会社のMicrosoft 365アカウントで多要素認証(MFA)の設定を進めようとしたところ、「本人確認方法を追加できません」というエラーが表示されたり、追加ボタン自体がグレーアウトしている経験はありませんか。この問題は、ほとんどの場合、テナント全体の認証方法ポリシーやアカウントに設定された制限が原因です。特に管理者側で利用できる認証方法が限定されているケースが多く、ユーザー自身の操作だけでは解決できないこともあります。本記事では、原因を特定するための切り分け方と、管理者に依頼すべきポリシー見直しのポイントを解説します。
【要点】この記事で確認すること
- 最初に見る場所: アカウントのセキュリティ情報ページ(https://mysignins.microsoft.com/security-info)で実際にどの認証方法が登録可能か確認する。
- 切り分けの軸: ユーザー側の問題(ブラウザキャッシュ、既存の登録数上限)か、管理者側のポリシー(認証方法の許可/禁止、テナント全体のMFA設定)かを区別する。
- 注意点: 会社のセキュリティポリシーを勝手に変更することはできません。管理者に連絡する際は、具体的なエラーメッセージや希望する認証方法を伝えるとスムーズです。
ADVERTISEMENT
目次
1. 本人確認方法を追加できない主な原因
本人確認方法(電話番号、Authenticatorアプリ、メール、セキュリティキーなど)を追加できない原因は、大きく分けて3つあります。それぞれについて詳しく見ていきます。
ポリシーによる制限
最も多い原因が、管理者が設定した認証方法ポリシーです。Azure Active Directory(Azure AD)では、テナント全体で利用できる認証方法を細かく制御できます。例えば「Microsoft Authenticatorアプリのみ許可」「電話とSMSは禁止」といった設定がされていると、ユーザー側で追加しようとしてもエラーになります。具体的には「この認証方法は組織によって許可されていません」というメッセージが表示されることがあります。また、最近のアップデートで認証方法ポリシーの管理画面が変更されているため、古い設定が残っているケースも考えられます。
既存の確認方法の上限
Microsoft 365では、1アカウントあたりに登録できる本人確認方法の数に上限があります。既定では5つまでですが、管理者が変更することも可能です。既に5つの方法(電話番号2つ、Authenticatorアプリ、メール、セキュリティ質問など)を登録している場合は、新しい方法を追加しようとすると「追加できません」と表示されます。この場合、不要な確認方法を削除してから再度追加を試みてください。
ブラウザやアプリの一時的な不具合
まれに、使用しているブラウザのキャッシュやCookie、拡張機能が原因で追加操作がブロックされることがあります。また、Outlook MobileやTeamsアプリなどから直接追加しようとした場合、アプリのバグで正常に動作しないこともあります。まずはブラウザ版のセキュリティ情報ページ(https://mysignins.microsoft.com/security-info)から試すことをおすすめします。
2. 管理者に確認すべき認証方法ポリシー
自分で解決できない場合は、管理者に以下のポリシー設定を確認してもらいましょう。管理者はAzure AD管理センターまたはMicrosoft 365管理センターから設定を変更できます。
利用可能な認証方法の設定
「認証方法」ポリシーでは、ユーザーがセキュリティ情報に追加できる方法を個別に許可または禁止できます。具体的には、Microsoft Authenticator、電話(SMS/音声通話)、メール(ワンタイムパスワード)、セキュリティキー(FIDO2)、ソフトウェアトークンなどがあります。管理者が希望する方法を許可しているかを確認してください。特に、電話番号を追加したいのに「電話」がオフになっているケースがよくあります。
セキュリティ情報の登録数を制限するポリシー
テナント全体の設定として、ユーザーごとに登録できる認証方法の最大数を制限できます。既定は5ですが、管理者が「1」に設定している場合、既に1つ登録済みだと新たな追加はできません。この制限を緩和するか、不要な方法を削除する対応が必要です。管理者は「ユーザーはセキュリティ情報を追加できる」という設定も確認しましょう。
テナント全体のMFAの状態
テナント全体のMFAが「有効」になっていない場合、そもそも本人確認方法の追加が制限されることがあります。特に、条件付きアクセスポリシーでMFAが要求される環境では、事前に認証方法を登録しておく必要があります。管理者は「Azure AD > 管理 > セキュリティ > MFA」の設定や、条件付きアクセスポリシーを確認してください。
3. 自分でできるトラブルシューティング手順
管理者に連絡する前に、以下の手順を試してみてください。これらはユーザー自身で安全に行える範囲です。
- ブラウザのキャッシュとCookieをクリアする: ChromeやEdgeの設定から「閲覧履歴データの削除」を実行し、キャッシュとCookieを削除します。
- プライベートブラウジングモードで試す: シークレットウィンドウ(Chrome)またはInPrivateウィンドウ(Edge)を開き、再度セキュリティ情報ページにアクセスします。
