【SharePoint】承認ワークフローが条件付きアクセスで弾かれる時の端末・場所・認証条件

SharePointの承認ワークフローを利用している際に、「アクセスが拒否されました」や「このリソースにアクセスするには追加の確認が必要です」といったメッセージが表示され、ワークフローが正常に動作しないことがあります。これは多くの場合、Microsoft 365の条件付きアクセス(Conditional Access)ポリシーが原因です。条件付きアクセスはセキュリティ強化のために導入されますが、設定によっては正当なワークフロー処理までブロックしてしまうケースがあるのです。本記事では、端末・場所・認証条件の3つの観点から原因を切り分け、具体的な対処方法を解説します。

なぜ承認ワークフローが条件付きアクセスで弾かれるのか

条件付きアクセスは、クラウドアプリへのアクセス時に「誰が」「どこから」「どんな端末で」「どんなリスクか」を評価し、許可・ブロック・追加認証要求を制御する仕組みです。SharePointを含むOffice 365全体に適用されることが多く、承認ワークフロー(例:Power Automateを使った承認フローやSharePoint Designerワークフロー)がトリガーされる際に、バックグラウンドのサービスアカウントやユーザー代理認証が条件を満たさないとブロックされます。

特に注意したいのは、ワークフローを実行するユーザー自身が直接ログインしているわけではないケースです。例えば、Power AutomateフローがSharePointにアクセスする際、フロー作成者のコンテキストで認証が行われますが、そのセッションが条件付きアクセスのポリシーを満たしていないと失敗します。また、ゲストユーザーや外部共有が絡むワークフローも影響を受けやすいです。

トラブルシューティング手順:端末・場所・認証条件の確認

1. 端末条件の確認

条件付きアクセスで「デバイスは準拠としてマーク済みである必要があります」といったポリシーが設定されている場合、ワークフローを実行する端末(通常はユーザーのPCやモバイルデバイス)がIntuneなどで準拠している必要があります。しかし、ワークフローがサーバーサイドで実行される場合、端末の情報が適切に引き継がれず、非準拠と判定されることがあります。

• まず、エラーが発生したユーザーの端末がIntuneに登録され、準拠状態にあるか確認します。会社PCであれば通常は準拠していますが、個人デバイスやゲストユーザーの端末は対象外です。
• Power Automateフローなどサービスの利用では、フロー実行時の認証トークンに端末情報が含まれない場合があります。この場合は「デバイス条件をスキップ」するポリシー除外が必要です。

2. 場所条件の確認

条件付きアクセスでは「信頼できる場所(企業ネットワークのIPアドレス範囲)」からのアクセスのみ許可するポリシーがよく使われます。外出先や自宅からのアクセスが弾かれるのは典型的なパターンですが、ワークフローがクラウド上のサービス(Azureデータセンターなど)から実行される場合、その送信元IPが企業ネットワーク外とみなされてブロックされます。

• Azure ADのサインインログで、ワークフローのアクセス元IPアドレスを確認します。多くの場合、MicrosoftのデータセンターIPが記録されます。
• 管理者は「すべての信頼できる場所」にMicrosoft Online ServicesのIP範囲を含めるか、特定のクラウドアプリ(SharePoint)に対して場所条件を緩和する必要があります。

3. 認証条件の確認

多要素認証(MFA)やセッションリスク、ユーザーリスクなどもワークフローに影響します。ワークフローが自動実行される場合、MFAの対話的なプロンプトを処理できないため、MFAが必要なポリシーが適用されるとブロックされます。

• ワークフローで使用されるサービスプリンシパルやアプリケーションに対して、MFAをスキップする条件付きアクセス例外を設定します。
• ユーザーリスク(漏洩した資格情報など)が高い場合もブロックされます。Azure AD Identity Protectionでリスクを確認し、必要に応じてユーザーを保護します。

