【Microsoft 365】PowerShell接続でMFAが通らない時のモジュールと権限の調べ方

Microsoft 365の管理作業を効率化するためにPowerShellを使いたいが、MFA(多要素認証)でつまずくことはよくあります。「認証画面が表示されない」「サインイン後にエラーになる」「モジュールが見つからない」といった症状は、原因がモジュールのバージョン、アカウントの権限、またはテナントの設定にある場合がほとんどです。この記事では、PowerShell接続でMFAが通らないときに確認すべきモジュールと権限の調べ方を、具体的な手順とともに解説します。自分で原因を切り分け、次の行動を決められるようにするのが目的です。

1. PowerShellモジュールのバージョンと認証方式の関係

Exchange Online Managementモジュール

Exchange Onlineに接続するためのモジュールは、バージョンによって認証方式が異なります。バージョン2.0.5以降では最新の認証ライブラリ(MSAL)が使われ、MFAがスムーズに通るようになりました。古いバージョン(1.x系)では基本認証しかサポートしていないため、MFAが有効なアカウントでは接続できません。現在サポートされているのは2.0.3以上ですが、最新版(2025年時点で3.x)を使うことを推奨します。

Microsoft Graph PowerShellモジュール

Microsoft Graph PowerShellは、Exchange Online、Teams、SharePointなど複数のワークロードを統合できるモジュールです。こちらもバージョン1.0以降はMSALベースで、MFAを正しく処理します。ただし、モジュールの初期化やスコープ設定に問題があると、認証ダイアログが表示されないことがあります。

2. モジュールのインストール状況と更新確認手順

まずは自分の環境に必要なモジュールがインストールされているか、バージョンは適切かを確認します。以下の手順で進めてください。

1. PowerShell(Windows PowerShell 5.1 または PowerShell 7)を管理者として起動します。
2. Get-Module -ListAvailable -Name ExchangeOnlineManagement を実行し、Exchange Online Managementモジュールが表示されるか確認します。何も表示されなければインストールされていません。
3. Get-Module -ListAvailable -Name Microsoft.Graph を実行し、Microsoft Graphモジュールの一覧を確認します。複数バージョンが混在している場合は、最新版以外を削除することを検討します。
4. バージョンが古い場合、Update-Module -Name ExchangeOnlineManagement または Update-Module -Name Microsoft.Graph で最新版に更新します。PowerShell Galleryから直接インストールする場合は Install-Module -Name ExchangeOnlineManagement -Force -AllowClobber とします。
5. インストール後、Import-Module ExchangeOnlineManagement または Import-Module Microsoft.Graph でモジュールを読み込み、エラーが出ないことを確認します。
6. 最後に Connect-ExchangeOnline または Connect-MgGraph -Scopes "User.Read.All" などでテスト接続を行います。このとき、ポップアップ認証ウィンドウが表示されるか、ブラウザベースの認証が求められるかが重要な判断ポイントです。

3. 接続スクリプトとMFAの有効化設定

Connect-ExchangeOnline vs New-ExoPSSession

Exchange Online Managementモジュールでは、Connect-ExchangeOnline コマンドレットが推奨されます。このコマンドは自動的にMFAをサポートします。一方、古い New-ExoPSSession を使った接続方法は基本認証を前提としており、MFAが有効な環境では失敗します。もし組織のスクリプトで New-ExoPSSession を使っている場合は、Connect-ExchangeOnline に置き換えてもらいましょう。

認証スコープとブラウザ認証の設定

Microsoft Graph PowerShellの場合、Connect-MgGraph に指定するスコープ(権限範囲)が不足していると、認証画面が表示されないことがあります。最低限 User.Read を含めておかないと、サインイン自体が始まらない場合があります。また、ブラウザ認証が既定ですが、PowerShell ISEなどの環境ではポップアップブロックが原因で認証が完了しないこともあります。その場合は Connect-MgGraph -UseDeviceCode でデバイスコード認証を試すと解決できます。

4. アカウントの権限と管理設定の確認

必要な管理者ロール

PowerShellからの操作には、適切な管理者ロールが割り当てられている必要があります。Exchange Onlineへの接続には「Exchange管理者」権限が最低限必要です。グローバル管理者であればすべての操作が可能ですが、権限が弱すぎると「アクセスが拒否されました」というエラーがMFA通過後に発生します。Microsoft Entra管理センターで自分のロールを確認しましょう。

条件付きアクセスポリシーの影響

組織で条件付きアクセスポリシーが適用されている場合、PowerShellからの接続が制限されることがあります。特に「すべてのクラウドアプリ」にデバイス準拠を要求するポリシーがあると、ブラウザ認証は通ってもアプリ(PowerShell)からの認証がブロックされる場合があります。管理者に「PowerShellクライアントアプリ」を許可するポリシーが存在するか確認してください。

5. よくある失敗パターンとその対処

症状	原因	解決策
認証ダイアログが表示されない	モジュールが古い、またはPowerShellの実行ポリシーが制限されている	モジュールの更新、Set-ExecutionPolicy RemoteSigned(管理者に相談)
サインイン後に「Access Denied」	アカウントに適切な管理者ロールがない	Exchange管理者またはグローバル管理者ロールを割り当てる
デバイスコード認証でタイムアウト	プロキシ環境でコード入力ページにアクセスできない	プロキシのバイパス設定か、IT部門にプロキシ例外を依頼
モジュールのインポートエラー	依存モジュールがないか、バージョン競合	Uninstall-Moduleで旧バージョンを削除後、再インストール

6. 管理者に確認すべき情報と質問リスト

自分で原因を特定できない場合、管理者に次の情報を伝えるとスムーズです。

• 使用しているPowerShellのバージョン($PSVersionTable.PSVersion で確認)
• 対象のモジュール名とバージョン(Get-Module -ListAvailable -Name ExchangeOnlineManagement | Select-Object Version)
• 発生したエラーメッセージの全文(スクリーンショット推奨)
• 自分に割り当てられている管理者ロール(Microsoft Entra管理センターで確認)
• 組織でレガシー認証がブロックされているかどうか
• 条件付きアクセスポリシーでPowerShellクライアントがブロックされていないか

管理者に質問するときは、「PowerShellでExchange Onlineに接続しようとしていますが、MFA認証画面が表示されません。モジュールは最新ですが、もしかすると条件付きアクセスでブロックされている可能性はありますか?」のように具体的に伝えると、回答を得やすくなります。

7. まとめ

PowerShell接続でMFAが通らない原因の多くは、モジュールのバージョンが古いか、アカウントに適切な権限がないかのいずれかです。まずはモジュールを最新版に更新し、Connect-ExchangeOnlineまたはConnect-MgGraphの正しい使い方を確認してください。それでも解決しない場合は、テナント側の認証ポリシーや条件付きアクセスが原因の可能性が高いため、管理者に状況を伝えて対応を依頼しましょう。本記事の手順を参考に、一つひとつ確認していけば、問題を切り分けて解決に近づくことができます。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。