Microsoft 365へのサインインに失敗したとき、管理者が最初に確認すべきなのがAzure Active Directory(Azure AD)のサインインログです。しかし、ログに表示されるエラーコードや条件付きアクセスの評価結果は一見すると複雑で、何が原因なのかを素早く特定するのは簡単ではありません。本記事では、サインインログの見方、代表的なエラーコードの意味、条件付きアクセスポリシーの評価結果の読み取り方を整理します。これを読めば、失敗の原因を切り分け、適切な対処や管理者への報告がスムーズに行えるようになります。
【要点】この記事で確認すること
- 最初に見る場所: Azure AD管理センターの「サインインログ」で、失敗したサインインの詳細を開きます。
- 切り分けの軸: エラーコードが示す「ユーザーアカウント」「端末/ネットワーク」「条件付きアクセスポリシー」の3つのカテゴリで原因を分類します。
- 注意点: サインインログの確認には全体管理者またはセキュリティ管理者の権限が必要です。会社PCのユーザー設定を勝手に変更せず、必ず管理者に連絡してください。
ADVERTISEMENT
目次
サインインログの基本と確認手順
サインインログは、Azure ADに登録されているすべてのサインイン試行の記録です。Microsoft 365管理センターからアクセスする場合と、Azure Portalから直接アクセスする場合がありますが、ここではAzure Portalを使用した手順を説明します。なお、現在はMicrosoft Entra IDに名称が変更されていますが、本記事では従来の「Azure AD管理センター」で統一します。
- Azure Portalに全体管理者またはセキュリティ管理者のアカウントでサインインします。
- 左側メニューから「Azure Active Directory」を選択します。
- 「監視」セクションの「サインインログ」をクリックします。
- 画面上部のフィルターを使用して、対象のユーザー、日時、アプリケーション、状態(成功/失敗)などで絞り込みます。特に「失敗」ステータスを指定すると原因調査が効率的です。
- 該当のサインイン行をクリックして詳細を開きます。「アクティビティの詳細: サインイン」ブレードが表示され、エラーコードや条件付きアクセスのタブがあります。
詳細ブレードの「基本情報」タブでは、サインインの日時、ユーザー、アプリケーション、IPアドレス、場所、状態(成功/失敗)、エラーコードが表示されます。失敗の場合、エラーコードとその理由が赤字で記載されています。このエラーコードが原因特定の鍵となります。
主要なエラーコードとその意味
サインインログでよく見られるエラーコードには、特定のパターンがあります。以下の表に代表的なエラーコードとその意味、対処法をまとめました。
| エラーコード | 原因 | 対処法 |
|---|---|---|
| 50057 | ユーザーアカウントが無効、またはパスワードが期限切れ | 管理者がアカウントの状態を確認し、必要に応じてパスワードリセットを実行します。 |
| 50126 | ユーザー名またはパスワードが間違っている | ユーザーに正しい資格情報で再試行するよう伝えます。パスワードリセットが必要な場合もあります。 |
| 53003 | 条件付きアクセスポリシーによってブロックされた | サインインログの「条件付きアクセス」タブでどのポリシーが適用されたかを確認し、ポリシーの設定を見直します。 |
| 53004 | 条件付きアクセスで多要素認証が必要だが、ユーザーが登録していない | ユーザーに多要素認証の登録を促します。または管理者が一時的にポリシーを緩和します。 |
| 9002313 | サインイン頻度が高すぎる(レート制限) | 数分待ってから再試行するようユーザーに伝えます。プログラムによる自動試行の場合は適切な間隔を設定します。 |
| 7000215 | アクセストークンの有効期限切れ | アプリケーション側でトークンを更新するか、再度サインインします。 |
エラーコードは16進数で表示されることもありますが、上記の10進数が一般的です。ログの「エラーコード」列を確認し、該当するコードがなければ公式ドキュメントで検索してください。
条件付きアクセスの評価結果の読み方
サインインが条件付きアクセスポリシーによってブロックされた場合、詳細ブレードの「条件付きアクセス」タブにポリシーの適用結果が表示されます。ここでは「成功」「失敗」「適用されていない」の3つの状態を確認できます。
ポリシーの適用状態を確認する
「条件付きアクセス」タブを開くと、各ポリシーごとに「結果」が表示されます。「成功」はポリシーが適用され、通過したことを意味します。「失敗」はポリシーによってブロックされた、または追加の認証(MFAなど)が必要で完了しなかったことを示します。「適用されていない」はポリシーの条件に合致しなかったため、評価自体が行われなかったことを意味します。
失敗したポリシーの詳細を確認する
特定のポリシーで「失敗」になっている場合、そのポリシー名をクリックすると詳細が表示されます。ここでは、どの条件(ユーザー、場所、デバイス、アプリ、リスクなど)がトリガーとなり、どのような制御(ブロック、MFA、準拠デバイス要求など)が適用されたかを確認できます。たとえば「場所: 信頼できるIP以外からのアクセス」という条件でブロックされた場合、ユーザーが出張先から接続している可能性があります。
条件付きアクセスレポート専用モード
管理者が条件付きアクセスポリシーを「レポート専用」モードで設定している場合、実際のブロックは行われず、ログに「レポート専用: 成功」または「レポート専用: 失敗」と記録されます。これにより、本番適用前に影響を評価できます。ログに「レポート専用」と表示されている場合は、実際にブロックされたわけではないので、ユーザーに影響はありません。ただし、ポリシーがブロックモードに切り替わった場合に備えて事前に対策を検討します。
