会社支給のWindows PCで社内アプリにアクセスしようとしたところ、「条件付きアクセス」によりブロックされるエラーが発生することがあります。このエラーは、端末の状態、接続場所、アカウントの認証条件のいずれかに問題があることを示しています。本記事では、条件付きアクセスで弾かれた際の原因を切り分けるための具体的な手順と、管理者に伝えるべき情報を解説します。エラーメッセージの読み方から、各条件の確認方法、再発防止のポイントまでを網羅します。
【要点】この記事で確認すること
- 最初に見る場所: エラーメッセージの内容、特にブロック理由のコードや「詳細情報」リンク。サインインログにも手がかりがあります。
- 切り分けの軸: 端末のコンプライアンス状態、接続元の場所(企業ネットワークか外部か)、認証条件(MFAの要求、アプリの許可)の3つです。
- 注意点: 会社PCのレジストリやセキュリティ設定を自分で変更しないでください。正当な理由なく変更するとコンプライアンス違反となり、アクセスできなくなることがあります。必ず管理者に確認しましょう。
ADVERTISEMENT
目次
条件付きアクセスとは何か
条件付きアクセスは、Microsoft Entra ID(旧Azure Active Directory)が提供するセキュリティ機能です。管理者が設定した条件(端末のコンプライアンス、接続場所、認証の強度など)を満たさないユーザーやデバイスに対して、クラウドアプリへのアクセスをブロックしたり、多要素認証を要求したりします。会社の機密データを保護するために導入されていることが多く、正当なユーザーであっても条件を満たさないとアクセスできません。
一般的な条件としては、以下の3つが挙げられます。
| 条件の種類 | 主なチェック内容 | 判定の例 |
|---|---|---|
| 端末条件 | デバイスが登録済みか、コンプライアンスポリシーに準拠しているか(OSバージョン、暗号化、ウイルス対策ソフトの稼働など) | コンプライアンス非準拠と判定されるとアクセス不可 |
| 場所条件 | 接続元IPアドレスが信頼できるネットワーク範囲(会社のオフィス、VPN)に属しているか | 社外からのアクセスはブロック、あるいはMFAを要求 |
| 認証条件 | 多要素認証(MFA)が行われたか、認証強度が十分か、アプリに割り当てられたユーザーか | MFA未完了の場合はブロック |
エラーメッセージの見方と最初の切り分け
アクセスがブロックされたときに表示されるエラーメッセージは、原因を特定するための重要な情報を含んでいます。典型的なメッセージとしては「条件付きアクセスによりブロックされました」や「サインインは成功しましたが、条件付きアクセスポリシーによりアクセスが許可されませんでした」などがあります。画面に「詳細情報」や「詳細を見る」リンクがあれば、クリックして詳細を確認してください。そこには、ブロックしたポリシー名や理由コードが表示されることがあります。
サインインログの確認
エラーメッセージだけでは不十分な場合、管理者はMicrosoft Entra管理センターのサインインログを確認することで、どの条件が失敗したかを正確に把握できます。ユーザー自身がログを直接見ることはできませんが、管理者にログの調査を依頼することができます。依頼するときは、以下の情報を伝えるとスムーズです。
- エラーが発生した日時(可能な限り正確に)
- アクセスしようとしたアプリ名
- 使用していた端末のWindowsバージョン
- 接続元のネットワーク(社内LAN、自宅、外出先など)
端末条件(コンプライアンス、デバイス登録)の確認手順
端末が条件を満たしていない場合、まずは自分のPCが適切に管理されているか確認する必要があります。以下の手順で端末の状態をチェックしてください。ただし、設定の変更は管理者が行う範囲です。自分で変更せず、異常があれば管理者に報告しましょう。
- Windowsの設定アプリを開き、「アカウント」→「職場または学校にアクセスする」を選択します。
- 自分の会社アカウントが表示されていることを確認します。表示されていない場合、デバイスがAzure ADに参加していない可能性があります。
- アカウントの状態が「接続済み」または「登録済み」になっていることを確認します。問題がある場合は「切断」や「情報」リンクから状態を確認できます。
- 会社のポータルサイト(Company Portal)アプリを開き、デバイスのコンプライアンス状態を確認します。アプリがインストールされていない場合は、Microsoft Storeからインストールできるか管理者に問い合わせてください。
- コンプライアンスポリシーに違反している項目がある場合、例えばWindows Updateが未適用、ウイルス対策ソフトが無効など、具体的な対処方法が表示されます。ただし、自分で修正せずに管理者の指示に従ってください。
よくある端末条件の失敗パターン
端末がコンプライアンス非準拠となる主な原因としては、Windows Updateの保留、セキュリティソフトの無効化、ディスク暗号化(BitLocker)の未設定、不要なソフトウェアのインストールなどが挙げられます。また、デバイスが長期間ネットワークに接続されていないと、コンプライアンスの再評価が行われず、古い状態のままブロックされることもあります。
ADVERTISEMENT
場所条件(企業ネットワークか外部か)の確認
場所条件は、接続元のIPアドレスが会社の信頼できるネットワーク範囲に含まれているかどうかで判定されます。社内LANに接続している場合でも、VPNを使用している場合は外部扱いになることがあります。また、自宅やカフェなどの外部ネットワークからアクセスする際にブロックされるのは、ポリシーが「すべての場所」または「信頼できない場所」からのアクセスを禁止しているからです。
自分の場所を確認する方法
自分の接続元が社内ネットワークかどうかを知るには、以下の方法があります。
