Microsoft Entra ID(旧Azure Active Directory)が会社のポリシーによってブロックされると、OutlookやTeamsなどのMicrosoft 365サービスにサインインできなくなります。業務に支障が出る前に、適切な原因特定と対処が必要です。本記事では、ブロックの原因を段階的に切り分けるための確認ポイントを解説します。端末側の設定から管理者側のポリシーまで、現場で実践できる手順を具体的に紹介します。
【要点】この記事で確認すること
- 最初に見る場所: サインインログ(https://mysignins.microsoft.com)とエラーメッセージに表示されるコードです。
- 切り分けの軸: 端末側(ブラウザ、デバイスコンプライアンス、ネットワーク)、アカウント側(ライセンス、MFA、パスワード状態)、管理者設定側(条件付きアクセスポリシー、セキュリティグループ)の3つで原因を特定します。
- 注意点: 会社PCのレジストリやグループポリシーを自分で変更することは厳禁です。必ず管理者に確認してから対処してください。
ADVERTISEMENT
目次
1. Microsoft Entra IDがブロックされる主な原因
会社ポリシーによるブロックは、多くの場合「条件付きアクセス(CA)ポリシー」が原因です。管理者が設定したポリシーが特定の条件(デバイスの状態、サインインリスク、場所など)に合致しない場合、アクセスが拒否されます。他にも、デバイスがIntuneに未登録、多要素認証(MFA)の未設定、パスワード期限切れ、ライセンス無効などがブロックのきっかけになります。原因を正しく特定するには、エラーメッセージとサインインログの読み取りが不可欠です。
条件付きアクセスポリシーによるブロック
最も多いパターンです。管理者が「すべてのユーザーにMFAを要求」「準拠デバイスからのみアクセス許可」などのポリシーを設定している場合、条件を満たさないデバイスやアカウントはサインインできません。具体的なエラーコードとしてはAADSTS50057やAADSTS53003が代表的です。
デバイスコンプライアンス不適合
会社のPCがIntuneなどのMDM(モバイルデバイス管理)に登録されていない、またはセキュリティポリシー(パスワード長、暗号化など)に違反している場合もブロックされます。エラーコードAADSTS50128が表示されることが多いです。
リスクベースの条件付きアクセス
Entra ID Identity Protectionが不審なサインイン(未知の場所、異常な行動)を検出した場合、リスクベースのポリシーが適用されます。ユーザーはMFAによる自己回復が求められますが、ポリシーによっては完全にブロックされることもあります。
2. 初期確認:エラーメッセージとサインインログの見方
ブロックされたら、まずエラーメッセージに表示される「AADSTS」で始まるコードをメモします。次に、サインインログにアクセスして詳細を確認します。以下の手順で進めてください。
- 別の端末(スマートフォンなど)から https://mysignins.microsoft.com にアクセスします。
- ブロックされたアカウントでサインインします(アクセスできるか試してください)。
- 左側のメニューから「サインインログ」をクリックします。
- 日付をブロックが発生した時間帯に絞り込み、ステータスが「失敗」のエントリを探します。
- 該当行をクリックして詳細を開き、「エラーコード」「条件付きアクセス」タブで適用されたポリシーやリスク情報を確認します。
- エラーコード、日時、適用ポリシー名、リスクレベルをスクリーンショットに保存します。
エラーメッセージとエラーコードの例
| エラーコード | 原因 | 確認ポイント | 対処の方向性 |
|---|---|---|---|
| AADSTS50057 | 条件付きアクセスポリシーによるブロック | サインインログの「条件付きアクセス」タブ | 管理者にポリシーの緩和または例外追加を依頼 |
| AADSTS50128 | デバイスコンプライアンス不適合 | Intune or 会社のデバイス管理ポータル | デバイスをコンプライアンス状態にする(パスワード更新、暗号化有効化など) |
| AADSTS53003 | リスクベースの条件付きアクセス | サインインログの「リスク」タブ | MFA認証による自己回復、または管理者によるリスクの dismiss |
| AADSTS50076 | MFA未完了 | アカウントのセキュリティ情報設定 | MFA登録を完了する |
3. 端末側の確認ポイント
端末の状態が原因でブロックされている場合があります。以下の点を確認してください。
ブラウザのクッキーとキャッシュ
古い認証情報がキャッシュされていると、新しいポリシーが正しく適用されないことがあります。ブラウザのクッキーとキャッシュをクリアしてから再試行してください。具体的には、Microsoft Edgeの場合「設定」→「プライバシー、検索、サービス」→「閲覧データをクリア」で「Cookieとその他のサイトデータ」「キャッシュされた画像とファイル」を選択してクリアします。
デバイスの登録状態
