会社のPCでVPN接続後にMicrosoft 365の再認証が頻繁に発生し、業務に支障をきたすケースが増えています。多くの場合、原因はプロキシ設定の不整合か、条件付きアクセスの場所条件によるものです。本記事では、VPN接続後の再認証問題をプロキシと場所条件の二つの観点から切り分け、具体的な確認手順と解決策を解説します。適切な設定変更や管理者への連絡事項を明確にすることで、無駄な再認証を減らし、快適なリモートワーク環境を実現してください。
【要点】この記事で確認すること
- 最初に見る場所: VPN接続時のプロキシ設定(自動構成スクリプト・例外リスト)と、M365のサインインログ(場所・IPアドレス)
- 切り分けの軸: プロキシが原因の場合は認証ポップアップが頻出、場所条件が原因の場合はサインインが拒否されたり多要素認証が強制される
- 注意点: プロキシ設定を会社指定以外に変更するとセキュリティポリシー違反になる可能性がある。場所条件の変更は管理者のみ可能なため、勝手に回避策を取らない
ADVERTISEMENT
目次
VPN接続後にM365再認証が増えるメカニズム
Microsoft 365は、ユーザーのサインイン状態を維持するためにアクセストークンと更新トークンを使用します。通常、これらのトークンは一定期間有効ですが、VPN接続によってネットワーク環境が変わると、以下の理由で再認証が発生しやすくなります。
ネットワーク変更によるトークンの無効化
VPN接続を開始または切断すると、端末のIPアドレスやDNSサーバーが変化します。Microsoft 365はセキュリティの観点から、IPアドレスや場所が急に変わった場合に既存のトークンを無効にし、再認証を求めることがあります。特に条件付きアクセスポリシーが厳格に設定されている環境では、この傾向が顕著です。
プロキシ経由の認証プロセス
多くの企業では、インターネットアクセスにプロキシサーバーを経由します。VPN接続時にプロキシ設定が自動的に切り替わらない場合、M365へのトラフィックが正しくプロキシを通過できず、認証エラーや再認証要求が発生します。特に、プロキシの認証情報がキャッシュされていない場合、毎回認証ダイアログが表示されることもあります。
原因切り分けの第一歩:プロキシ設定の確認
再認証が増える原因として、プロキシ設定の不整合は最も一般的です。以下の手順でプロキシ設定を確認しましょう。
自動検出と手動設定の違い
Windowsのプロキシ設定は「自動的に設定を検出する」「セットアップスクリプトを使用する」「手動でプロキシサーバーを設定する」の3種類があります。VPN接続時には、会社が配布するPACファイル(自動構成スクリプト)が正しく適用されているかが重要です。PACファイルにはM365のトラフィックをプロキシ経由にするか直接接続するかのルールが記述されています。
プロキシ例外リストの確認方法
多くの企業では、M365のトラフィックをプロキシ経由にせず、直接接続させるために例外リスト(バイパスリスト)を設定しています。この例外リストに必要なドメイン(*.office.com、*.microsoftonline.comなど)が含まれていない場合、プロキシ経由で通信しようとして認証が頻発します。確認手順は以下の通りです。
- Windowsの設定を開き、「ネットワークとインターネット」→「プロキシ」を選択します。
- 「自動プロキシセットアップ」の「セットアップスクリプトを使用する」がオンになっている場合、スクリプトアドレスを確認します。
- 「プロキシサーバー」の「プロキシサーバーを使用する」がオンの場合、そのアドレスとポート、および「次のアドレスにはプロキシを使用しない」に記載された例外リストを確認します。
- 例外リストに *.microsoft.com、*.office365.com、*.live.com などのM365関連ドメインが含まれているか確認します。なければ追加が必要です。
- PACファイルを使用している場合、ブラウザでそのURLにアクセスして内容をテキストエディタで開き、M365関連のルールを確認します。
よくある失敗パターン
失敗パターンとして、以下のようなケースが報告されています。
- VPN接続時にプロキシ設定がリセットされる(会社PCのグループポリシーが適用されない)
- PACファイルの配布サーバーにVPN経由でアクセスできない
- 例外リストにワイルドカードではなく個別ドメインが書かれているため、サブドメインが漏れる
- プロキシ認証情報が保存されず、毎回認証ダイアログが表示される
場所条件(地理的位置)が引き起こす認証問題
条件付きアクセスポリシーと場所条件
Microsoft 365の条件付きアクセスでは、サインイン元のIPアドレスから国や地域を判定し、アクセスを制御できます。会社がVPN経由のIPアドレスを信頼された場所として登録していない場合、VPN接続中でも「未知の場所」からのアクセスとみなされ、再認証(多要素認証の強制など)が発生します。特に、自宅やカフェなどからVPN接続した場合、VPNの出口IPが会社の拠点IPとして認識されないことがあります。
VPN経由のIPアドレスが信頼されないケース
会社が使用するVPNサービスの出口IPアドレスが動的に変化する場合、条件付きアクセスで定義された「信頼できる場所」のIP範囲に一致しない可能性があります。また、VPN接続後にMicrosoft 365のサインインログを確認すると、場所が「不明」や「予期しない国」と表示されることがあります。これが再認証の原因です。
管理者へ確認すべき情報
この問題を解決するには、管理者が条件付きアクセスポリシーの場所条件を確認する必要があります。ユーザー側でできることは少ないですが、以下の情報を管理者に伝えるとスムーズです。
- VPN接続時の自分のIPアドレス(WhatIsMyIPなどで確認)
- Microsoft 365のサインインログに表示される場所情報(Azure ADのサインインログから取得可能)
