会社でMicrosoft 365の多要素認証(MFA)を求められたとき、Microsoft Authenticatorのプッシュ通知だけが使えず、SMSや電話、アプリのワンタイムパスワード(OTP)は使える現象に遭遇したことはありませんか。これは多くの場合、組織のポリシー設定が原因であり、自分でアプリを再インストールしても解決しません。本記事では、プッシュ通知が禁止される理由をポリシーレベルから解説し、実際に使える代替方法の登録手順を具体的に紹介します。トラブルを管理者に伝える際のポイントもまとめていますので、原因を切り分けて適切な行動を取れるようになります。
【要点】この記事で確認すること
- 最初に見る場所: Microsoft 365の「セキュリティ情報」ページ(https://mysignins.microsoft.com/security-info)で現在登録されている認証方法を確認します。
- 切り分けの軸: プッシュ通知のみ使えない場合、原因は「組織のポリシー」か「デバイスまたはアプリの設定」に絞られます。SMSや電話が使えるならポリシー制限が濃厚です。
- 注意点: 会社PCやスマートフォンで管理者が設定したポリシーを自身で無効化することはできません。勝手にアプリ設定を変更したり再インストールしても解決せず、管理者への連絡が必要です。
ADVERTISEMENT
目次
1. プッシュ通知だけが使えない原因:組織ポリシーの仕組み
Microsoft 365では、管理者が「認証方法ポリシー」や「Conditional Accessポリシー」を用いて利用可能な認証方法を制御できます。プッシュ通知だけが使えない場合、以下の2種類のポリシーが原因であることがほとんどです。
1-1. 認証方法ポリシー(Authentication Methods Policy)
Azure ADの認証方法ポリシーでは、Microsoft Authenticatorの「プッシュ通知」と「ワンタイムパスワード(OTP)」を個別に有効化・無効化できます。管理者がプッシュ通知のみオフにしている場合、アプリでOTPコードを表示することはできても、プッシュ通知は届きません。この設定はテナント全体またはユーザーグループ単位で適用されます。なお、SMSや電話は別の認証方法として独立しているため、プッシュ通知が無効でも利用できることがあります。
1-2. Conditional Accessポリシーによる制限
Conditional Accessポリシーで「デバイス準拠」や「場所」などの条件を満たさない場合、特定の認証方法がブロックされることがあります。たとえば、未登録のデバイスからのサインインではプッシュ通知を許可しない、などのルールが設定されているケースです。この場合も、SMSやOTPは許可されている可能性があります。ユーザー側からはポリシーの詳細を見ることができないため、エラーメッセージや管理者の確認が必要です。
1-3. レガシー認証とモダン認証の混在
組織が一部のレガシー認証プロトコルをブロックしている場合、Authenticatorアプリが正しく認証要求を受信できないことがあります。ただし、最近の環境ではこのケースはまれであり、むしろ上記2つのポリシーを優先的に調査すべきです。
2. 原因を切り分けるための確認手順
以下の手順を順番に試すことで、問題がポリシーによるものか、それともアプリや端末の設定によるものかを絞り込めます。
- 手順1:他の認証方法を試す
サインイン画面で「別の方法でサインイン」を選び、SMS、電話、またはAuthenticatorのOTPコードが利用できるか確認します。SMSや電話が使えれば、プッシュ通知だけがブロックされていると判断できます。 - 手順2:セキュリティ情報ページを確認
https://mysignins.microsoft.com/security-info にアクセスし、登録済みの認証方法を確認します。「Microsoft Authenticator – 通知」の項目が表示されているか、またそこに「サインインできない」などのメッセージがないかをチェックします。 - 手順3:Authenticatorアプリの設定を確認
スマートフォンのAuthenticatorアプリを開き、アカウントが正しく追加されているか、通知が有効になっているかを確認します。iOSの場合は「設定」→「通知」、Androidの場合は「設定」→「アプリと通知」でMicrosoft Authenticatorの通知がオンになっているか確認します。 - 手順4:アプリのアップデートと再起動
アプリが最新バージョンであることを確認し、スマートフォンを再起動します。まれにアプリの一時的な不具合で通知が届かないことがあります。 - 手順5:会社の管理対象デバイスかどうかを確認
会社から支給されたスマートフォンでモバイルデバイス管理(MDM)が適用されている場合、プッシュ通知をブロックするプロファイルがインストールされている可能性があります。この場合は自分では解決できません。
上記のうち、手順1でSMSや電話が使えた場合、手順5以外の原因はほぼ組織ポリシーに絞られます。管理者に連絡する前に、手順2のセキュリティ情報ページのスクリーンショットを用意しておくとスムーズです。
3. 代替となる認証方法とその登録手順(比較表あり)
プッシュ通知が禁止されている場合、次の表のような代替方法が利用できる可能性があります。管理者が許可している認証方法に応じて、適切なものを選択してください。
| 認証方法 | プッシュ通知禁止時でも使えるか | 登録の難易度 | 推奨度 |
|---|---|---|---|
| Microsoft Authenticator(OTPコード) | ○(管理者がOTPを許可していれば) | 低 | ★★★★★ |
| SMS(テキストメッセージ) | ○ | 低 | ★★★★ |
| 電話(音声通話) | ○ | 低 | ★★★ |
| ハードウェアトークン(OATH-TOTP) | ○(管理者が許可していれば) | 中 | ★★★ |