失敗パターンと具体例

実際に多い失敗パターンをいくつか紹介します。

パターン	症状	原因
端末非準拠	「このデバイスは組織のセキュリティポリシーを満たしていません」	ユーザーの端末がIntune未登録、または準拠状態ではない。ワークフロー実行時に端末情報が渡らない場合もある。
場所ブロック	「この場所からのアクセスは許可されていません」	Power Automateのコネクタが企業外IPからアクセスしている。場所条件の適用範囲が広すぎる。
MFA必須	「追加の確認が必要です」のプロンプトが表示されるが、ワークフローでは応答できない。	条件付きアクセスの「多要素認証が必要」ポリシーがワークフローのアプリにも適用されている。
セッションリスク	「サインインがリスクとして検出されました」	ユーザーの過去のサインインにリスクあり。Identity Protectionによりブロック。

管理者が確認すべき条件付きアクセスの設定

トラブルシューティングを行う際、管理者は以下の設定を確認してください。

1. Azure AD管理センター(entra.microsoft.com)にアクセスし、「保護」→「条件付きアクセス」を開きます。
2. すべてのポリシーを確認し、SharePointまたはOffice 365全体に適用されているポリシーを特定します。
3. 該当ポリシーの「割り当て」で「クラウドアプリまたは操作」にSharePointが含まれているか確認します。
4. 「条件」で「デバイス」「場所」「サインインリスク」「ユーザーリスク」がどのように設定されているか確認します。
5. 「アクセス制御」で「許可」の条件を確認します。特に「多要素認証が必要」「デバイスは準拠としてマーク済みである必要があります」などが有効になっている場合、ワークフローへの影響を評価します。
6. 影響を受けるユーザーやアプリケーションに対して、「対象から除外」の設定が可能か検討します。例えば、Power Automateのサービスプリンシパル(Microsoft Flow 管理サービスなど)を除外する方法があります。

例外設定のポイント

完全にポリシーを無効にするのではなく、ワークフローに必要なアクセスだけを許可する例外設定が推奨されます。具体的には、以下のような方法があります。

• 「ユーザーとグループ」の除外にワークフロー用のサービスアカウントを追加する。
• 「場所」の条件で、MicrosoftデータセンターのIP範囲(AzureCloudのタグ)を信頼できる場所として追加する。
• 「クライアントアプリ」の条件で「Exchange ActiveSync」「その他のクライアント」を適切に設定する。ワークフローは多くの場合「ブラウザー」や「モバイルアプリとデスクトップクライアント」のどちらでも動作します。

よくある質問(FAQ)

Q1. 条件付きアクセスのポリシーを変更せずにワークフローを動かす方法はありますか?
A. ユーザー側では基本的に変更できません。管理者に連絡し、例外的な許可を依頼してください。一時的にテストユーザーを除外してもらうことも可能です。

Q2. エラーメッセージに「条件付きアクセスポリシー名」が表示されない場合はどうすればいいですか?
A. Azure ADのサインインログで「条件付きアクセス」タブを確認すると、どのポリシーが適用されたか詳細が表示されます。管理者しか閲覧できないため、スクリーンショットを添付して管理者に共有しましょう。

Q3. Power Automateフローが「アクセス拒否」になる場合の対処は?
A. フロー作成者が条件付きアクセスを満たしているか確認します。フローで使用するコネクタ(SharePointなど)の認証情報を再設定するのも有効です。また、フロー実行履歴からエラーの詳細を取得し、管理者と共有してください。

まとめ

SharePointの承認ワークフローが条件付きアクセスで弾かれる場合、原因は端末の準拠状況、アクセス元の場所、認証条件の3つに大別されます。最初にAzure ADのサインインログとエラーメッセージを確認し、該当する条件を特定することが重要です。ユーザー自身でできる対処は限られていますが、管理者に正確な情報を伝えることで迅速な解決につながります。管理者は条件付きアクセスのポリシーを確認し、ワークフローに必要な例外設定を検討してください。適切な設定により、セキュリティを維持しながら業務フローの停止を防ぐことができます。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。