【Microsoft 365】社外パートナーだけMFA登録を求められる時のゲスト条件確認

社外パートナーをMicrosoft 365にゲストとして招待する際、先方から「MFA登録を求められたがなぜか?」という問い合わせを受けることがあります。これは招待元テナントのセキュリティ設定が原因であり、条件付きアクセスポリシーや外部ユーザー向けのMFA設定が影響しています。本記事では、ゲストユーザーだけにMFA登録が求められる原因を特定し、設定を確認する手順を解説します。自社のMicrosoft 365環境で適切な対応を行うための参考にしてください。

1. 社外パートナーにMFAが求められる主な原因

ゲストユーザーがMFA登録を求められる原因は、大きく分けて招待元テナントの設定とゲストユーザー自身の所属テナントの設定の2つです。招待元テナントで外部ユーザーに対するMFAが義務付けられている場合、ゲストユーザーはサインイン時にMFAを完了する必要があります。また、招待元テナントの条件付きアクセスポリシーがゲストユーザーを対象としている場合も同様です。一方、ゲストユーザーが所属するテナントでMFAが必須となっている場合、そのユーザーは自分のテナントのMFA要求にも対応しなければなりません。以下でそれぞれ詳しく説明します。

招待元テナントのMFA設定

招待元テナントのAzure Active Directory(Azure AD)管理センターでは、外部ユーザーに対するMFAを「外部ユーザー設定」で制御できます。この設定が「MFAを必須にする」に変更されていると、招待されたゲストユーザー全員にMFA登録が求められます。管理者が意図的にこの設定を有効にしている場合が多いですが、過去の設定変更がそのまま残っていることもあります。

条件付きアクセスポリシーの影響

条件付きアクセスポリシーは、サインインのコンテキストに基づいてアクセス制御を行う機能です。管理者が「すべてのユーザー」または「外部ユーザー」を対象にMFAを要求するポリシーを作成すると、ゲストユーザーもその対象となります。特に、ポリシーがOffice 365やSharePoint Onlineなどのクラウドアプリに適用されている場合、ゲストユーザーがこれらのアプリにアクセスするたびにMFAが求められるようになります。

ゲストユーザー所属テナントのMFA有無

ゲストユーザーが元々所属しているテナント(自社テナント)でMFAが有効になっている場合、そのユーザーは全てのサインインでMFAを要求される可能性があります。ただし、このMFA要求は招待元テナントの設定ではなく、ゲストユーザー自身のテナントのポリシーによるものです。招待元テナントとしては、ゲストユーザーの所属テナントの設定を変更することはできません。

2. ゲストユーザーのMFA条件を確認する方法

ゲストユーザーにMFAが求められる原因を特定するには、招待元テナントの設定を確認する手順を踏みます。以下の手順に従って、Azure AD管理センターで設定を確認してください。

1. Azure AD管理センター(https://aad.portal.azure.com)に管理者アカウントでサインインします。
2. 左側のメニューから「外部ユーザー」を選択し、続いて「外部ユーザー設定」をクリックします。
3. 「外部ユーザー設定」ページで、「外部ユーザーのMFA」の項目を確認します。ここが「MFAを必須にする」になっている場合、ゲストユーザー全員にMFAが要求されます。
4. 「条件付きアクセス」メニューに移動し、ポリシー一覧を表示します。
5. 各ポリシーの「ユーザーとグループ」の割り当てを確認し、ゲストユーザー(通常は「すべてのユーザー」または「外部ユーザー」)が含まれていないか確認します。
6. 該当ポリシーの「クラウドアプリ」でOffice 365などゲストが利用するアプリが選択されているか確認します。

これらの手順により、招待元テナントの設定が原因かどうかが切り分けられます。もし外部ユーザーMFA設定が「無効」であり、条件付きアクセスポリシーもゲストを対象としていない場合は、ゲストユーザー自身の所属テナントの設定が原因である可能性が高まります。

