【Microsoft 365】サインイン頻度が短すぎる時の条件付きアクセスとセッション設定の見直し

Microsoft 365でサインインを頻繁に求められ、業務効率が低下していませんか。「さっき認証したばかりなのにまたサインインを要求された」「OutlookやTeamsで何度もパスワード入力が必要」「管理者が頻度設定を変えたのでは」といった声をよく聞きます。この問題は、条件付きアクセスポリシーとセッション制御が原因であることが大半です。しかし、ユーザー側で勝手に変更できない設定も多く、適切な切り分けと管理者への依頼が必要です。本記事では、サインイン頻度が短すぎる原因を特定し、条件付きアクセスとセッション設定の見直し手順を詳細に解説します。

1. サインイン頻度が短すぎる原因の切り分け

まず問題の原因を特定するために、以下の3つの切り口で確認します。多くの場合、条件付きアクセスポリシー内の「サインイン頻度」設定が原因です。例えば「1時間ごとに再認証」と設定されていれば、1時間経過するたびに再度サインインが必要になります。また、Microsoft 365管理センターの「組織の設定」にある「セッションタイムアウト」や「アイドルセッションタイムアウト」が短く設定されている可能性もあります。ただし、これらの設定はアプリごとやクライアントごとに動作が異なるため、一つずつ確認する必要があります。

原因の種類	具体的な設定	影響を受ける操作
条件付きアクセスポリシー	サインイン頻度(1時間、4時間など)	すべてのクラウドアプリへのアクセス
セッション制御	永続的ブラウザーセッションの無効化	ブラウザからのアクセス
アプリのセッション設定	Exchange Onlineのアイドルタイムアウト、SharePointのセッション有効期限	Outlook Web、SharePoint Onlineなど
クライアントアプリのトークン更新	モダン認証対応アプリ(Outlook, Teams)のアクセストークン有効期間	デスクトップアプリ、モバイルアプリ
ブラウザのクッキー/キャッシュ	サインインセッションを保存しない設定	ブラウザの動作

切り分けの第一歩として、どのタイミングでサインインを要求されるかを観察します。例えばメールを開くたびに要求されるならExchange Onlineのセッション設定、Teamsを立ち上げるたびに要求されるならTeamsアプリのトークンが原因かもしれません。また、特定のブラウザだけで発生するならブラウザ側のクッキー設定を疑います。管理者はAzure ADのサインインログで認証要求がいつ発生しているか確認すると、原因を絞り込めます。

2. 条件付きアクセスポリシーのサインイン頻度を確認・変更する手順(管理者向け)

ここでは、管理者がAzure Portalで条件付きアクセスポリシーのサインイン頻度設定を変更する手順を説明します。一般ユーザーはこの操作を行えませんので、必要に応じてIT部門に依頼してください。

1. Azure Portal(https://portal.azure.com)にグローバル管理者または条件付きアクセス管理者としてサインインします。
2. 「Azure Active Directory」を開き、「セキュリティ」→「条件付きアクセス」を選択します。
3. 一覧から該当するポリシーをクリックします。多くの場合、「すべてのユーザー」や「すべてのクラウドアプリ」に対するポリシーが有効になっています。
4. 左側のメニューで「アクセス制御」→「セッション」をクリックします。
5. 「サインイン頻度」のチェックボックスをオンにし、ドロップダウンから希望の期間(例:4時間、8時間、24時間、7日間など)を選択します。なお、1時間未満の設定はありません。
6. 「永続的ブラウザーセッション」も併せて設定できます。「永続的ブラウザーセッション」を「構成する」に変更し、「常に永続的」を選択すると、ブラウザを閉じてもサインイン状態が維持されます。
7. 設定を保存し、ポリシーを有効にします。変更を適用するには最大30分ほどかかることがあります。

