【Microsoft 365】レガシー認証ブロック後に複合機送信が失敗する時の見直し

Microsoft 365ではセキュリティを高めるため、基本認証(Basic認証)を使ったレガシー認証のブロックが進んでいます。この影響で、オフィスの複合機からスキャン to メールや送信機能が突然エラーになるケースが増えています。管理者が条件付きアクセスや認証ポリシーでレガシー認証を無効にした場合、SMTP認証に依存する複合機は接続できなくなります。本記事では、複合機の送信失敗が起きたときに、原因を切り分けて次の行動を決めるための具体的な手順と設定ポイントを解説します。

なぜレガシー認証ブロックで複合機送信が失敗するのか

レガシー認証とは、SMTP、POP、IMAPなどが使用するBasic認証(ユーザー名とパスワードを平文で送る方式)を指します。Microsoft 365では、2022年から段階的にレガシー認証を無効化する方針が進められており、多くの企業で条件付きアクセスポリシーやテナント全体の認証ポリシーを使ってブロックされています。複合機のスキャン to メール機能は、通常SMTPでBasic認証を使ってMicrosoft 365に接続しているため、このブロックの影響を直接受けます。

失敗のメカニズムは単純です。複合機が「ユーザー名+パスワード」で認証しようとしても、Microsoft 365側で「Basic認証は拒否」と返すため、メール送信がエラーになります。エラーコードとしては「535 Authentication failed」や「5.7.57 Client not authenticated」などが典型的です。

よくある失敗パターン

• 条件付きアクセスで「レガシー認証をブロック」するポリシーが全ユーザー対象になっている
• テナントの認証ポリシー(Exchange Onlineの「SMTP AUTH」設定)が無効になっている
• 複合機がTLS 1.2未対応でセキュリティ要件を満たさない
• アカウントに多要素認証(MFA)が有効で、アプリパスワードを使っていない

複合機の認証方式を確認する

まずは複合機側の設定を確認します。多くの複合機は「メール送信設定」の中でSMTPサーバー情報を保持しています。ここで認証方式が「Basic認証(パスワード)」になっているか、「OAuth 2.0」や「Microsoft 365モダン認証」に対応しているかを確かめましょう。

複合機のSMTP設定確認手順(例:一般的な複合機)

1. 複合機の管理画面にブラウザまたは本体操作パネルでアクセスする。
2. 「ネットワーク設定」または「メール設定」メニューを開く。
3. 「SMTPサーバー」の項目でサーバーアドレスが「smtp.office365.com」、ポートが「587」、暗号化が「TLS」になっているか確認する。
4. 認証方式の設定を確認する。「SMTP認証(Basic)」「ログイン認証」などの表記がある場合、それはレガシー認証です。
5. 複合機がOAuthに対応している場合、メニューに「Microsoft 365」「Office 365」「OAuth 2.0」などの選択肢があるか確認する。

もし複合機がBasic認証しか対応していない場合は、後述の代替手段を検討します。

Microsoft 365側の設定を確認する

次に、テナント側で何がブロックされているかを把握します。管理者権限がないと確認できない項目もありますが、一般ユーザーでもサインインログの一部を確認できます(ただし管理者に依頼するほうが確実です)。

条件付きアクセスポリシーの確認(管理者向け)

1. Microsoft Entra管理センター(旧Azure AD)にアクセスし、「条件付きアクセス」→「ポリシー」を開く。
2. 「レガシー認証をブロック」という名前のポリシー、またはクライアントアプリの条件で「Exchange ActiveSync」「他のクライアント」にチェックが入っていないか確認する。
3. ポリシーの対象ユーザーを確認する。全ユーザーになっている場合、複合機用のアカウントが除外されていない。
4. 「アクセス制御」で「ブロック」を選択している場合、Basic認証はすべて拒否される。

Exchange OnlineのSMTP認証設定(管理者向け)

