【Windows】会社PCで社内Wi-FiだけMFAが増える時の信頼済みネットワーク判定確認

会社PCを使っていると、社内Wi-Fiに接続したときだけ多要素認証(MFA)の頻度が上がり、自宅やカフェのネットワークではそれほど求められないというケースがあります。この現象は、Windowsがそのネットワークを「信頼済み」と判定しているかどうかに起因していることが多いです。本記事では、信頼済みネットワークの仕組みを理解し、実際の設定を確認する手順、そして管理者への報告に役立つ情報を具体的に解説します。問題の切り分けを自分で行えるようになることで、無駄な再起動やサポート依頼を減らすことができます。

社内Wi-FiだけでMFAが増える原因:信頼済みネットワークの仕組み

MFAは、通常「以前にサインインしたことのあるデバイス」や「信頼済みの場所」からアクセスする場合には、その頻度が減るように設計されています。しかし、社内Wi-FiだけMFAが頻発するということは、そのネットワークが「信頼済み」として正しく認識されていない可能性があります。Windowsでは、接続するネットワークのプロファイル(パブリック/プライベート/ドメイン)と、組織がEntra ID(旧Azure AD)の条件付きアクセスポリシーで設定する「信頼済みネットワーク」の2段階で判定が行われます。

ネットワークプロファイルが「パブリック」に設定されている場合、Windowsはそのネットワークを信頼せず、MFAやサインイン情報のキャッシュを控えめにします。一方「プライベート」や「ドメイン」では信頼度が上がり、MFAの頻度が下がります。また、条件付きアクセスで「信頼済みIP範囲」や「準拠デバイス」が設定されている場合、その範囲内からアクセスするとMFAがスキップされることもあります。社内Wi-FiだけMFAが増えるのは、これらの設定が意図した通りに機能していないか、あるいはまったく設定されていない可能性が高いです。

信頼済みネットワークとは具体的に何か

「信頼済みネットワーク」という用語には2つの意味があります。1つはWindows OSレベルでの「ネットワークプロファイル」、もう1つはEntra IDの条件付きアクセスにおける「信頼済み場所」です。Windowsプロファイルでは「プライベート」=信頼、「パブリック」=非信頼と扱われます。条件付きアクセスでは、管理者が設定したIPアドレス範囲や国・地域を信頼済み場所として登録します。これらの設定がずれることで、同じSSIDのWi-FiでもMFAが頻発することがあります。

信頼済みネットワークの確認手順

自分のPCで現在接続しているWi-Fiのネットワークプロファイルを確認する手順を説明します。会社PCの場合、設定変更に制限があるかもしれませんが、確認だけなら管理者権限がなくても可能な方法もあります。

手順1:設定アプリから確認する

1. スタートメニューから「設定」を開き、「ネットワークとインターネット」をクリックします。
2. 左メニューから「Wi-Fi」を選択し、現在接続中のネットワーク名をクリックします。
3. ネットワークのプロパティが表示されます。「ネットワークプロファイル」の項目で「パブリック(推奨)」または「プライベート」のどちらが選択されているか確認します。
4. この画面で、プロファイルの種類を「プライベート」に変更できる場合がありますが、会社PCでは灰色表示で変更不可のことが多いです。その場合は管理者がポリシーで固定しています。
5. 同じ画面の下部に「プロパティ」の一覧があり、「IP割り当て」や「DNSサーバー割り当て」も確認できます。

手順2:コマンドプロンプトで確認する

設定アプリでプロファイルが表示されない場合や、より詳細な情報を得たい場合は、コマンドプロンプトを使います。

1. タスクバーの検索に「cmd」と入力し、コマンドプロンプトを右クリックして「管理者として実行」を選びます(管理者権限が必要です)。
2. 次のコマンドを入力してEnterキーを押します:netsh wlan show profiles。現在保存されているすべてのWi-Fiプロファイルが一覧表示されます。
3. 社内Wi-Fiのプロファイル名を確認し、次のコマンドで詳細を見ます:netsh wlan show profile name="社内Wi-Fi名" key=clear。表示の中に「接続モード」という項目があり、「手動」または「自動」が表示されます。
4. さらに、netsh wlan show interfaceで現在のインターフェース情報を確認します。その中の「プロファイル」の項目に、現在適用されているプロファイル名が表示されます。
5. また、Get-NetConnectionProfileというPowerShellコマンドレットを使うと、各ネットワークアダプターのネットワークカテゴリ(パブリック/プライベート)を確認できます。PowerShellを管理者として開き、Get-NetConnectionProfile | Select-Object Name, NetworkCategoryを実行します。