注意点として、サインイン頻度を長く設定しすぎるとセキュリティリスクが高まります。例えば24時間に設定すると、その間はパスワード変更や多要素認証が強制されません。組織のセキュリティポリシーとバランスを取ってください。また、サインイン頻度は「再認証が必要になる間隔」であり、アイドルタイムアウトとは異なります。アイドル状態が続いてもサインイン頻度がリセットされるわけではありません。

3. 各アプリケーションのセッション設定を個別に確認する

条件付きアクセスのサインイン頻度に加えて、各Microsoft 365アプリには固有のセッションタイムアウト設定が存在します。これらが短いと、ポリシーとは別に頻繁なサインインが発生します。

3.1 Exchange Online(Outlook on the web)

Exchange Onlineでは「アイドルセッションタイムアウト」を設定できます。この設定はOutlook on the web(OWA)での無操作時間が一定時間続いた場合にセッションを終了します。既定では4〜6時間ですが、管理者が短く設定している場合があります。確認手順は以下の通りです。

1. Exchange管理センター(https://admin.exchange.microsoft.com)にサインインします。
2. 左側メニューで「組織」→「設定」を選択します。
3. 「全般」タブの「アイドルセッションタイムアウト」を確認します。ここで「1時間」などに設定されていると、1時間何もしないとサインアウトされます。
4. 値を変更する場合は、ドロップダウンから希望の時間(例:4時間、8時間、または「無制限」)を選択し、「保存」をクリックします。

ただし、この設定はOWAのみ影響し、Outlookデスクトップアプリには影響しません。デスクトップアプリの場合は、モダン認証のトークン有効期間が別途適用されます。

3.2 SharePoint OnlineとOneDrive

SharePoint OnlineとOneDrive for Businessでは、セッションのタイムアウトは基本的にAzure ADのサインイン頻度に従いますが、独自の「アクセストークンの有効期間」設定もあります。これはSharePoint管理センターの「アクセス制御」から設定可能です。具体的な手順は以下の通りです。

1. SharePoint管理センター(https://admin.sharepoint.com)にサインインします。
2. 左側メニューで「ポリシー」→「アクセス制御」を選択します。
3. 「アイドルセッションタイムアウト」または「セッションの有効期限」の設定を確認します。既定では「24時間」ですが、変更可能です。
4. 必要に応じて値を変更し、「保存」します。

3.3 Teams、Officeアプリなど

TeamsやOfficeデスクトップアプリ(Word、Excelなど)は、モダン認証(OAuth 2.0)を使用しており、アクセストークンの有効期間は既定で1時間です。ただし、リフレッシュトークンが自動的に更新されるため、ユーザーがサインインを意識することは通常ありません。しかし、条件付きアクセスポリシーでサインイン頻度が短く設定されていると、トークン更新時に再認証が要求されます。また、アプリ自体が古いバージョンでレガシ認証を使用している場合も、頻繁なサインインが発生します。最新の更新プログラムを適用してください。

4. よくある失敗パターンと対処法

実際の現場でよく見られる失敗パターンをいくつか紹介します。

• 失敗パターン1:サインイン頻度を短く設定したのに、すぐにまたサインインを求められる
  原因は、別のポリシーやアプリ固有の設定が影響している可能性があります。例えば「すべてのクラウドアプリ」ポリシーでサインイン頻度を24時間に設定しても、特定のアプリ(Exchangeなど)に別のポリシーが適用されていて、そちらが優先されている場合があります。条件付きアクセスのポリシー評価順序を確認してください。また、セッション制御の「永続的ブラウザーセッション」が無効になっていないかも要確認です。
• 失敗パターン2:サインイン頻度を長くしたのに、端末を変えると毎回認証が必要
  これは正常な動作です。サインイン頻度は同一ブラウザ/アプリ内のセッションに対して有効であり、別の端末やブラウザでは新たに認証が必要です。また、シークレットモードやプライベートブラウズを使用するとセッションが維持されないため注意してください。
• 失敗パターン3:管理者が設定を変更したにもかかわらず、ユーザーに反映されない
  Azure ADのポリシー変更は最大1時間程度の遅延が生じることがあります。また、ユーザーのトークンが古いままキャッシュされている場合があります。その場合はサインアウトして再度サインインするか、ブラウザのキャッシュをクリアすると反映されます。
• 失敗パターン4:多要素認証(MFA)の頻度が高い
  条件付きアクセスでMFAの再認証間隔を設定していない場合、サインイン頻度と同じタイミングでMFAが要求されます。MFAのみの頻度を別途設定したい場合は、「認証強度」ポリシーを使用するか、条件付きアクセスの「許可」制御で「多要素認証を必須にする」の設定を見直します。

