動すると早まることがあります。
Q3. 除外設計をしたが、セキュリティ監査で指摘された。どう対応すればよいか?
A. 除外はあくまで一時的な措置であることをドキュメントに残し、定期的な見直し計画を策定します。また、除外ユーザーには多要素認証(MFA)を必須にするなど、他のセキュリティ対策を強化することでリスクを低減できます。
まとめ
管理対象デバイス必須ポリシーで一部ユーザーがアクセスできない問題は、デバイス未登録、コンプライアンス非準拠、ライセンス不足が主な原因です。除外設計では、一律の除外ではなく、原因に応じてユーザーグループの除外、コンプライアンスポリシーの猶予期間、アプリ制限付き許可などを組み合わせることが重要です。恒久的な除外はセキュリティリスクを伴うため、必ず期限付きで運用し、サインインログを使って定期的に状況を確認してください。適切な除外設計と運用ルールを整えることで、業務継続性とセキュリティのバランスを保つことができます。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Teams】会議の「参加者リスト」を出席後にダウンロードする!誰が参加したか確認する手順