会社のPCは通常、Entra IDに「Azure AD登録」または「ハイブリッドAzure AD参加」として登録されています。設定アプリの「アカウント」→「職場または学校にアクセスする」で確認できます。「接続済み」と表示されていること、および最後の同期日時が最新であることを確認します。登録が切れている場合は、管理者に再登録を依頼してください。
ネットワークの制限
会社のネットワークが特定のIPアドレス範囲からのみアクセスを許可している場合、自宅や外部ネットワークからはブロックされます。VPNに接続しているか、または会社ネットワークに接続してから再試行してください。サインインログの「場所」情報でIPアドレスが会社の許可範囲外になっていないか確認できます。
ADVERTISEMENT
4. アカウント側の確認ポイント
アカウント自体の設定に問題があるとブロックされることがあります。以下の項目を確認し、必要であれば管理者に連絡します。
ライセンスの有効性
Microsoft 365のライセンスが無効になっている、または期限切れの場合、サインイン自体はできてもサービスへのアクセスがブロックされることがあります。管理者にライセンス状態を問い合わせてください。自分で確認したい場合は、Outlook on the webにアクセスしてみて、ライセンス不足のエラーが出るかどうかも判断材料になります。
多要素認証(MFA)の設定
ポリシーでMFAが必須になっているのに未登録の場合、サインイン後にMFA登録画面に誘導されますが、ポリシーによってはその画面自体がブロックされてしまうことがあります。管理者に一時的にポリシーを緩和してもらい、MFAを設定する必要があります。MFAの登録はhttps://aka.ms/mfasetupから可能ですが、ブロック中はアクセスできないため、まずは管理者に対応を依頼してください。
パスワード期限切れ
パスワードの期限が切れていると、サインイン後にパスワード変更が強制されますが、その変更プロセス中にブロックされる場合もあります。特に条件付きアクセスで「すべてのアプリにMFAを要求」などがあると、パスワード変更画面がブロックされるケースがあります。この場合も管理者による一時的なポリシー除外が必要です。
5. 管理者側の設定確認と連絡方法
上記の確認で解決しない場合、管理者側の条件付きアクセスポリシーやセキュリティグループの設定が原因です。以下の情報を整理して管理者に連絡しましょう。
管理者に伝えるべき情報
- エラーコード(AADSTSで始まるコード)
- 発生日時(タイムゾーンを含む)
- 使用していた端末名、OSバージョン
- サインインログの詳細(JSON形式でもよい)
- 発生しているMicrosoft 365サービス(Outlook、Teamsなど)
- エラー画面のスクリーンショット
管理者に確認してもらう設定
管理者は条件付きアクセスポリシーの「対象ユーザー」「条件」「アクセス制御」を見直します。特に「すべてのユーザー」が対象になっているポリシーや、「すべてのクラウドアプリ」を対象にしたポリシーがブロックの原因になりやすいです。また、セキュリティグループでユーザーが除外されているかどうかも確認ポイントです。ユーザー自身ではこれらの設定を変更できないため、管理者に状況を正確に伝えることが重要です。
6. よくある質問(FAQ)と失敗パターン
よくある質問
- Q: エラーコードAADSTS50057が出ました。どうすればいいですか?
A: 条件付きアクセスでブロックされています。サインインログを確認し、エラーコードと発生時刻を管理者に伝えてください。 - Q: サインインログにアクセスできません。
A: 別の端末やブラウザで試すか、ITヘルプデスクに報告してください。どうしてもアクセスできない場合は、管理者に直接エラーコードを伝えてください。 - Q: ブロックが解除されない場合、さらに何を確認すべきですか?
A: デバイスがIntuneに登録されているか、パスワードが期限切れでないか、MFAが有効かを確認します。それでも解決しない場合は、管理者にサインインログの詳細を共有してポリシーの調整を依頼してください。
失敗パターン
よくある間違いとして、ブラウザのキャッシュクリアだけで解決しようとする行為があります。ポリシーが原因の場合は効果がありません。また、自分でレジストリを変更してシステムを不安定にするケースもあるため、会社PCでは絶対に避けてください。さらに、間違ったアカウントでサインインログを確認すると、別のユーザーのログを見てしまう可能性があるので注意が必要です。
7. まとめ
Microsoft Entra IDのブロックは、条件付きアクセスポリシーが原因であることが大半です。最初にサインインログでエラーコードを確認し、端末側・アカウント側・管理者側の順に原因を切り分けてください。自分で解決できない場合は、正確なエラー情報を管理者に伝えることでスムーズな対応が期待できます。日頃からデバイスをコンプライアンス状態に保ち、MFAを設定しておくことでブロックのリスクを減らせます。本記事の手順を参考に、迅速に問題を解決してください。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【Outlook】宛先が「オートコンプリート」に出ない・間違っている時の修正手順|履歴の削除と再構築
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する