| FIDO2セキュリティキー | ○ | 中~高 | ★★★★ |
| Windows Hello for Business | ○(PCでサインイン時のみ) | 低(セットアップ済みなら) | ★★★★ |
3-1. Microsoft AuthenticatorのOTPコードを登録する手順
プッシュ通知が使えなくても、Authenticatorアプリのワンタイムパスワード(OTP)は別の認証方法として登録できます。以下の手順で追加してください。
- Webブラウザで https://mysignins.microsoft.com/security-info にアクセスし、サインインします。
- 「サインイン方法の追加」をクリックし、表示された方法一覧から「Microsoft Authenticator」を選択します。
- 「通知を使用する」のチェックを外し、「確認コードを使用する」のみを選択して「追加」をクリックします。(この選択はアプリの設定で後から変更可能です。)
- スマートフォンのAuthenticatorアプリを開き、「+」ボタンから「職場または学校アカウント」を選び、QRコードをスキャンします。
- 画面の指示に従い、アプリに表示されたコードを入力して確認します。これでOTPコードによる認証が利用可能になります。
3-2. SMSや電話を登録する手順
管理者がSMSや電話を許可している場合、セキュリティ情報ページで「電話」または「別の電話」を追加できます。電話番号を入力し、SMSまたは電話で確認コードを受け取る方法を選びます。登録後はサインイン時にその方法を選択できるようになります。ただし、SMSはキャリアの遅延や海外での受信不能リスクがあるため、可能であればOTPコードの利用をお勧めします。
ADVERTISEMENT
4. 管理者に伝えるべき情報と交渉のポイント
プッシュ通知が使えない問題を解決するには、最終的に管理者のポリシー変更が必要になります。その際、以下の情報を伝えるとスムーズです。
失敗パターン1:自分でアプリを再インストールしてしまう
多くのユーザーが最初に試す方法ですが、ポリシーが原因の場合はまったく効果がありません。また、再インストール時に古いアカウント情報が削除され、新たな登録が必要になり余計に手間がかかります。
失敗パターン2:スマートフォンの機種変更後にプッシュ通知が使えなくなった
新しい端末でAuthenticatorをセットアップしても、組織のポリシーがプッシュ通知を許可していなければ使えません。この場合も管理者への連絡が必要です。
4-1. 管理者に伝える具体的な内容
- 「プッシュ通知だけが使えず、SMSとOTPコードは使える」という現象
- 試した手順(セキュリティ情報の確認、アプリの更新など)
- 使用しているデバイスの種類(iPhone/Android)とAuthenticatorアプリのバージョン
- 管理者に確認してほしいポリシー:「認証方法ポリシー」でプッシュ通知が無効になっていないか、Conditional Accessで制限がかかっていないか
4-2. ポリシー変更を依頼する際の注意点
管理者は組織のセキュリティ基準に基づいてポリシーを設定しています。プッシュ通知を有効にしてほしいと依頼する場合は、理由(たとえば「SMSより安全で迅速」「海外出張時にSMSが届かない」)を明確に伝えましょう。また、代替方法としてOTPコードがすでに機能している場合は、当面はそれで運用可能であることを伝えれば、緊急度の調整がしやすくなります。
5. よくある質問(FAQ)
Q1. プッシュ通知だけ禁止されるのはなぜですか?
A. 組織の管理者が認証方法ポリシーで「Microsoft Authenticator プッシュ通知」を無効にしている可能性が高いです。Microsoft AuthenticatorのOTPコードや他の方法は有効のままにしているケースがよくあります。また、Conditional Accessポリシーでデバイスが準拠していない場合もプッシュ通知がブロックされます。
Q2. 自分で認証方法ポリシーを変更できますか?
A. いいえ、一般ユーザーには変更権限がありません。Azure ADの全体管理者または認証管理者のみがポリシーを編集できます。自分でできるのは、許可されている代替方法を登録することだけです。
Q3. スマートフォンを変更したらプッシュ通知が使えなくなりました。どうすればいいですか?
A. まず、新しい端末でAuthenticatorアプリをセットアップし、OTPコードが使えるか確認します。プッシュ通知が使えない場合は、上記の切り分け手順を実施し、問題がポリシーによるものなら管理者に連絡してください。端末変更がトリガーでポリシーが変更されたわけではなく、もともと禁止されていた可能性があります。
Q4. 代替方法としてFIDO2セキュリティキーを登録したいのですが、どうすればいいですか?
A. セキュリティ情報ページで「セキュリティキー」を追加するオプションがある場合のみ可能です。管理者がFIDO2認証方法を有効にしている必要があります。手順は画面の指示に従ってUSBキーやNFCキーを登録します。会社で支給されているキーがあるかどうかも確認してください。
6. まとめ
Microsoft Authenticatorのプッシュ通知だけが使えない現象は、多くの場合組織のポリシーが原因です。ユーザー側でできることは、代替方法(特にアプリのOTPコード)を登録して当面のサインインを確保すること、そして管理者に正確な情報を伝えてポリシー変更を依頼することです。プッシュ通知にこだわらず、SMSや電話、セキュリティキーなど複数の方法を準備しておくと、災害時の可用性も向上します。管理者は認証方法ポリシーとConditional Accessポリシーの両方を確認し、業務に支障がない範囲で柔軟な設定を検討してください。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】宛先が「オートコンプリート」に出ない・間違っている時の修正手順|履歴の削除と再構築