5. 管理者に確認すべき情報とベストプラクティス

一般ユーザーは設定変更ができませんので、管理者に対して以下の情報を伝えるとスムーズです。

• どのアプリケーションでどの程度の頻度でサインインを求められるのか(例:Outlook on the webで1時間ごと、Teamsでは正常など)。
• ブラウザの種類やクライアントアプリのバージョン、OS情報。
• プライベートブラウズやシークレットモードを使用していないか。
• 既存の条件付きアクセスポリシーの一覧と各設定。管理者はAzure ADのサインインログで「Requirement」が「Repeat sign-in frequency」となっているイベントを確認すると原因が特定できます。

ベストプラクティスとしては、サインイン頻度を「24時間」または「7日間」に設定し、さらに「永続的ブラウザーセッション」を有効にすることで、多くのユーザーの不満が解消されます。ただし、機密情報を扱うアプリケーションや管理者ロールにはより短い頻度(4時間など)を設定するなど、リスクに応じた調整が必要です。また、アイドルタイムアウトは別途設定し、長時間放置された端末のセッションは自動的に切ることでセキュリティを確保します。

6. よくある質問(FAQ)

Q1. サインイン頻度とアイドルタイムアウトの違いは?
サインイン頻度はユーザーがアクティブに操作しているかどうかに関わらず、指定した時間が経過すると再認証を要求します。一方、アイドルタイムアウトはユーザーが操作を行わない時間が一定以上続いた場合にセッションを終了します。両者は独立した設定です。

Q2. 会社のポリシーでサインイン頻度が1時間に設定されています。変更してもらえますか?
まずは上司やIT部門に業務への影響を説明し、セキュリティとのバランスを考慮した調整を依頼してください。多くの場合、4時間や8時間に延長してもセキュリティリスクは許容範囲です。

Q3. スマートフォンのOutlookアプリでも頻繁にサインインを求められます。どうすれば?
スマートフォンアプリでも条件付きアクセスポリシーの影響を受けます。また、アプリのバージョンが古いとレガシ認証を使い、頻繁にサインインが必要になることがあります。最新版にアップデートし、モダン認証が有効になっているか確認してください。それでも改善しない場合は管理者に相談しましょう。

Q4. サインイン頻度を変更した後、反映までにどれくらい時間がかかりますか?
ポリシーの変更はAzure AD側で即座に反映されますが、既存のセッションには適用されません。ユーザーが次回サインインするときから新しい頻度が適用されます。最大で1時間程度の遅延が生じることもあります。

まとめ

Microsoft 365でサインイン頻度が短すぎる問題は、条件付きアクセスのサインイン頻度設定、セッション制御、各アプリの個別設定が複合的に影響します。原因を特定するには、サインインログの確認とポリシーの精査が不可欠です。一般ユーザーは設定変更を直接行えませんが、本記事の情報をもとに管理者に適切な依頼をすることができます。管理者はセキュリティとユーザビリティのバランスを考慮し、サインイン頻度を24時間程度に設定し、永続的ブラウザーセッションを有効にすることを推奨します。また、アイドルタイムアウトは別途設定することで、安全性を確保しながら煩わしさを軽減できます。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。