海外出張中にMicrosoft 365の多要素認証(MFA)が突然通らなくなり、仕事に支障をきたした経験はありませんか。特にローミング中のモバイルネットワークや現地の公衆Wi-Fiでは、普段と異なる認証条件が適用されることがあります。本記事では、ローミングと場所条件に焦点を当てた切り分け手順を解説します。原因を特定し、適切な対処や管理者への依頼ができるようになることを目的としています。
【要点】この記事で確認すること
- 最初に見る場所: 端末のネットワーク接続状態(キャリアローミングか現地Wi-Fiか)と、MFA認証画面に表示されるエラーメッセージ
- 切り分けの軸: 端末側の時刻同期・ブラウザ設定、アカウント側の場所条件ポリシー、管理者側のテナント設定(条件付きアクセス、CAポリシー)
- 注意点: 会社PCの設定変更は管理者の許可なく行わない。特にプロキシやVPN設定の変更はテナントポリシーに違反する可能性があります
ADVERTISEMENT
目次
海外出張中にMFAが通らない主な原因
MFAが通らなくなる原因は大きく分けて、ネットワーク環境の変化、端末設定の不整合、そしてテナント側のセキュリティポリシーの3つです。海外出張特有の要因として、ローミングによるIPアドレスの急な変化や、未知の場所からのアクセスと判定されるケースが挙げられます。また、現地の公衆Wi-Fiが認証プロセスを阻害する場合もあります。以下では、それぞれの原因を具体的に説明します。
ネットワーク環境の変化
海外ではキャリアローミングを利用すると、アクセス元のIPアドレスが一時的に変動することがあります。Microsoft 365の条件付きアクセス(CA)ポリシーが「既知の場所」以外からのアクセスをブロックするよう設定されている場合、ローミング中はそのポリシーに引っかかります。また、現地の公衆Wi-Fiはセキュリティレベルが低く、Microsoftの認証サーバーがリスクと判断してMFAを要求しても、追加の認証手段がうまく動作しないことがあります。
端末設定の不整合
端末の時刻が現地時間とズレていると、TOTP型のMFA(Microsoft Authenticatorのワンタイムパスワードなど)が正しく検証されません。また、ブラウザのcookieやキャッシュが古いままの場合、認証セッションが正しく継続できず、MFAがループする現象が起きることがあります。特にプライベートブラウジングやシークレットモードを使うと、cookieが保存されずに毎回認証が必要になるため、結果的にMFAが通らないように見える場合もあります。
テナント側のセキュリティポリシー
管理者が「許可された場所」を国内のIPアドレス範囲に限定している場合、海外からのアクセスはすべてブロックされます。また、条件付きアクセスポリシーで「多要素認証が必要な場所」が指定されており、出張先がその条件に該当すると、MFAがかかる回数が増えたり、特定の認証方法(電話など)が使えなくなることがあります。これらのポリシーはユーザー側で変更できず、管理者に連絡する必要があります。
ローミングと場所条件の影響を理解する
ローミング中と現地Wi-Fi接続時では、MFAに影響する要素が異なります。以下の表で主な違いをまとめました。
| 条件 | IPアドレス | 場所認識 | MFAへの影響 |
|---|---|---|---|
| キャリアローミング | 現地キャリアのIPプールから割り当て。頻繁に変わる可能性あり | 通常は現地国として認識されるが、一部のキャリアでは本国のIPと見なされる場合もある | 場所ポリシーに引っかかりやすい。MFAが常に要求されたり、ブロックされる |
| 現地の公衆Wi-Fi | そのWi-Fiの出口IP。固定の場合と変動する場合がある | 確実に現地国。ただしVPN経由だと本国IPになることも | 未知の場所として扱われ、MFAのチャレンジが増える。Wi-Fi自体がフィルタリングしていると認証サーバーに到達しない |
| ホテルや企業のゲストWi-Fi | ホテル側の固定IP。多くの場合、現地国のIP | 現地国だが、他の利用者と共有によりセキュリティリスク評価が下がる | 条件付きアクセスの「リスクの高いサインイン」に該当しやすく、MFAが強化される |
この表からわかるように、ローミング中はIPが変動するため、場所条件ポリシーが安定せず、結果的にMFAが通らないことがあります。一方、現地Wi-FiではIPは安定しますが、MicrosoftがそのIPをリスクありと評価する場合があります。
切り分け手順:端末・アカウント・管理者設定
問題を切り分けるには、以下の手順を順に試すことをお勧めします。手順は端末側の確認から始め、次にアカウント側、最後に管理者設定へと進みます。
- ネットワーク接続を確認する: 現在の接続がキャリアローミングかWi-Fiかを確認します。端末の設定画面で「モバイルネットワーク」や「Wi-Fi」の表示を確認し、ローミング中は「R」アイコンが出る場合があります。もし可能なら、一度Wi-Fiに切り替えてMFAを試してください。
- 端末の時刻設定を確認する: 「設定」→「日付と時刻」で「自動設定」がオンになっているか確認します。オフの場合はオンにして、正しい現地時刻になるか確認してください。MFAアプリ(Microsoft Authenticatorなど)の時刻同期も自動で行われますが、手動で同期することも有効です。
- ブラウザのキャッシュとCookieを削除する: 使用しているブラウザ(Edge、Chromeなど)で、過去のMicrosoft 365関連のCookieとキャッシュを削除します。特に「login.microsoftonline.com」ドメインのデータをクリアすると、認証状態がリセットされます。削除後、ブラウザを再起動して再度MFAを試してください。
