Microsoft Authenticatorでサインインしようとした際に、突然「現在地へのアクセスを許可」といった位置情報の許可を求められると、戸惑うことがあります。特に社用端末では、このような要求がセキュリティポリシーに基づくものか、単なるアプリのバグなのか判断に迷うでしょう。多くの場合、原因は会社が構成する条件付きアクセスポリシーやコンプライアンスポリシーにあります。本記事では、位置情報が求められる理由を整理し、自分で確認できる手順から管理者がポリシーを見直す方法までを解説します。
【要点】この記事で確認すること
- 最初に見る場所: スマートフォンの位置情報サービス設定、ブラウザの位置情報許可、Authenticatorアプリの権限設定。
- 切り分けの軸: 端末側の位置情報許可の有無、アカウントに適用されている条件付きアクセスポリシーの内容、管理者側のコンプライアンスポリシー設定。
- 注意点: 会社PCやスマートフォンでは、業務用アプリの権限を無断で変更しないでください。管理者に確認せずに位置情報を拒否すると、サインインできなくなる可能性があります。
ADVERTISEMENT
目次
1. なぜ位置情報が求められるのか?原因を理解する
Microsoft Authenticatorが位置情報を要求する主な原因は、会社のセキュリティポリシーです。特に、Azure Active Directory(現Microsoft Entra ID)の条件付きアクセスで「場所」条件が設定されている場合、サインイン時にユーザーの位置情報を確認する必要が生じます。また、デバイスコンプライアンスポリシーで「位置情報サービスが有効であること」が必須となっているケースもあります。以下に主要な原因をまとめます。
条件付きアクセスの位置ポリシー
管理者が条件付きアクセスポリシーで「場所」条件を構成している場合、サインイン元のIPアドレスや国情報に加えて、より詳細な位置情報を取得するためにAuthenticatorが位置情報の許可を求めることがあります。特に「既知のネットワーク以外からのアクセスをブロック」といったポリシーが有効だと、会社が許可した拠点外からのアクセスを識別するために位置情報が必要になるのです。
デバイスコンプライアンスポリシー
Microsoft IntuneなどのMDM/MAMポリシーで、デバイスの位置情報サービスを必須に設定している場合もあります。例えば、紛失した端末の位置を追跡できるように、または特定の場所でのみアプリ利用を許可するために、位置情報が強制されることがあります。この場合は、端末の設定で位置情報をオンにしないとAuthenticatorが正常に動作しません。
アプリ自体の設定
Authenticatorアプリ自身が、多要素認証の追加の安全性を高めるために位置情報を利用する機能を持っています。ただし、これは会社ポリシーとは独立して動作するものではなく、基本的には管理者が意図して有効にしたポリシーがトリガーになります。
2. 自分で確認できること:まずは端末とアカウント設定のチェック
会社のポリシーを見直す前に、まずは自身の端末設定を確認しましょう。以下の手順で、位置情報の許可が適切かどうかを調べてください。
- スマートフォンの位置情報サービスを確認する: 設定アプリを開き、「プライバシーとセキュリティ」→「位置情報サービス」がオンになっているか確認します。さらに、アプリ一覧からMicrosoft Authenticatorを探し、位置情報の許可が「Appの使用中のみ許可」または「常に許可」になっていることを確認します。オフの場合はオンに変更してください。
- ブラウザの位置情報設定を確認する(Web経由の場合): 会社のポリシーによっては、Webブラウザからサインインする際に位置情報が求められます。ブラウザのアドレスバー左の鍵マークやサイト設定から、位置情報の許可状態を確認します。ブロックしている場合は許可に変更してください。
- Authenticatorアプリのバージョンを最新にする: 古いバージョンでは位置情報の動作が不適切な場合があります。App StoreまたはGoogle Playで最新版にアップデートしてください。
- サインイン時に表示されるメッセージを確認する: 位置情報を求められた際の画面に「この組織ではアクセスを許可する前に位置情報が必要です」といった文言が表示されていれば、会社ポリシーが原因です。端末設定ではなく、管理者に問い合わせる必要があります。
- 一時的に位置情報を拒否してサインインを試みる(注意が必要): 拒否した場合にどのようなエラーが出るか確認できます。ただし、拒否するとサインインできない可能性が高いので、作業時間に余裕があるときに行ってください。
これらの手順を実施しても問題が解決しない場合、ほぼ間違いなく会社のポリシーが原因です。次の章に進んでください。
3. 会社のポリシーが原因の場合:管理者に確認すべきポイント
ユーザー自身ではポリシーを変更できません。以下の情報を整理して、IT管理者に伝えることで問題解決が早まります。
| 確認項目 | ユーザーができること | 管理者に伝える内容 |
|---|---|---|