1. Exchange管理センター(EAC)にアクセスし、「設定」→「メールフロー」→「コネクタ」を確認する。
2. 「組織全体の設定」→「SMTP AUTH」が有効になっているか確認する。無効だとSMTP認証そのものが使えない。
3. PowerShellで「Get-TransportConfig | fl SmtpClientAuthenticationDisabled」を実行すると、TrueならSMTP AUTHが無効。

代替手段の比較と導入の手順

レガシー認証がブロックされた場合、以下の4つの選択肢が考えられます。それぞれの特徴を比較表にまとめました。

方式	対応可否	セキュリティ	設定難易度	管理負荷
Basic認証(一時的に有効化)	すべての複合機	低(非推奨)	低	中(後日再ブロック)
アプリパスワード	MFA有効アカウントのみ	中	低	低
モダン認証(OAuth2.0)対応複合機	対応機種のみ	高	中	低
SMTPリレー経由(内部サーバー)	すべての複合機	高(リレーサーバー次第)	高	高

各方式の詳細と手順

アプリパスワードの利用(MFA有効アカウント向け)

1. 複合機で使うアカウント(通常は共有メールボックスや専用アカウント)に多要素認証が有効であることを確認する。
2. ユーザーが自身のMicrosoftアカウントにサインインし、「セキュリティ情報」→「アプリパスワード」で新しいパスワードを生成する。
3. 生成された16桁のパスワードを複合機のSMTP設定のパスワード欄に入力する。
4. 複合機の送信テストを実行して成功を確認する。

条件付きアクセスから複合機用アカウントを除外する

1. 管理者が条件付きアクセスポリシーを開き、「ユーザーとグループ」の除外リストに複合機用のアカウントを追加する。
2. ポリシーを保存し、反映を待つ(最大1時間)。
3. 複合機で送信テストを行う。

モダン認証対応複合機の設定例

1. 複合機の管理画面で「メールサーバー設定」→「認証方式:OAuth 2.0(Microsoft 365)」を選択する。
2. 画面の指示に従って、複合機に表示されるコードとURLをMicrosoft 365のアプリ登録画面に入力する(管理者が事前にアプリ登録を行う必要があるケースもある)。
3. 認可が完了すると、複合機がアクセストークンを取得してメール送信できるようになる。

よくある質問

Q. アプリパスワードは安全ですか?

A. アプリパスワードはBasic認証の一種であり、完全に安全とは言えません。ただし、MFAが有効なアカウントで生成するため、単なるパスワードよりはマシです。しかし、Microsoftはアプリパスワードの利用を推奨しておらず、将来的には廃止される可能性があります。長期的にはモダン認証対応の複合機またはSMTPリレーを検討すべきです。

Q. 複合機を買い替えなくても対策できますか?

A. はい。アプリパスワードの利用や条件付きアクセスからの除外、あるいは内部SMTPリレーサーバーを経由する方法があります。ただし、リレーサーバーを立てる場合は運用コストがかかります。

Q. 一時的にBasic認証を有効にしても問題ないですか?

A. セキュリティリスクが高まるため推奨しません。特にパスワードスプレー攻撃やブルートフォース攻撃の標的になりやすくなります。どうしても緊急で必要な場合は、対象アカウントやIPアドレスを制限した上で、短期間だけ有効にし、早急に代替策に移行してください。

管理者に確認すべきポイント

トラブルシューティングでは、以下の情報を管理者に伝えると迅速に対応できます。

• 複合機のIPアドレス、MACアドレス
• 使用しているアカウントのユーザー名(UPN)
• エラーログのスクリーンショット(エラーコードを含む)
• 複合機の型番とファームウェアバージョン
• 複合機がBasic認証のみかOAuth対応か

まとめ

レガシー認証ブロック後の複合機送信失敗は、ほとんどの場合、複合機がBasic認証を使用していることが原因です。対策としては、アプリパスワードや条件付きアクセスからの除外、モダン認証対応複合機への交換、またはSMTPリレーサーバーの導入があります。最初に複合機のログを確認し、テナント側の設定を管理者とともに見直すことが重要です。長期的にはモダン認証への移行が最もセキュアで管理しやすい方法です。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。