- 再認証が発生した日時と頻度
- 使用しているVPNクライアントの種類(Cisco AnyConnect、FortiClient、OpenVPNなど)
ADVERTISEMENT
プロキシと場所条件の比較表
| 観点 | プロキシ設定の問題 | 場所条件の問題 |
|---|---|---|
| 主な症状 | 認証ポップアップが頻繁に表示される、一部のM365サービスが読み込めない | 多要素認証が毎回要求される、アクセスが拒否される |
| 発生トリガー | VPN接続/切断時、ネットワークプロファイル変更時 | VPN接続後、IPアドレスが変化したとき |
| 確認場所 | Windowsのプロキシ設定、PACファイル、ブラウザのプロキシ設定 | Azure ADのサインインログ、条件付きアクセスのポリシー(管理者のみ) |
| ユーザーが対応可能か | 例外リストの追加など一部可能(要確認) | 基本的に不可、管理者対応が必要 |
| 解決方法 | PACファイルの修正、例外リストの追加、プロキシ認証情報の保存 | 条件付きアクセスの場所条件にVPNのIP範囲を追加、または信頼できる場所として設定 |
実際のトラブルシューティング手順
問題がプロキシ起因なのか場所条件起因なのかを切り分けるため、以下の手順を順に試してください。
- サインインログの確認: ブラウザで https://mysignins.microsoft.com にアクセスし、最近のサインインを確認します。場所やIPアドレスに注意してください。「不明」や想定外の国が表示されていれば場所条件の問題が疑われます。
- プロキシ設定の確認: Windowsのプロキシ設定を開き、VPN接続時と切断時で設定が変わるかどうかを確認します。会社指定のプロキシ設定が正しく適用されているか、例外リストが適切か確認してください。
- ブラウザのプロキシ設定も確認: ブラウザ独自のプロキシ設定が有効になっている場合、システム設定と競合することがあります。特にChromeやEdgeの「システム」メニューで「プロキシ設定を開く」以外の設定がないか確認します。
- コマンドプロンプトでプロキシの動作確認: 管理者権限でコマンドプロンプトを開き、
netsh winhttp show proxyを実行してWinHTTPのプロキシ設定を確認します。VPN接続時にここが正しいプロキシを指しているか確かめてください。 - 一時的にプロキシをバイパス: 会社のポリシーで許可されている場合、プロキシ設定でM365のドメインを例外リストに手動追加してみます。追加後、再認証が減るか確認します。ただし、変更前に必ず管理者に確認してください。
- 管理者への連絡: 上記で改善しない場合、サインインログのスクリーンショットとVPN接続時のIPアドレスを添えて、IT管理者に「条件付きアクセスの場所条件の見直し」を依頼します。
よくある質問
Q1: プロキシの例外リストに *.office.com を追加しても問題ありませんか?
会社のセキュリティポリシーによっては、プロキシをバイパスすることが禁止されている場合があります。必ず管理者に確認してから追加してください。また、必要なドメインはMicrosoftの公式ドキュメント(Microsoft 365のURLとIPアドレス範囲)を参照し、正確に追加する必要があります。
Q2: VPN接続中だけ再認証が増えるのはなぜですか?
VPN接続によりIPアドレスが変わり、かつ条件付きアクセスが新しい場所を信頼していないためです。また、プロキシ設定がVPN接続時にデフォルトに戻ってしまう場合もあります。まずはサインインログを確認し、場所が「不明」でなければプロキシが原因の可能性が高いです。
Q3: 自分で条件付きアクセスポリシーを変更できますか?
Azure ADの条件付きアクセスポリシーを変更できるのは管理者のみです。ユーザーが変更することはできません。また、変更を試みるとセキュリティ違反になる可能性があります。必ず管理者に相談してください。
まとめ
VPN接続後にMicrosoft 365の再認証が増える原因は、プロキシ設定の不整合と条件付きアクセスの場所条件の2つに絞られます。ユーザーはまずサインインログとプロキシ設定を確認し、問題があれば管理者に連絡する必要があります。プロキシの例外リストを適切に設定することや、管理者がVPNのIP範囲を信頼できる場所に追加することで、再認証の頻度を大幅に減らせます。会社のセキュリティポリシーを遵守しながら、快適なリモートワーク環境を維持しましょう。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Windows・PCの人気記事ランキング
- 【Windows】「ゲーミングサービス」がインストールできない!Xboxアプリとの無限ループを脱出する修復コマンド
- 【Edge】起動時や新しいタブを「Google」にする設定!ニュースを消してシンプルにする方法
- 【直し方】F7でカタカナにならない!ファンクションキーが効かず音量などが変わる時のFnロック解除法
- 【Windows】標準アプリのショートカットアイコンが白い紙になった時の情報の更新
- 【Windows】デスクトップのアイコンが「白い紙」になった!アイコンキャッシュを削除して元に戻すコマンド
- 【Windows】パスワードなしで起動!PIN入力を省略して自動ログイン(サインイン)させる設定手順
- 【Windows】音が出ない!スピーカーに×が付く・ミュート解除しても無音になる時の直し方5選
- 【PC周辺】2台のモニターで壁紙を「別々」にする方法!Windows11での配置と調整
- 【Windows】サブモニターが映らない!HDMIを挿しても「信号なし」になる時の認識・設定手順
- 【Edge】検索バーを「Bing」から「Google」に!勝手にBingに戻る時の設定固定術