- 別のブラウザを利用する: Edge、Chrome、Firefoxなど、別のブラウザで同じ操作を試します。特にMicrosoftのサービスではEdgeが推奨されます。
- 別の端末から試す: 会社のPCだけでなく、スマートフォンやタブレットのブラウザからもアクセスしてみてください。
- 既存の確認方法を整理する: アカウントに不要な本人確認方法(古い電話番号など)があれば削除してから、新規追加を試みます。削除はセキュリティ情報ページで行えます。
- ブラウザ拡張機能を一時的に無効化する: 広告ブロッカーやセキュリティ拡張が干渉している場合があります。拡張機能を無効にして再試行してください。
4. 認証方法ポリシーの確認と変更(管理者向け)
管理者が自らポリシーを確認・変更する手順を説明します。ユーザーはこの手順を参照して管理者に依頼する際の参考にしてください。
Azure AD管理センターでの確認手順
- Azure AD管理センター(https://aad.portal.azure.com)に管理者アカウントでサインインします。
- 左メニューから「セキュリティ」を選択し、「認証方法」をクリックします。
- 「認証方法ポリシー」タブで、各認証方法(Microsoft Authenticator、SMS、音声通話、メール、セキュリティキーなど)が「有効」または「ユーザーが登録可能」になっているか確認します。
- 必要に応じて、各方法の「ターゲット」を「すべてのユーザー」または特定のグループに設定します。
- 「セキュリティ情報の登録」ポリシーで、ユーザーごとの最大登録数が適切に設定されているか確認します(既定は5)。
- 変更を保存した後、ユーザー側で再度追加を試してもらいます。反映までに数分かかる場合があります。
変更時の注意点
認証方法ポリシーを変更する際は、組織のセキュリティ要件とバランスを取る必要があります。例えば、電話番号によるSMS認証は便利ですが、SIMスワップ攻撃のリスクがあります。管理者はセキュリティとユーザビリティを考慮して設定してください。また、変更後は影響を受けるユーザーに周知することをおすすめします。
5. 状況別の比較表
| 状況 | 考えられる原因 | 対処方法 | 管理者の対応が必要か |
|---|---|---|---|
| 「この認証方法は許可されていません」と表示される | ポリシーで認証方法が無効化されている | 管理者に該当方法を有効にしてもらう | はい |
| 追加ボタンがグレーアウトして押せない | 既存の登録数が上限に達している | 不要な方法を削除するか、管理者に上限を引き上げてもらう | 削除はユーザー可、上限変更は管理者 |
| 電話番号を追加しようとするとエラー(電話番号が不正) | 電話番号の形式が正しくない、またはSMSが届かない | 国際番号形式(+81など)で入力し直す。キャリアの受信制限を確認 | いいえ(ユーザー側の問題) |
| AuthenticatorアプリのQRコードが表示されない | ブラウザのポップアップブロック、またはアプリのバージョンが古い | ポップアップを許可する、Authenticatorアプリを最新に更新 | いいえ(ユーザー側の問題) |
6. よくある質問
Q1. 管理者でないと認証方法ポリシーは変更できませんか?
はい、認証方法ポリシーの変更は、Azure ADの全体管理者または認証管理者の権限を持つユーザーに限定されます。一般ユーザーはポリシーを直接変更できません。問題が発生した場合は、IT部門や管理者に連絡してください。
Q2. 管理者に何を伝えればスムーズに解決できますか?
以下の情報を伝えると、原因特定が早まります。(1) 表示されている正確なエラーメッセージ(スクリーンショットがあるとベスト)、(2) 追加しようとした認証方法の種類、(3) 現在登録済みの確認方法の数、(4) 使用しているデバイスとブラウザ。
Q3. SMSが届かない場合、何が考えられますか?
電話番号が正しいか(+国番号を含む)、携帯キャリアでSMS受信がブロックされていないか、またはテナント側でSMS認証が許可されているかを確認してください。また、一時的な通信エラーの可能性もあるため、時間を置いて再試行してください。
Q4. セキュリティ情報の上限数はどこで確認できますか?
ユーザー自身では上限数を確認できません。管理者がAzure AD管理センターの「認証方法ポリシー」→「セキュリティ情報の登録」で設定している最大数を確認する必要があります。ユーザーは現在の登録数をセキュリティ情報ページで数えてください。
7. まとめ
本人確認方法を追加できない問題のほとんどは、認証方法ポリシーによる制限か、登録数の上限が原因です。ユーザー自身でできる対処として、ブラウザのリセットや不要な確認方法の削除がありますが、根本的には管理者によるポリシー変更が必要なケースが多いです。管理者はAzure AD管理センターで認証方法の許可設定と最大登録数を確認し、組織のセキュリティレベルを維持しながら必要な方法を追加できるように調整してください。問題が解決しない場合は、Microsoftのサポートドキュメントやヘルプデスクに問い合わせることを検討しましょう。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Teams】会議の「参加者リスト」を出席後にダウンロードする!誰が参加したか確認する手順