条件付きアクセスでのサインインに関する問題のトラブルシューティング
この記事の情報は、エラー メッセージと Azure AD のサインイン ログを使用して、条件付きアクセスに関連する予期しないサインイン結果をトラブルシューティングするために使用できます。
"すべて" の結果を選択する
条件付きアクセス フレームワークは、優れた構成柔軟性を提供します。 しかし、柔軟性が高いということは、リリースの前に各構成ポリシーを慎重に見直して、望ましくない結果を避ける必要があることも意味します。 この状況では、すべてのユーザー/グループ/クラウド アプリなどの完全なセットに影響する割り当てには特に注意を払う必要があります。
組織は次の構成を避ける必要があります。
すべてのユーザー、すべてのクラウド アプリに対して:
- アクセスのブロック - この構成では組織全体がブロックされます。
- デバイスは準拠としてマーク済みである必要がある - 登録されたデバイスをまだ持っていないユーザーに対して、このポリシーは Intune ポータルへのアクセスを含むすべてのアクセスをブロックします。 このポリシーにより、登録済みのデバイスを持たない管理者は、Azure Portal に戻ってポリシーを変更することができなくなります。
- Hybrid Azure AD ドメインに参加しているデバイスが必要 - このポリシーによるブロック アクセスは、ハイブリッドA zure AD を使用したデバイスがない場合に、組織内のすべてのユーザーのアクセスをブロックする可能性もあります。
- アプリの保護ポリシーが必要 - このポリシーによるブロックアクセスは、Intune ポリシーがない場合に、組織内のすべてのユーザーのアクセスをブロックする可能性もあります。 Intune のアプリの保護ポリシーがあるクライアント アプリケーションを使用していない管理者は、Intune や Azure などのポータルに戻ることが、このポリシーによってブロックされます。
すべてのユーザー、すべてのクラウド アプリ、すべてのデバイス プラットフォームに対して:
- アクセスのブロック - この構成では組織全体がブロックされます。
条件付きアクセスのサインインの割り込み
最初の方法は、表示されるエラー メッセージを確認することです。 Web ブラウザーを使用してサインインする際の問題については、エラー ページ自体に詳細な情報が含まれています。 この情報だけで、問題の内容の説明と、解決策の提案が得られる場合があります。
上記のエラーでは、会社のモバイル デバイス管理ポリシーを満たすデバイスまたはクライアント アプリケーションからのみ、アプリケーションにアクセスできることを示すメッセージが表示されます。 この場合は、アプリケーションとデバイスはそのポリシーを満たしていません。
Azure AD サインイン イベント
サインインの中断に関する詳細情報を取得する 2 番目の方法は、Azure AD サインイン イベントを確認して、適用された条件付きアクセス ポリシーとその理由を調べることです。
問題に関する詳細は、最初のエラー ページで [詳細] をクリックすると表示できます。 [詳細] をクリックすると、トラブルシューティング情報が表示されます。この情報は、Azure AD サインイン イベントでユーザーに表示された特定のエラー イベントを検索する場合や、Microsoft でサポート インシデントを開く場合に役立ちます。
適用された条件付きアクセス ポリシーとその理由を確認するには、次の手順を実行します。
グローバル管理者、セキュリティ管理者、またはグローバル閲覧者として、Azure portal にサインインします。
[Azure Active Directory][サインイン] の順に移動します。
確認するサインインのイベントを見つけます。 フィルターと列を追加または削除して、不要な情報を除外します。
- フィルターを追加して、範囲を絞り込みます。
- 関連付け ID: 調査対象の特定のイベントがある場合。
- 条件付きアクセス: ポリシーの失敗/成功を表示します。 フィルターの範囲を設定して、失敗のみを表示するように結果を制限します。
- ユーザー名: 特定のユーザーに関連する情報を表示します。
- 日付: 対象の期間に範囲を設定します。
- フィルターを追加して、範囲を絞り込みます。
ユーザーのサインイン エラーに対応するサインイン イベントが見つかったら、 [条件付きアクセス] タブを選択します。[条件付きアクセス] タブには、サインインが中断される原因となった特定のポリシーが表示されます。