手順3:レジストリで確認する(上級者向け)

レジストリエディタを使ってネットワークプロファイルの情報を見ることもできます。ただし、レジストリの変更はシステムに深刻な影響を与えるため、確認のみに留めてください。管理者権限が必要です。レジストリエディタを開き、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profilesに移動します。各GUIDのキーの中に「Category」というDWORD値があり、0はパブリック、1はプライベート、2はドメイン認証済みを意味します。

信頼済みネットワークとMFA要求の関係

MFAの頻度に直接影響するのは、主にEntra IDの条件付きアクセスポリシーです。条件付きアクセスでは、以下のような条件を組み合わせてMFAの要求を制御します。

• 場所条件:管理者が信頼済みIP範囲を設定している場合、その範囲外からのアクセスにはMFAが要求されます。社内Wi-FiのIPアドレスがこの範囲に含まれていれば、MFAがスキップされるはずですが、含まれていないとMFAが増えます。
• デバイス条件:デバイスがEntra IDに登録(Azure AD JoinまたはHybrid Azure AD Join)されており、かつ準拠状態であれば、信頼済みと判定されMFAが軽減されます。会社PCが適切に登録されていないと、社内Wi-FiでもMFAが頻発します。
• リスク条件:サインインリスクやユーザーリスクが高い場合、MFAが要求されます。社内Wi-Fiからのアクセスでもリスクが低いとは限らず、リスクポリシーが働いている可能性があります。

つまり、信頼済みネットワークの判定はOSのプロファイルだけでなく、組織全体の条件付きアクセス設定に依存するのです。そのため、自分でOSのプロファイルをプライベートに変更しても、根本的にMFAが減らないことがあります。

失敗パターンと誤った判断を避けるための確認事項

よくある失敗パターンとして、以下のようなケースがあります。これらを知っておくことで、無駄なトラブルシューティングを避けられます。

失敗パターン1:プロファイルを自分でプライベートに変更してしまった

設定アプリから「プライベート」に変更できる場合がありますが、会社のセキュリティポリシーではパブリックに固定している場合があります。勝手に変更すると、後で監査で問題になったり、セキュリティ設定が無効になったりする恐れがあります。まずはIT管理者に相談するのが安全です。

失敗パターン2:社内Wi-FiのSSIDが複数あるのに、すべて同じ設定と勘違いする

社内には「社員用」「ゲスト用」「IoT用」など複数のSSIDがあり、それぞれネットワーク分離や認証方式が異なることがあります。MFAが増えるのは特定のSSIDだけかもしれません。異なるSSIDに接続してMFAの発生頻度を比較すると、原因の特定に役立ちます。

失敗パターン3:MFAが増えるタイミングが場所ではなく時間帯に関係している

条件付きアクセスでは、サインインリスクが時間によって変動することや、管理者がセッションの有効期限を短く設定している場合があります。そのため、社内Wi-Fiに限らず、一定時間ごとにMFAが要求されるケースもあります。ログを確認してパターンを分析しましょう。