- プライベートブラウジングを避ける: シークレットモードやInPrivateウィンドウはCookieを保持しないため、MFAのセッションが維持できず、毎回認証が必要になります。通常のウィンドウで試してください。
- 別の認証方法を試す: Microsoft Authenticatorのプッシュ通知が使えない場合、ワンタイムパスワード(OTP)コードや電話認証を試します。MFAのオプションが複数ある場合、別の方法で認証できるか確認してください。
- テナントの場所ポリシーを確認する: 管理者が設定している条件付きアクセスポリシーが原因の可能性があります。会社のIT部門に連絡し、現在の接続元IPアドレス(
http://whatismyip.comなどで確認)を伝えた上で、ポリシーの緩和が可能か相談してください。
手順4と5は特に重要で、多くのユーザーがこの部分を見落としがちです。また、手順6はユーザー単独では解決できないため、管理者との連携が必要です。
失敗パターンと対処例
実際に発生しやすい失敗パターンを3つ紹介します。
パターン1:ローミング中にIPが変動し、場所ポリシーに引っかかる
あるユーザーは、海外出張中にキャリアローミングで接続していました。MFAのプッシュ通知は届くものの、承認しても「サインインに失敗しました」と表示されました。原因は、ローミング中に複数のIPアドレスが使われていたため、Microsoftの条件付きアクセスが「危険な場所からのアクセス」と判定したことでした。対処として、現地の信頼できるWi-Fi(ホテルの有料Wi-Fiなど)に切り替えたところ、MFAが正常に通りました。
パターン2:端末の時刻がずれてTOTPコードが無効になる
別のユーザーは、スマートフォンの時刻を手動で現地時間に設定していたため、Microsoft Authenticatorのワンタイムパスワードが常に「コードが正しくありません」とエラーになりました。時刻の自動設定をオンにし、Authenticatorアプリ内で時刻同期を行った(設定→アカウント→時刻同期)ところ、問題が解決しました。
パターン3:管理者が「許可された国」を日本に限定していた
会社のセキュリティポリシーで、サインイン可能な国を日本だけに制限していたケースです。ユーザーは中国出張中で、MFAの画面に「許可されていない場所からのアクセスです」と表示されました。この場合、ユーザー側でできることはなく、管理者が条件付きアクセスポリシーに「中国」を追加するか、一時的にポリシーを解除する必要がありました。
管理者に確認すべき設定項目
問題が解決しない場合、以下の項目を管理者に確認するよう依頼してください。管理者はAzure PortalやMicrosoft 365管理センターから設定を確認できます。
- 条件付きアクセスポリシー: 「場所」条件で許可されているIP範囲や国が限定されていないか。特に「すべての信頼できる場所」の設定が国内のみになっていないか確認。
- 認証方法ポリシー: 海外からのアクセスで利用できる認証方法(電話、SMS、プッシュ通知)が制限されていないか。
- リスクベースのポリシー: サインインリスクが「高」と評価された場合のアクションがブロックになっていないか。
- 名前付きロケーション: 出張先の国やIP範囲が「名前付きロケーション」として登録されているか。登録されていない場合、未知の場所として扱われ、MFAが強化される。
管理者に依頼する際は、出張先の国名と接続元IPアドレスを伝えるとスムーズです。また、緊急時には一時的にポリシーを緩和してもらうことも検討してください。ただし、セキュリティリスクが上がるため、永続的な緩和は避けるべきです。
よくある質問
Q1:海外でもMFAが通るようにするには、出発前に何を準備すればよいですか?
出発前に、Microsoft Authenticatorに複数の認証方法を登録しておくことをお勧めします。プッシュ通知に加え、ワンタイムパスワード(OTP)と電話認証を有効にしておくと、現地で通信環境が不安定な場合でも代替手段があります。また、条件付きアクセスポリシーで「海外からのアクセス」を許可するよう管理者に依頼しておくとスムーズです。
Q2:MFAが通らないとき、一時的にMFAをオフにしてもらうことはできますか?
管理者がテナントレベルでMFA要件を変更することは可能ですが、セキュリティリスクが高いため、通常は緊急時のみ一時的に無効化する運用が一般的です。ただし、無効化中はパスワードのみでアクセスできるため、他の認証情報が漏えいするリスクがあります。可能な限り、代替認証方法を試すか、ポリシーの条件を緩和してもらう方が安全です。
Q3:VPN接続すれば問題は解決しますか?
会社が許可したVPN(例えば会社のネットワークに接続するVPN)を使えば、アクセス元IPが日本国内の会社ネットワークになるため、場所条件ポリシーはパスしやすくなります。ただし、VPN接続が不安定な場合や、VPNのIPが条件付きアクセスの信頼できる場所に登録されていないと、逆にMFAが強化されることもあります。また、勝手に個人用VPNを使うと、会社のセキュリティポリシーに違反する可能性があるため、注意が必要です。
まとめ
海外出張中のMFAトラブルは、ローミングによるIP変動、場所条件ポリシー、端末の時刻ずれが主な原因です。切り分けはネットワークの状態確認、端末の時刻同期、ブラウザのキャッシュクリア、別認証方法の試行から始めてください。テナント側のポリシーが原因の場合は管理者に正確な情報を伝え、適切な設定変更を依頼することが重要です。出発前の準備と、現地でのネットワーク選択を工夫することで、MFA障害を最小限に抑えることができます。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Teams】会議の「参加者リスト」を出席後にダウンロードする!誰が参加したか確認する手順