Microsoft 365で多要素認証を有効にしていると、アプリパスワードが使えなくなるケースがあります。特にOutlookやThunderbirdなどのメールクライアントで「パスワードが正しくない」と表示される場合、原因は先進認証(Modern Authentication)への移行や管理者側のポリシー設定にあることが多いです。本記事では、アプリパスワードが使えない原因を切り分け、先進認証の有無や例外設定の確認方法を具体的に解説します。会社のIT担当者に連絡する前に、自分で確認できるポイントも整理しました。
【要点】この記事で確認すること
- 最初に見る場所: アプリパスワードが有効かどうかをAzure PortalまたはMicrosoft 365管理センターで確認する。また、使用しているアプリが先進認証に対応しているかどうかも確認する。
- 切り分けの軸: 端末側(アプリのバージョンや認証方式)、アカウント側(多要素認証の状態やアプリパスワードの有無)、管理設定側(テナントの認証ポリシーや条件付きアクセス)の3つに分けて原因を探る。
- 注意点: 会社PCではレジストリやグループポリシーの変更が必要な場合があり、管理者の許可なく変更するとセキュリティ違反になる可能性がある。自己判断で設定を変えず、まずはIT部門に相談するのが望ましい。
ADVERTISEMENT
目次
アプリパスワードが使えない原因の切り分け
アプリパスワードは、多要素認証(MFA)を有効にしているユーザーが、先進認証に対応していないアプリ(レガシ認証しか使えないアプリ)のために生成する16桁のパスワードです。しかし、最近のMicrosoft 365環境ではデフォルトで先進認証が強制される傾向にあり、アプリパスワード自体が不要になったり、逆にアプリパスワードがブロックされたりするケースが増えています。原因を特定するには、以下の3つの観点で確認してください。
アプリパスワードの前提条件
アプリパスワードを使用するには、次の条件をすべて満たす必要があります。
- 多要素認証(MFA)がユーザーに対して有効になっていること。
- 組織のテナントで「レガシ認証をブロックするポリシー」が適用されていないこと。
- 使用するアプリが先進認証に対応していない(または先進認証を無効にしている)こと。
- アプリパスワードが正しく生成され、有効期限内であること(有効期限はありませんが、再生成が必要な場合があります)。
先進認証対応アプリの確認
Outlook 2016以降やmacOSの標準メールアプリ、Thunderbirdの最新版は先進認証に対応しています。これらのアプリでログインする際は、アプリパスワードではなく、通常のパスワード(またはブラウザ経由の認証)でサインインできます。もしアプリパスワードしか受け付けない設定になっている場合は、アプリ側の設定で先進認証を有効にする必要があります。例えばOutlookでは、アカウント設定の「認証」で「先進認証を使用する」チェックボックスをオンにします(バージョンにより異なります)。
アプリパスワードが使えない場合の確認手順
以下の手順に沿って、問題を切り分けてください。管理者権限が必要な手順は管理者に依頼する必要があります。
- まず、アプリパスワードが正しく生成されているかを確認します。ブラウザでMicrosoft 365にサインインし、「マイ アカウント」→「セキュリティ情報」→「アプリ パスワード」の順に進みます。ここにアプリパスワードが表示されていなければ、新規に生成します。既存のパスワードは非表示のため、わからなくなったら削除して再生成してください。
- アプリパスワードの生成ができない場合、多要素認証が有効になっているか確認します。管理センターで対象ユーザーのMFA状態を確認するか、ユーザー自身が「セキュリティ情報」ページで追加の認証方法が登録されているか確認します。
- 使用しているメールクライアントが先進認証に対応しているか調べます。Outlookのバージョンが古い場合、先進認証を有効にするためにレジストリの変更が必要なことがあります。会社PCでは管理者の指示なしに変更しないでください。
- アプリ側の設定で「セキュリティで保護されたパスワード認証(SPA)」や「SSL/TLS」が正しく設定されているか確認します。間違った設定は認証エラーの原因になります。
- テナント全体の認証ポリシーを確認します。管理者の場合、Azure Portalの「Azure Active Directory」→「セキュリティ」→「認証方法」→「レガシ認証のブロック」で設定を確認します。ユーザーの場合は管理者に問い合わせてください。
- 条件付きアクセスポリシーがアプリパスワードをブロックしていないかを確認します。特に「アプリパスワードを要求する」といった条件がある場合、アプリパスワードの使用が制限されることがあります。
先進認証とレガシ認証の違い
アプリパスワードはレガシ認証の一部であり、先進認証が有効な環境では不要になる場合があります。以下の表で違いを比較します。
| 項目 | 先進認証 | レガシ認証 |
|---|---|---|
| 認証方式 | OAuth 2.0 / SAML ベース。ブラウザやモバイルアプリでトークンを使用。 | 基本認証(ユーザー名とパスワード)。アプリパスワードはその補完。 |
| 多要素認証 | MFAが直接サポートされる。条件付きアクセスと連携。 | MFAに対応していないため、アプリパスワードで代替。 |
| セキュリティ | 高。トークンには有効期限があり、条件付きアクセスで制御可能。 | 低。パスワードベースのため、漏洩リスクがある。 |
| アプリパスワードの必要性 | 不要。先進認対応アプリでは通常のサインインでOK。 | 必要。レガシ認証しか使えないアプリでMFAをバイパスするために使用。 |
| 最近の傾向 | Microsoftは基本認証(レガシ)を段階的に廃止中。2022年10月からExchange Onlineで基本認証が無効化されたテナントもある。 | 推奨されない。可能な限り先進認証に移行するよう指示されている。 |
管理設定による例外と確認ポイント
アプリパスワードが使えない原因として、管理者側のポリシー設定が大きく影響します。以下に代表的な設定と確認ポイントを紹介します。
テナント全体のレガシ認証ブロック
