Microsoft Authenticatorでパスキーを設定したものの、会社アカウントにサインインできずに困っていませんか。パスキーはパスワードより安全で便利な認証方式ですが、ブラウザーや端末の登録状況によって正しく動作しない場合があります。特に会社の管理下にあるPCやスマートフォンでは、ポリシーの影響でパスキーが使えないこともあります。この記事では、パスキーで会社アカウントに入れない原因をブラウザーと端末登録の観点から切り分け、具体的な対応手順を説明します。
【要点】この記事で確認すること
- 最初に見る場所: パスキーが保存されているブラウザーまたは端末(スマートフォン)の設定画面と、Microsoft Authenticatorアプリの登録状況。
- 切り分けの軸: ブラウザー側のパスキー保存が正しいか、端末自体が会社のデバイス登録(Intuneなど)に含まれているか、の2軸で原因を分類する。
- 注意点: 会社のポリシーでパスキーが禁止されている場合や、条件付きアクセスで特定のブラウザーしか許可されていないケースがあるため、自己判断で設定を変更せずに管理者に確認する。
ADVERTISEMENT
目次
パスキー認証の仕組みとトラブルの主な原因
パスキーは、公開鍵暗号方式を用いてパスワードなしでサインインできる認証方式です。ユーザーのデバイス(スマートフォンやPC)に秘密鍵が保存され、Webサイトやアプリは公開鍵を使って検証します。Microsoft Authenticatorでは、会社アカウント用のパスキーを端末内のセキュアな領域に保存します。このパスキーは、ブラウザー経由でアクセスする場合と、Authenticatorアプリ経由で直接アクセスする場合とで保存場所が異なるため、トラブルの原因が分かれます。
パスキーが端末に紐づく理由
パスキーは基本的に作成した端末に紐づきます。たとえば、会社のPCでMicrosoft Edgeを使ってパスキーを作成した場合、そのパスキーはEdgeのパスワードマネージャーに保存されます。一方、スマートフォンのMicrosoft Authenticatorアプリでパスキーを作成した場合は、そのスマートフォン内のセキュアエンクレーブに保存されます。パスキーはクラウドに保存されるわけではないため、異なる端末やブラウザーからは利用できません。
会社アカウントにおけるポリシー制限
会社のMicrosoft 365環境では、管理者が条件付きアクセス(Conditional Access)ポリシーを設定していることがあります。たとえば、「特定のブラウザー(Edge)のみパスキーを許可」「デバイスがIntuneに登録されていること」などの条件が課されている場合、パスキーが正しく保存されていても認証が拒否されることがあります。また、組織によってはパスキーそのものを無効にしているケースもあります。
ブラウザーの設定を確認する手順
まずは、パスキーを使用しようとしているブラウザーが正しく設定されているかを確認します。以下の手順はMicrosoft EdgeとGoogle Chromeを例に説明します。
ブラウザーごとのパスキー保存場所
Microsoft Edgeではパスキーは「設定」→「プロファイル」→「パスワード」→「パスキー」に表示されます。Google Chromeでは「設定」→「自動入力とパスワード」→「Googleパスワードマネージャー」→「パスキー」で確認できます。ただし、Chromeでパスキーを保存するには、同期が有効でGoogleアカウントにログインしている必要があります。会社のPCでは同期が制限されている場合があるため注意しましょう。
- Microsoft Edgeを起動し、右上の「…」メニューから「設定」をクリックします。
- 左メニューから「プロファイル」を選択し、「パスワード」をクリックします。
- 「パスキー」のセクションに、会社アカウント(user@company.com)が表示されていることを確認します。表示されていない場合はパスキーが作成されていません。
- 表示されている場合は、そのパスキーをクリックして詳細を確認します。「このデバイス上」と表示されていれば、そのPC内に保存されています。
- もし「クラウドに保存」と表示されている場合は、別のデバイスとの同期が有効になっている可能性があります。会社のポリシーでクラウド同期が禁止されている場合、このパスキーは使えないことがあります。
Chromeの場合は、アドレスバーに「chrome://settings/passkeys」と入力して直接パスキー一覧を開くこともできます。一覧に目的のアカウントがない場合は、パスキーを作成し直す必要があります。
端末登録状況を確認する手順
パスキーがブラウザーに正しく保存されていても、端末自体が会社のデバイス管理に登録されていないと認証に失敗することがあります。特に、条件付きアクセスで「デバイス準拠」が必要な場合、パスキーを使う前に端末の登録状態がチェックされます。
Microsoft Authenticatorアプリでの確認
スマートフォンのMicrosoft Authenticatorアプリを開き、右上のアカウントアイコン(人型)をタップすると、登録済みのアカウント一覧が表示されます。会社アカウントの横に「デバイス登録済み」や「仕事用アカウント」といった表示があれば、そのスマートフォンは会社の管理下にあります。もし表示がない場合は、アプリ内で「デバイスの登録」を追加する必要があります。
myaccount.microsoft.comでの確認