3. 管理者が設定できるゲストMFAポリシー

招待元テナントの管理者は、ゲストユーザーのMFA要求を細かく制御できます。以下の表は、主な設定とその動作を比較したものです。

設定項目	動作
外部ユーザーMFAを必須にする	すべてのゲストユーザーがサインイン時にMFAを要求される
条件付きアクセスでゲストを対象とする	特定の条件(アプリ、場所、リスク)に応じてMFAを要求
外部ユーザーMFAを無効にする	ゲストユーザーにMFAは要求されない(条件付きアクセスもなしの場合)

条件付きアクセスポリシーを使用すると、ゲストユーザーだけに異なる条件を適用できます。例えば、特定のゲストユーザーグループのみMFAを免除したり、逆にリスクの高いサインインチャレンジを要求したりすることが可能です。

4. 条件付きアクセスの影響と確認ポイント

条件付きアクセスポリシーは複数作成でき、それらの優先順位や対象範囲がゲストユーザーのMFA要求に影響します。以下に重要な確認ポイントを挙げます。

ゲストユーザーを対象から除外する方法

ゲストユーザーにMFAを要求しないようにするには、条件付きアクセスポリシーの「ユーザーとグループ」で「外部ユーザー」を除外するか、特定のゲストユーザーグループを作成して除外対象に含めます。ただし、除外しすぎるとセキュリティリスクが高まるため、ビジネス要件に応じて慎重に設定する必要があります。

ポリシーの優先順位

条件付きアクセスポリシーは、リストの番号順に評価されます。最初に条件に一致したポリシーが適用されるため、ゲストユーザー専用のポリシーを低い番号(例:1番)に設定することで、他のポリシーよりも優先させることができます。ポリシー作成時には、適用順序を考慮して設計してください。

5. トラブルシューティングとよくある質問

ゲストユーザーがMFA登録で問題に直面した場合のよくある事例と、管理者が確認すべきポイントをまとめました。

失敗パターンと対処法

パターン1:ゲストユーザーがMFA登録画面でエラーになる
原因として、ブラウザの互換性やクッキーの問題が考えられます。ゲストユーザーに別のブラウザやプライベートブラウジングモードを試してもらう、または招待メールを再送信することで解決する場合があります。
パターン2:MFA登録後に毎回MFAを求められる
条件付きアクセスポリシーで「セッションの持続期間」が短く設定されている可能性があります。管理者が該当ポリシーの「セッション制御」でサインイン頻度を調整することで改善できます。

よくある質問

Q: ゲストユーザーがMFA登録できない場合の対処法は?
A: まず招待メールを再送信し、ゲストユーザーに最新のリンクを使用してもらいます。それでも解決しない場合は、Azure ADでゲストユーザーのステータスを確認し、招待が「承諾済み」になっているか確認します。未承諾の場合は招待を再送します。また、条件付きアクセスポリシーがゲストユーザーに影響している可能性があるため、ポリシーを一時的に無効にしてテストすることも有効です。

Q: ゲストユーザーにMFAを要求しないようにするには?
A: 招待元テナントで「外部ユーザーMFA」を無効にするか、条件付きアクセスポリシーからゲストユーザーを除外します。ただし、セキュリティ要件によってはMFAを必須とする必要があるため、管理者は会社のポリシーとバランスを取りながら設定してください。

Q: ゲストユーザーが自分のテナントでMFAを求められるのはなぜ?
A: ゲストユーザーが所属するテナントでMFAが有効になっているためです。招待元テナントの管理者はこれを制御できません。ゲストユーザーに、自分のテナントの管理者に問い合わせるよう案内してください。

6. まとめ

社外パートナーにMFA登録が求められる原因は、招待元テナントの外部ユーザーMFA設定または条件付きアクセスポリシーが主です。また、ゲストユーザー自身のテナント設定も影響することがあります。原因を特定するためには、Azure AD管理センターで設定を確認し、切り分けを行うことが重要です。管理者は設定変更前に既存のユーザーやゲストへの影響を評価し、適切なポリシーを設計してください。本記事の手順を参考にして、スムーズなゲストユーザー管理を実現しましょう。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。