失敗パターンと切り分け手順
サインイン失敗の原因は、大きく分けて「アカウントの問題」「端末/ネットワークの問題」「条件付きアクセスの問題」の3つに分類できます。以下に代表的な失敗パターンとその切り分け手順を紹介します。
アカウントの問題
- パスワード期限切れ: エラーコード50057が表示されます。管理者はパスワードをリセットするか、ユーザーに期限切れポリシーを通知してください。
- アカウントロックアウト: 連続した誤ったパスワード入力によりアカウントがロックされる場合があります。ログにはエラーコード50053(アカウントロックアウト)が表示されることがあります(ただし、テナントの設定により異なります)。ロックアウトは通常30分程度で自動解除されますが、急ぎの場合は管理者がアカウントのロック状態を解除できます。
- ユーザーが無効化されている: 管理者によってアカウントが無効にされている場合、エラーコード50057が表示されます。Azure ADユーザーの「サインインのブロック」設定を確認してください。
端末/ネットワークの問題
- 非準拠デバイス: 条件付きアクセスでデバイスの準拠が要求されている場合、Intuneに登録されていないデバイスや準拠状態でないデバイスからサインインしようとするとエラーコード53003が表示されます。ユーザーは会社のポリシーに従ってデバイスを登録・準拠させる必要があります。
- 信頼できないIPアドレス: 条件付きアクセスで許可された場所(信頼できるIP)以外からのアクセスをブロックするポリシーが設定されている場合、該当IPがブロックされます。ログの「場所」フィールドを確認し、ユーザーがどこから接続しているかを特定します。必要であれば管理者がIP範囲を追加します。
- ブラウザーやOSのバージョンが古い: 一部の条件付きアクセスポリシーでは、特定のブラウザーやOSバージョンを要求する場合があります。サインインログの「クライアントアプリ」や「デバイス」情報を確認し、要件を満たしているかチェックします。
条件付きアクセスのブロック
- MFA登録未完了: エラーコード53004が表示されます。ユーザーはMicrosoft Authenticatorなどの方法でMFAを登録する必要があります。管理者はユーザーに登録手順を案内するか、テナント全体でMFA登録キャンペーンを実施します。
- リスクベースのポリシー: Azure AD Identity Protectionが有効な場合、リスクの高いサインインはブロックされることがあります。ログには「リスク」関連の情報が表示されるので、ユーザーが本当にそのアカウントを使用しているか確認します。誤検知の場合は管理者がリスクを無視(dismiss)できます。
管理者への報告とよくある質問
ユーザーからサインインできないと連絡を受けた管理者は、まずサインインログを確認します。その際、以下の情報をまとめておくとスムーズです。
- 失敗した日時(UTCとローカル時間)
- ユーザーのUPN(ユーザープリンシパル名)
- エラーコードとエラーの理由
- アクセスしようとしたアプリケーション(Outlook、Teams、SharePointなど)
- クライアントのIPアドレス
- 条件付きアクセスタブのスクリーンショット(可能であれば)
これらの情報をMicrosoft 365管理センターの「ヘルプとサポート」から新しいサービスリクエストとして提出すると、サポートエンジニアが迅速に原因を特定できます。
よくある質問(FAQ)
Q: サインインログに「条件付きアクセス」タブが表示されません。
A: そのサインインに対して条件付きアクセスポリシーが評価されていない可能性があります。すべてのサインインが条件付きアクセスの対象となるわけではなく、ポリシーが割り当てられていない場合や、ポリシーの条件に合致しない場合はタブ自体が表示されません。また、ユーザーにAzure AD Premium P1/P2ライセンスが必要です。
Q: エラーコードが「0x80070005」のような16進数で表示されました。どう読めばよいですか?
A: 16進数のエラーコードは、サインインログの「エラーコード」列ではなく、「追加の詳細」に表示されることがあります。その数値を10進数に変換するか、そのままMicrosoftのドキュメントで検索してください。多くの場合、16進数はアクセス拒否(E_ACCESSDENIED)などの一般的なエラーを示しています。
Q: サインインログを定期的に自動でエクスポートすることはできますか?
A: はい、Azure ADサインインログはAzure Monitorの診断設定を使用して、ストレージアカウントやLog Analyticsワークスペースにストリーミングできます。これにより、長期間の保存やカスタムアラートの設定が可能です。管理者が設定を構成する必要があります。
まとめ
Microsoft 365のサインインログは、エラーコードと条件付きアクセスの情報を読み解くことで、サインイン失敗の原因を効率的に特定できます。最初にエラーコードを確認し、アカウント、端末、ポリシーのどのカテゴリに属するかを切り分けることが重要です。条件付きアクセスタブでは、どのポリシーがブロックしたかが一目で分かるため、管理者は迅速に対処できます。また、よくあるエラーコードを表にまとめたので、トラブルシューティングの際にご活用ください。サインインログの活用は、セキュリティとユーザーエクスペリエンスの両面で大きな助けとなります。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Teams】会議の「参加者リスト」を出席後にダウンロードする!誰が参加したか確認する手順