Azure Active Directoryの認証方法ポリシーで「レガシ認証のブロック」が有効になっていると、基本認証(アプリパスワードを含む)が一切使えなくなります。この場合、アプリが先進認証に対応していなければ接続できません。回避策として、特定のアプリやユーザーに対してブロックを解除する例外を設定することができますが、管理者権限が必要です。
条件付きアクセスポリシー
条件付きアクセスで「アプリパスワードを要求する」や「先進認証を必須とする」などのポリシーが設定されている場合も、アプリパスワードの利用に影響します。例えば「アプリパスワードの使用を許可する」ポリシーが明示的にオフになっていると、アプリパスワードでのサインインが拒否されます。条件付きアクセスのレポートのみモードで影響を確認してから適用するのが安全です。
多要素認証の設定状況
ユーザーごとに多要素認証の設定が完了していないと、アプリパスワードを生成できません。MFAの登録が中途半端な場合(例えば認証方法が電話のみでアプリが未登録など)も、アプリパスワードが表示されないことがあります。ユーザーはセキュリティ情報画面で追加の認証方法をすべて登録し、MFAがアクティブになっていることを確認してください。
失敗パターンと対処例
実際に起きやすい失敗パターンとその対処方法をまとめます。
- Outlookで「パスワードが正しくありません」と表示されるが、アプリパスワードは正しい。 この場合、Outlookが先進認証を要求している可能性が高いです。Outlookのアカウント設定で「認証」を「先進認証」に変更し、通常のパスワードでサインインしてください。または、アプリパスワードを使用するためにレジストリで基本認証を強制する方法もありますが、管理者に相談してください。
- Thunderbirdで「ログインに失敗しました」と表示される。 Thunderbirdのバージョンが古いと先進認証に対応していません。最新版にアップデートし、アカウント設定で「OAuth2」を選択します。OAuth2が使えない場合は、アプリパスワードを使用する必要がありますが、テナントで基本認証がブロックされていないか確認してください。
- アプリパスワードが生成できない(ボタンがグレーアウト)。 原因として、テナントのポリシーでアプリパスワードが無効化されているか、ユーザーにMFAが正しく設定されていない可能性があります。管理者に問い合わせて、ユーザーのMFA状態とアプリパスワード利用可否を確認してもらってください。
- モバイルデバイスのメールアプリでパスワードエラー。 iOSやAndroidの標準メールアプリは多くの場合先進認証に対応しています。アカウント追加時に「サインイン」ボタンを押すとブラウザが開いてMFAを求められるはずです。もしパスワード入力を求められる場合は、アプリパスワードを入力してみてください。それでもダメなら、アプリ側のサーバー設定がExchange ActiveSyncの正しいエンドポイント(outlook.office365.com)になっているか確認します。
管理者へ確認すべきこと
アプリパスワードのトラブルが解決しない場合、管理者に以下の情報を伝えて確認を依頼するとスムーズです。
- 該当ユーザーの多要素認証が有効かつ登録済みであるか。
- テナント全体のレガシ認証ブロックポリシーが有効になっていないか。
- 条件付きアクセスポリシーでアプリパスワードの使用が制限されていないか。
- 使用しているアプリが先進認証をサポートしているかどうか(App Registrationやサポート情報で確認)。
- ユーザーがアプリパスワードを生成できる権限を持っているか(ライセンスやロールによる制限)。
管理者側では、Azure ADの認証方法ポリシーや条件付きアクセスのサインインレポートを確認することで、アプリパスワードによるサインインが拒否されたブロック理由を特定できます。また、セキュリティのベストプラクティスとして、可能な限りアプリパスワードに頼らず先進認証に移行することを推奨します。
よくある質問
- Q: アプリパスワードはいつ使うべきですか?
A: 多要素認証が有効で、かつアプリが先進認証をサポートしていない場合に限り使用します。最近のOutlookやTeamsなどは先進認証に対応しているため、アプリパスワードは不要です。 - Q: アプリパスワードの有効期限はありますか?
A: アプリパスワード自体に有効期限は設定されていません。ただし、ユーザーのパスワードがリセットされたり、MFAの設定が変更されたりすると無効になることがあります。その場合は再生成してください。 - Q: アプリパスワードはいくつまで作成できますか?
A: ユーザーあたり最大40個まで作成できます。ただし、古いアプリパスワードは定期的に削除することをお勧めします。 - Q: 「アプリパスワードは利用できません」と表示されるのはなぜですか?
A: 組織のポリシーでアプリパスワードが無効化されているか、多要素認証が条件付きアクセスで管理されている場合に表示されます。管理者にポリシーを確認してください。 - Q: 先進認証に移行するにはどうすればいいですか?
A: アプリ側で先進認証を有効にし、アカウント設定を変更します。手順はアプリによって異なりますが、Outlookでは「ファイル」→「アカウント設定」→「アカウントの変更」で「認証」を「先進認証」に変更します。組織全体での移行は管理者のガイドラインに従ってください。
まとめ
アプリパスワードが使えない問題は、多くの場合テナントの認証ポリシーやアプリの対応状況に起因します。基本認証(レガシ認証)から先進認証への移行が進んでいるため、アプリパスワードに依存せずに済む環境が増えています。まずは利用しているアプリが先進認証に対応しているか確認し、対応しているならアプリパスワードではなく通常のサインインを試しましょう。どうしてもアプリパスワードが必要な場合は、管理者にポリシーの例外設定を依頼するか、アプリ自体のアップデートを検討してください。根本的には、組織全体で先進認証に移行することで、セキュリティ向上と管理負荷軽減につながります。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Teams】会議の「参加者リスト」を出席後にダウンロードする!誰が参加したか確認する手順