Webブラウザーで「https://myaccount.microsoft.com」にアクセスし、会社アカウントでサインインします。左メニューの「セキュリティ情報」をクリックし、「パスキー」の項目があれば、その一覧に現在使用している端末が表示されているか確認します。もし端末名が異なる、または表示されない場合は、パスキーが別の端末で作成された可能性があります。
ADVERTISEMENT
比較表: ブラウザーと端末の登録パターン
以下の表は、パスキーでログインできない状況をパターン別にまとめたものです。自分の状況に当てはめて原因を推定しましょう。
| 状況 | 考えられる原因 | 確認ポイント | 対策 |
|---|---|---|---|
| ブラウザーにパスキーが表示されない | パスキーを作成していない、または別のブラウザーで作成した | Edge/Chromeのパスキー設定画面を開く | そのブラウザーでパスキーを新規作成する |
| パスキーはあるが認証中にエラーになる | 端末が会社の準拠ポリシーを満たしていない | Authenticatorアプリのデバイス登録状態、Intuneの準拠状況 | 管理者に問い合わせてデバイス登録を完了する |
| 「このブラウザーではサポートされていません」と出る | ブラウザーがパスキーに対応していない、またはポリシーで制限されている | ブラウザーのバージョン、Edge/Chromeの最新版確認 | EdgeまたはChromeの最新版に更新する。それでもダメなら別のブラウザーを試す |
| スマートフォンでパスキーが使えない | スマートフォンにパスキーが登録されていない、またはOSが非対応 | Authenticatorアプリのパスキー一覧、iOS/Androidのバージョン | Authenticatorアプリ内でパスキーを作成する。OSを最新にする |
よくある失敗パターンと対処法
間違ったブラウザーで認証しようとしている
多くのユーザーは、普段使っているブラウザーでパスキーを作成します。しかし、会社のポリシーによっては特定のブラウザー(例:Microsoft Edge)しか許可されていない場合があります。Chromeでパスキーを作成したのに、Edgeでサインインしようとして失敗するのは典型的なパターンです。この場合は、Edgeで新しくパスキーを作成するか、会社の許可されたブラウザーを使う必要があります。
端末が会社ポリシーでブロックされている
パスキーそのものは正常でも、端末がIntuneやモバイルデバイス管理(MDM)に登録されていないために認証が拒否されることがあります。特に、新しく購入したスマートフォンや、会社の管理外で使っている個人端末で発生しやすいです。この場合、管理者にデバイス登録の手順を確認し、ポリシーに準拠させてから再度パスキーを試してください。
管理者に確認すべきポイント
Conditional Accessポリシー
管理者は、条件付きアクセスポリシーでパスキーの使用を制御できます。たとえば、「すべてのユーザーに対してパスキーを許可しない」「特定のアプリのみ許可」といった設定が可能です。また、デバイスのプラットフォーム(Windows、iOS、Android)ごとに制限をかけることもできます。トラブルが続く場合は、管理者にポリシーの内容を確認してもらいましょう。
パスキー許可設定
Azure AD(Entra ID)の認証方法ポリシーで、パスキーが有効になっているかどうかを確認する必要があります。管理者は、Microsoft Entra管理センターの「保護」→「認証方法」→「パスキー(FIDO2)」から設定を変更できます。もしパスキーが無効になっている場合は、有効にしてもらう必要があります。
よくある質問
Q: パスキーを削除して作り直すのは安全ですか?
A: はい、安全です。古いパスキーは無効になり、新しいパスキーが作成されます。ただし、会社のポリシーによっては連続作成が制限される場合があるので注意してください。
Q: スマートフォンとPCの両方にパスキーを登録できますか?
A: 可能です。それぞれの端末で個別にパスキーを作成できます。ただし、端末ごとに会社のデバイス登録が必要な場合があります。
Q: パスキーを使うときにPINや指紋を求められるのはなぜですか?
A: パスキーはデバイスのセキュリティ機能(Windows HelloやTouch ID)と連動しているため、端末のロックを解除するための認証が必要です。これは安全のためです。
Q: 会社のPCで個人のMicrosoftアカウントを使ってパスキーを作成してもよいですか?
A: 会社のポリシーに違反する可能性があります。仕事用のアカウントだけを使ってパスキーを作成することをおすすめします。
まとめ
パスキーで会社アカウントに入れない場合、まずは使用しているブラウザーにパスキーが正しく保存されているかを確認しましょう。次に、端末が会社のデバイス管理に登録されているか、Authenticatorアプリやmyaccount.microsoft.comで確認します。それでも解決しない場合は、条件付きアクセスポリシーやパスキー自体の許可設定が原因である可能性が高いため、管理者に問い合わせてください。パスキーは便利な認証方式ですが、会社のIT環境では制約があることを理解しておくことが重要です。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】宛先が「オートコンプリート」に出ない・間違っている時の修正手順|履歴の削除と再構築