【Microsoft 365】管理者が一時アクセスパスを発行する前に確認したい利用条件

Microsoft 365の管理者が一時アクセスパス(TAP)を発行する際には、事前にいくつかの利用条件を確認しておく必要があります。一時アクセスパスはパスワードレス認証への移行や緊急時のアクセス手段として便利ですが、適切に設定しないとセキュリティリスクやトラブルの原因になります。この記事では、管理者が一時アクセスパスを発行する前に確認すべき条件や注意点を詳しく説明します。会社のIT環境で一時アクセスパスを安全に運用するための手順や失敗例も紹介しますので、ぜひ参考にしてください。

一時アクセスパスとは何か、なぜ利用条件を確認する必要があるのか

一時アクセスパス(TAP)は、Microsoft 365のパスワードレス認証の一種であり、時間制限のあるパスコードをユーザーに発行して、サインインを許可する機能です。管理者が発行した一時アクセスパスは、ユーザーが初回サインインやパスワードリセット後などに使用します。しかし、一時アクセスパスを利用するには、テナント全体または特定のユーザーに対して適切なポリシーが設定されている必要があります。ポリシーの設定が不十分だと、一時アクセスパスが発行できなかったり、発行してもユーザーがサインインできなかったりする問題が発生します。そのため、管理者は事前に利用条件を確認し、正しく設定しておくことが重要です。

一時アクセスパスの利用条件に関する3つの主要な設定項目

一時アクセスパスを発行する前に、以下の3つの設定項目を必ず確認してください。これらが適切に設定されていないと、一時アクセスパスは正しく機能しません。

1. 一時アクセスパスポリシーが有効になっているか

まず、一時アクセスパスの機能自体がテナントで有効になっている必要があります。Microsoft Entra管理センターの「認証方法」ポリシーから「一時アクセスパス」を選択し、ポリシーが「有効」になっていることを確認します。ポリシーが無効の場合は、管理者が有効にする必要があります。

2. ユーザーに対して一時アクセスパスが許可されているか

ポリシーが有効でも、対象ユーザーがポリシーの対象範囲に含まれていないと一時アクセスパスは使用できません。ポリシーの「対象」タブで、ユーザーまたはグループが含まれていることを確認します。特定のユーザーだけに許可する場合は、明示的に追加する必要があります。

3. 一時アクセスパスの使用期限と最大使用回数が適切か

一時アクセスパスには、有効期限と最大使用回数の設定があります。例えば、有効期限を短く設定しすぎると、ユーザーが期限内にサインインできない場合があります。また、最大使用回数を1回に設定すると、サインインに成功した後に再度使用できなくなります。管理者は、使用目的に応じて適切な値を設定してください。

一時アクセスパスの発行手順と確認ポイント

実際に一時アクセスパスを発行する手順は以下の通りです。各手順で確認すべきポイントも併せて説明します。

1. Microsoft Entra管理センター(entra.microsoft.com)に管理者アカウントでサインインします。
2. 「ユーザー」→「すべてのユーザー」から該当ユーザーを選択します。
3. ユーザーのプロフィールページで「認証方法」をクリックし、「一時アクセスパス」タブを選択します。
4. 「一時アクセスパスの追加」をクリックし、有効期限と最大使用回数を設定します。例えば、初回サインイン用なら有効期限を30分、最大使用回数を1回に設定します。
5. 「追加」をクリックして一時アクセスパスを生成します。表示されたパスコードを安全な方法でユーザーに伝えます。
6. 生成後、ユーザーが一時アクセスパスを使用してサインインできるか確認します。サインインに失敗する場合は、ポリシー設定やユーザーの認証方法を再確認します。

特に、手順3で「一時アクセスパス」タブが表示されない場合、ポリシーが正しく設定されていない可能性があります。また、手順4で設定する有効期限は、ユーザーがすぐにサインインできる状況かどうかを考慮して決めてください。