状況別の比較表

状況	予想される原因	確認するポイント	対処の方向性
社内Wi-FiのみMFA頻発、他のWi-Fiでは通常	条件付きアクセスの場所条件で社内IP範囲が信頼済みに設定されていない	管理者に社内Wi-FiのIP範囲が信頼済みリストに含まれているか確認	管理者が条件付きアクセスの場所条件を修正する必要あり
すべてのネットワークでMFAが頻発	Windowsのネットワークプロファイルがすべて「パブリック」になっている	各ネットワークのプロファイルを確認。またはグループポリシーで固定されていないか確認	管理者がポリシーを見直すか、デバイスを再登録
特定の時間帯だけMFAが増える	セッションの有効期限が短い、またはリスクベースのアクセスが働いている	MFAが発生した時刻とサインインログを確認	管理者がセッション設定やリスクポリシーを調整
社内Wi-Fiなのにデバイスが準拠していないと表示される	会社PCがEntra IDに登録されていない、または準拠状態を満たしていない	設定アプリの「アカウント」→「職場または学校にアクセスする」で接続状態を確認	管理者にデバイス登録や準拠ポリシーの確認を依頼

管理者へ伝えるべき情報

トラブルを解決するには、管理者に適切な情報を伝えることが重要です。以下の情報を整理して連絡すると、原因の特定がスムーズになります。

• 発生状況の詳細:MFAが増えるネットワークのSSID、接続している時間帯、他のネットワーク(自宅、テザリングなど)での発生有無。
• PCの情報:Windowsのエディションとバージョン(「設定」→「システム」→「詳細情報」)、デバイスがAzure AD Joinかどうか(「設定」→「アカウント」→「職場または学校にアクセスする」で確認)。
• サインインログのスクリーンショット:MFAが要求された際の画面や、条件付きアクセスのエラーコード(表示される場合)。
• ネットワークプロファイルの確認結果:前項の手順で調べた、該当Wi-Fiのプロファイルの種類(パブリック/プライベート)と、レジストリのCategory値。
• IPアドレス情報:社内Wi-Fi接続時のIPアドレス(ipconfigで確認)。管理者が信頼済みIP範囲を設定する際に必要です。

管理者はこれらの情報をもとに、条件付きアクセスポリシーの場所条件やデバイス準拠状態を確認します。また、ネットワークプロファイルをグループポリシーでドメインネットワークとして識別する設定が正しいかどうかもチェックします。

よくある質問(FAQ)

Q1. ネットワークプロファイルを自分でプライベートに変更しても問題ありませんか?

A. 会社PCでは、セキュリティポリシーによってプロファイルが固定されている場合がほとんどです。変更できる場合でも、管理者の意図しない設定になる可能性があるため、自分で変更せずに管理者に相談してください。

Q2. MFAを毎回求められるのは、PCが古いからですか?

A. PCの新旧は直接関係ありません。むしろ、OSのバージョンが古いとEntra IDへの登録や準拠状態の確認が正しく行われず、MFAが多くなる原因になることがあります。Windows Updateを最新に保ちましょう。

Q3. 社内Wi-Fiに接続しているのに、自宅と同じようにMFAを求められるのはなぜですか?

A. 条件付きアクセスで「場所」の条件が設定されていないか、社内Wi-FiのIPアドレスが信頼済み範囲に含まれていない可能性が高いです。管理者に報告して、条件付きアクセスの設定を確認してもらいましょう。

Q4. VPNを使うとMFAが減ると聞きましたが本当ですか?

A. ケースによります。VPN接続によって、IPアドレスが社内ネットワークと同じサブネットになる場合、条件付きアクセスの場所条件が一致してMFAが減ることがあります。ただし、VPN接続自体がMFAを要求するよう設定されている場合は逆に増えます。

まとめ

社内Wi-FiだけでMFAが増える問題は、多くの場合、条件付きアクセスの場所条件やデバイス登録の不備が原因です。まずはWindowsのネットワークプロファイルを確認し、それがパブリックになっていないかチェックしましょう。ただし、プロファイルの変更は管理者に相談してから行うことが鉄則です。管理者側では、条件付きアクセスの信頼済みネットワーク設定とデバイス準拠ポリシーを見直すことで、MFAの負担を減らせます。この記事で紹介した手順を使って、自分で原因を切り分け、正確な情報を管理者に伝えることで、問題解決が早まります。

💻

Windowsトラブル完全解決データベース 起動不能、更新の不具合、動作が重い、設定の消失など、Windows 10/11のあらゆるトラブル解決手順を網羅しています。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。