- [トラブルシューティングおよびサポート] タブの情報により、コンプライアンス要件を満たしていなかったデバイスなど、サインインが失敗した理由が明確に示される場合があります。
- さらに調査するには、 [ポリシー名] をクリックして、ポリシーの構成にドリルダウンします。 [ポリシー名] をクリックすると、選択したポリシーのポリシー構成ユーザー インターフェイスが表示され、確認および編集できます。
- 条件付きアクセス ポリシーの評価に使用された クライアント ユーザーとデバイスの詳細は、サインイン イベントの [基本情報] 、 [場所] 、 [デバイス情報] 、 [認証の詳細] 、 [追加情報] タブでも参照できます。
ポリシーが意図したとおりに機能しない
サインイン イベントでポリシーの右側にある省略記号を選択すると、ポリシーの詳細が表示されます。 このオプションにより、管理者はポリシーが正常に適用された、またはされていない理由に関して、追加情報を得ることができます。
![サインイン イベントの [条件付きアクセス] タブ](media/troubleshoot-conditional-access/image5.png)
左側にはサインイン時に収集された詳細情報が表示され、右側には適用された条件付きアクセス ポリシーの要件をそれらの詳細が満たすかどうかが示されます。 条件付きアクセス ポリシーは、すべての条件が満たされているか、構成されていない場合にのみ適用されます。
イベントの情報が、サインイン結果を理解したり、必要な結果を得るためにポリシーを調整したりするのに十分でない場合は、サインイン診断ツールが使用できます。 サインイン診断は、 [基本的な情報]> [イベントをトラブルシューティングする] の下に表示されます。 サインイン診断の詳細については、Azure ADのサインイン診断の概要に関する記事を参照してください。 What If ツールを使って条件付きアクセス ポリシーのトラブルシューティングを行うこともできます。
サポートインシデントを送信するときに、サインイン イベントの要求 ID および時刻と日付をインシデント送信の詳細に入力してください。 Microsoft サポートはこの情報を使用して、対象のイベントを見つけることができます。
条件付きアクセスの一般的なエラー コード
| サインイン エラー コード | エラー文字列 |
|---|---|
| 53000 | DeviceNotCompliant |
| 53001 | DeviceNotDomainJoined |
| 53002 | ApplicationUsedIsNotAnApprovedApp |
| 53003 | BlockedByConditionalAccess |
| 53004 | ProofUpBlockedDueToRisk |
エラー コードについて詳しくは、記事「Azure AD 認証と承認のエラー コード」をご覧ください。 一覧のエラー コードは、プレフィックス AADSTS の後にブラウザーで表示されるコードが付いた形式で示されています (例: AADSTS53002)。
サービスの依存関係
一部の特定のシナリオでは、条件付きアクセス ポリシーによってブロックされるリソースに依存するクラウド アプリがあるため、ユーザーはブロックされます。
サービスの依存関係を確認するには、サインインによって呼び出されたアプリケーションとリソースのサインイン ログを確認します。 次のスクリーンショットでは、呼び出されるアプリケーションは Azure portal ですが、呼び出されるリソースは Windows Azure サービス管理 API です。 このシナリオを適切に対象にするには、すべてのアプリケーションとリソースを条件付きアクセス ポリシーで同様に組み合わせる必要があります。
Azure portal からロックアウトされた場合の対処方法
条件付きアクセス ポリシーが正しく設定されていないことが原因で Azure portal からロックアウトされた場合は、次の操作を行います。
- まだブロックされていない管理者が組織にいるかどうかを確認します。 Azure Portal へのアクセス権を持つ管理者であれば、ご自身のサインインに影響するポリシーを無効にできます。
- ポリシーを更新できる管理者が組織にいない場合は、サポート要求を送信します。 Microsoft サポートが、アクセスの妨げとなっている条件付きアクセス ポリシーを確認し、確認時に更新できます。