- 会社の情報システム部門が公開している社内IPレンジと、自分のIPアドレスを照合します。IPアドレスは「what is my ip」などで検索して確認できます。
- VPN接続を利用している場合、VPNの接続状態を確認します。VPNクライアントが正しく接続されているか、接続先が正しいかをチェックしてください。
場所条件の失敗パターン
場所条件で弾かれる代表的なケースとして、社外からのアクセス時にVPNを接続していない、VPNの接続先が古い、または社内ネットワークのIPアドレスが動的なためにポリシーの範囲とずれている、などがあります。また、管理者が場所条件を「すべての場所」に設定している場合は、場所による制限はありませんが、その場合は他の条件が原因です。
認証条件(MFA、アプリ制限)の確認
認証条件は、ユーザーが多要素認証(MFA)を完了しているか、認証強度が十分か、アプリへのアクセス権限があるかをチェックします。MFAが必要なのにスキップした場合や、認証方法がポリシーで許可されていない方式(例えば、SMSのみ許可なのに認証アプリを使用した)場合にブロックされます。
MFAの状態確認
MFAが有効かどうかは、Microsoftのセキュリティ情報ページ(https://mysignins.microsoft.com/security-info)で確認できます。ここで登録済みの認証方法が表示されます。もし登録が不足している場合は、管理者の指示に従って追加してください。
アプリのアクセス許可
条件付きアクセスでは、特定のアプリに対してのみアクセスを許可するポリシーが設定されることがあります。もしアクセスしようとしたアプリが許可リストに含まれていない場合、ブロックされます。その場合は管理者にアプリの追加申請を行う必要があります。
管理者へ伝えるべき情報
自分で原因を特定できない場合、管理者に正確な情報を伝えることで迅速な解決が期待できます。以下の情報をまとめて連絡しましょう。
- エラーが発生した日時(UTCまたはローカル時刻、タイムゾーンも明確に)
- エラーメッセージのスクリーンショット(可能なら詳細情報も)
- アクセスしようとしたアプリケーション名とURL
- 使用端末の情報(Windowsバージョン、デバイス名、Azure AD参加状況)
- 接続元ネットワーク(社内LAN、VPN、自宅など)
- サインインログの「要求ID」がわかれば、それを伝えると管理者が調査しやすくなります
管理者はサインインログから失敗した条件を特定し、該当するポリシーを調整したり、端末のコンプライアンスを回復する手順を案内したりできます。
よくある質問
Q1: 条件付きアクセスをバイパスする方法はありますか?
原則として、条件付きアクセスはセキュリティポリシーなので、ユーザーがバイパスすることはできません。ただし、管理者が特定の条件下でバイパスを許可する例外ポリシーを設定することがあります。もし業務上どうしてもアクセスが必要な場合は、管理者に相談してポリシーの調整をお願いしてください。
Q2: 自宅からアクセスするにはどうすればよいですか?
多くの企業では、社外からのアクセスにはVPN接続が必須です。会社から支給されたVPNクライアントを正しくインストールし、接続した状態でアプリにアクセスしてください。VPN接続後もブロックされる場合は、認証条件または端末条件が原因かもしれません。
Q3: Windows Updateを実行してもコンプライアンスが戻りません。
Windows Updateを適用した後、コンプライアンスの再評価には最長で数時間かかることがあります。再起動も忘れずに行ってください。それでも改善しない場合は、管理者にIntuneやMicrosoft Entraの状態を確認してもらい、強制的な同期を依頼してください。
Q4: エラーメッセージに「条件付きアクセス」と表示されない場合はどうすれば?
条件付きアクセス以外のエラー(アカウントの認証エラー、パスワード期限切れ、アプリのライセンス不足など)である可能性があります。その場合は、エラーメッセージをそのまま管理者に伝え、別の観点で調査してもらいましょう。
まとめ
条件付きアクセスで弾かれる原因は、端末、場所、認証の3つの条件に分類されます。まずはエラーメッセージを確認し、サインインログの調査を管理者に依頼することが重要です。端末のコンプライアンス状態や接続ネットワーク、MFAの設定を自分で確認できる範囲でチェックし、管理者に正確な情報を伝えましょう。勝手な設定変更はトラブルの元ですので、必ず管理者の指示を仰いでください。適切な連携により、問題は早期に解決されます。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Windows・PCの人気記事ランキング
- 【Windows】「ゲーミングサービス」がインストールできない!Xboxアプリとの無限ループを脱出する修復コマンド
- 【Edge】起動時や新しいタブを「Google」にする設定!ニュースを消してシンプルにする方法
- 【直し方】F7でカタカナにならない!ファンクションキーが効かず音量などが変わる時のFnロック解除法
- 【Windows】標準アプリのショートカットアイコンが白い紙になった時の情報の更新
- 【Windows】デスクトップのアイコンが「白い紙」になった!アイコンキャッシュを削除して元に戻すコマンド
- 【Windows】パスワードなしで起動!PIN入力を省略して自動ログイン(サインイン)させる設定手順
- 【Windows】音が出ない!スピーカーに×が付く・ミュート解除しても無音になる時の直し方5選
- 【Windows】サブモニターが映らない!HDMIを挿しても「信号なし」になる時の認識・設定手順
- 【PC周辺】2台のモニターで壁紙を「別々」にする方法!Windows11での配置と調整
- 【Edge】検索バーを「Bing」から「Google」に!勝手にBingに戻る時の設定固定術