一時アクセスパス発行時に起こりがちな失敗パターンと原因

管理者が一時アクセスパスを発行しても、ユーザーがサインインできないケースは少なくありません。代表的な失敗パターンとその原因を以下にまとめます。

失敗パターン	原因
一時アクセスパスの追加ボタンがグレーアウトしている	ポリシーが無効、またはユーザーがポリシーの対象外になっている
発行した一時アクセスパスでサインインできない	有効期限切れ、最大使用回数超過、またはユーザーが別の認証方法を既に登録している
一時アクセスパスが発行できない(エラーが表示される)	テナントライセンスが不足している(Azure AD Premium P2などが必要な場合)

また、ユーザーが既にパスワードレス認証(Microsoft Authenticatorアプリ、FIDO2セキュリティキーなど)を登録している場合、一時アクセスパスは使用できません。一時アクセスパスは、パスワードレス認証を登録するための一時的な手段として設計されているため、既に登録済みのユーザーには発行できません。この場合は、ユーザーの認証方法をリセットするか、別の手段でサインインさせる必要があります。

管理者が一時アクセスパスを発行する前に確認すべき5つのチェックリスト

一時アクセスパスを安全に運用するためには、発行前に以下の5つの項目をチェックしてください。これらの項目を確認することで、トラブルを未然に防ぐことができます。

1. テナントで一時アクセスパスポリシーが有効になっているか。
2. 対象ユーザーがポリシーの範囲に含まれているか(または除外されていないか)。
3. ユーザーが他のパスワードレス認証方法を既に登録していないか(登録済みの場合は一時アクセスパスが発行できない)。
4. 一時アクセスパスの有効期限と最大使用回数が使用目的に合っているか(例: 初回サインインなら1回/30分、長期間のアクセスが必要なら24時間/複数回など)。
5. 一時アクセスパスを伝える方法が安全か(メールの暗号化、直接口頭での伝達、セキュアなメッセージングツールなど)。

特に、チェックリスト3は見落としがちなポイントです。ユーザーが既にMicrosoft Authenticatorアプリを登録している場合、一時アクセスパスを発行しようとすると「ユーザーは既にパスワードレス認証方法を持っています」というエラーが表示されます。この場合は、ユーザーの認証方法を一時的に削除するか、管理者が認証方法をリセットする必要があります。

一時アクセスパスの利用に関するよくある質問(FAQ)

以下に、管理者からよく寄せられる質問とその回答をまとめました。

Q1: 一時アクセスパスは何回まで発行できますか?
A: ユーザーごとに同時に発行できる一時アクセスパスは1つだけです。新しい一時アクセスパスを発行すると、以前のものは無効になります。

Q2: 一時アクセスパスの有効期限の最大は?
A: 最大で24時間(1440分)まで設定できます。ただし、セキュリティの観点から、必要な最小限の時間に設定することを推奨します。

Q3: 一時アクセスパスはどのサインイン画面で使えますか?
A: Microsoft 365のサインイン画面(portal.office.comなど)で使用できます。ただし、サインイン画面で「その他のサインイン方法」を選択し、「一時アクセスパス」を選ぶ必要があります。

Q4: ゲストユーザーにも一時アクセスパスは使えますか?
A: はい、ゲストユーザーにも一時アクセスパスを発行できます。ただし、ゲストユーザーがテナントに招待されている必要があり、ポリシーでゲストユーザーが有効になっている必要があります。

Q5: 一時アクセスパスを使用した後、ユーザーはどうすればいいですか?
A: ユーザーは一時アクセスパスでサインイン後、すぐにパスワードを設定するか、パスワードレス認証方法(Authenticatorアプリなど)を登録する必要があります。そうしないと、次回サインイン時にアクセスできなくなります。

まとめ

一時アクセスパスは、パスワードレス認証への移行や緊急時のアクセス手段として便利な機能ですが、適切な利用条件の確認と設定が不可欠です。この記事で紹介したチェックリストや失敗パターンを参考に、事前にポリシー設定やユーザーの状態を確認することで、トラブルを回避できます。一時アクセスパスはあくまで一時的な手段であり、使用後は速やかに恒久的な認証方法に移行するようユーザーに指導することも重要です。管理者は定期的にポリシーを見直し、セキュリティを維持しながらスムーズな運用を心がけてください。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。