| 条件付きアクセスポリシーの場所条件 | サインイン時のエラーメッセージをスクリーンショットで保存する | どのアプリで発生したか、いつから発生したか、どのネットワーク(自宅/社内/外出先)かを伝える |
| デバイスコンプライアンスポリシー | 会社支給端末か個人端末かを明確にする | IntuneやMDMに登録されている端末かどうかを確認してもらう |
| 多要素認証の追加設定 | Authenticatorアプリの通知が届いているか確認する | 通知内に位置情報の要求が含まれているかを伝える |
失敗パターン:ユーザーが自己判断で位置情報を拒否し続ける
よくあるのは、位置情報の許可を求められた際に「許可しない」を選択してしまい、その後サインインができなくなるケースです。一度拒否するとAuthenticatorが位置情報を取得できず、ポリシー違反と判定されてアクセスがブロックされます。この場合、端末の設定で位置情報をオンに戻しても、サインイン画面が進まないことがあります。その際は、Authenticatorアプリのキャッシュクリアや再インストールが必要になることもありますが、まずは管理者に相談してください。
4. 管理者がポリシーを見直す手順:Azure ADの設定例
ここからは管理者向けの内容です。位置情報の要求が不要であれば、条件付きアクセスポリシーやコンプライアンスポリシーを変更することで、ユーザーへの負担を減らせます。以下にAzure AD(Entra ID)での具体的な手順を示します。
- Azure ADにサインインし、条件付きアクセスを開く: 管理者アカウントでAzure Portalにアクセスし、「Azure Active Directory」→「セキュリティ」→「条件付きアクセス」を選択します。
- 対象のポリシーを特定する: 一覧から、該当ユーザーに適用されているポリシーを探します。「場所」条件が含まれているポリシーが疑わしいです。ポリシー名をクリックして詳細を確認します。
- 場所条件の設定を確認する: 「割り当て」→「場所」で、許可する場所が「すべての場所」か「既知のネットワーク」かなどを確認します。位置情報の詳細な取得が必要な場合、「多要素認証の追加」や「セッション」設定にも位置情報関連のオプションがあるか確認します。
- 不要であれば場所条件を削除または緩和する: 位置情報の厳格なチェックが必要なければ、「場所」条件を「すべての場所」に変更するか、条件自体をオフにします。ただし、セキュリティリスクを考慮し、代わりにIPアドレスベースの制限を検討してください。
- ポリシーをテストしてから適用する: 変更を保存する前に、「ポリシーのテスト」モードで影響を確認します。テストユーザーを1名指定して、位置情報要求が解除されたか実際にサインインして確認します。
- Intuneのコンプライアンスポリシーも確認する: 「Microsoft Intune」→「デバイスのポリシー」→「コンプライアンスポリシー」で、位置情報サービスに関する設定がないか確認します。必要に応じてポリシーから削除します。
代替案:位置情報を利用したままユーザー体験を改善する方法
どうしても位置情報が必要な場合は、ユーザーに対して事前に会社のポリシーを周知し、位置情報の許可を促すガイドを配布しましょう。また、位置情報が不要になった時点でポリシーを見直す運用ルールを決めておくと、無用な問い合わせを減らせます。
5. よくある質問
Q1. 位置情報を常に許可するとプライバシーが心配です。
会社のポリシーとして位置情報が必要な場合、拒否すると業務に支障が出ます。通常、位置情報は認証時のみ利用され、継続的に追跡されるわけではありません。設定を「Appの使用中のみ許可」にすることで、最小限の利用に抑えられます。
Q2. 外出先から会社のシステムにアクセスすると位置情報を求められます。自宅では求められません。
これは「既知のネットワーク(会社ネットワーク)」以外からのアクセスに対して位置情報を要求するポリシーが設定されている典型例です。管理者に報告し、場所条件の見直しを依頼してください。
Q3. 管理者に問い合わせても「設定は変更していない」と言われました。
Azure ADの標準のセキュリティ既定値群や、多要素認証の登録時に位置情報を要求する機能が自動的に有効になっている場合があります。管理者に、条件付きアクセスの「既定のポリシー」や「セキュリティの既定値群」を確認してもらってください。
6. まとめ
Microsoft Authenticatorで位置情報を求められる原因は、多くの場合会社の条件付きアクセスポリシーやコンプライアンスポリシーにあります。ユーザーはまず端末の位置情報設定を確認し、それでも解決しない場合は管理者に状況を正確に伝えましょう。管理者は、ポリシーの場所条件やIntuneの設定を見直すことで、不要な位置情報要求を排除できます。セキュリティと利便性のバランスを考慮し、適切なポリシー設計を心がけてください。この記事が、スムーズなサインイン環境の実現に役立てば幸いです。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Teams】会議の「参加者リスト」を出席後にダウンロードする!誰が参加したか確認する手順