現象
条件付きアクセスは、企業リソースにアクセスするデバイスが正しく管理され、セキュリティで保護されていることを確認するのに役立つ Microsoft Entra 機能です。 条件付きアクセス ポリシーが Microsoft Teams サービスに適用されている場合、Teams にアクセスする Android デバイスはポリシーに準拠する必要があります。 このようなデバイスには、Android 上の Teams 電話、Teams ディスプレイ、Teams パネル、Teams Rooms が含まれます。 そうでない場合、条件付きアクセスにより、ユーザーがデバイス上で Teams アプリにサインインしたり Teams アプリを使用したりできなくなります。
これらのポリシーが適用されている場合は、準拠していないデバイスで次の 1 つ以上の問題が発生する可能性があります。
- デバイスは Teams にサインインできないか、サインイン ループでスタックします。
- デバイスは Teams からランダムに自動的にサインアウトします。
- Microsoft Teamsは応答を停止します (フリーズ)。
原因
これらの問題は、次の理由で発生する可能性があります。
サポートされていない条件付きアクセス ポリシーまたは Intune デバイス コンプライアンス ポリシー設定
デバイスが非準拠としてマークされている場合、Microsoft Entra トークン発行サービスは、デバイス オブジェクトのトークンの更新を停止するか、トークンを取り消します。 この場合、デバイスは更新された認証トークンを取得できないため、強制的にサインアウトされます。
デバイスのコンプライアンス状態を確認するには、 Intune デバイス コンプライアンス ダッシュボードを使用します。
割り当て頻度設定
この設定により、定期的な再認証が強制されます。 このアクションにより、サインイン頻度が異なる条件付きアクセス ポリシーの数によっては、デバイスがランダムにサインアウトする可能性があります。 再認証が行われるたびにトークンが取り消され、ユーザー アカウントの下に新しいデバイス オブジェクトが作成されます。 デバイス オブジェクトの数が Microsoft Entra デバイスの制限または Intune デバイスの制限を超えている場合、ユーザーはデバイスにサインインできません。
使用条件 (ToU) ポリシーと MFA 条件付きアクセス ポリシー (両方が使用されている場合)
詳細については、「 Teams 電話に関する問題を参照してください。
解決方法
影響を受けるユーザーの Teams アプリへのアクセスに関する複数の詳細を確認して、問題の特定の原因を特定します。 必要なチェックを実行するには、自動オプションを使用するか、指定された手順を使用して手動でチェックを実行します。
自動チェック
自動化されたオプションは、Microsoft Remote Connectivity Analyzer ツールで Microsoft Teams Rooms サインイン 接続テストを実行することです。 このツールは、Teams に影響する接続の問題のトラブルシューティングに使用されます。 接続テストでは、Teams Rooms デバイスを使用して Teams にサインインするための特定のユーザーのアクセス許可を確認するためのチェックが実行されます。
Note
- Microsoft Teams Rooms のサインイン接続テストを実行するには、グローバル管理者アカウントが必要です。
- Microsoft Remote Connectivity Analyzer ツールは、GCC および GCC High Microsoft 365 Government 環境では使用できません。
接続テストを実行するには、次の手順に従います。
- Web ブラウザーを開き、 Microsoft Teams Rooms サインイン 接続テストに移動します。
- グローバル管理者アカウントの資格情報を使用してサインインします。
- Teams Rooms アプリにアクセスできないアカウントのユーザー名を指定します。
- Device Selection フィールドで、影響を受けるユーザーのデバイスの種類を選択します。
- 表示される確認コードを入力し、[確認] を 選択。
- 契約条件に同意するチェック ボックスをオンにし、 Perform Test を選択します。
テストが完了すると、実行されたすべてのチェックに関する詳細と、テストが成功したか、失敗したか、成功したのに、いくつかの警告が表示されたかの詳細が画面に表示されます。 警告とエラーの詳細と、それらを解決する方法については、指定されたリンクを選択してください。
手動チェック
Teams アプリへのユーザー アクセスを手動で確認するには、次の手順に従います。
Azure portal で サインイン ログに移動。
ユーザー サインイン (非対話型) タブを選択します。
[フィルター 追加 を選択して、次のフィルターを追加します。
- 状態: Failure を選択し、 Apply を選択します。
- アプリケーション: 「 Teams」と入力し、 Apply を選択します。
影響を受けるユーザー名については、次の Application 値を持つ項目を探します。
- Microsoft Teams
- Microsoft Teams サービス
- Microsoft Teams – デバイス管理エージェント
各項目を選択すると、失敗したサインインに関する詳細が表示されます。 通常、 Basic info タブの次のフィールドから詳細情報を取得できます。
- サインイン エラー コード
- エラーの理由
- 追加の詳細
サインイン エラー コードがコンプライアンスに関連していると思われる場合は、[ Conditional Access ] タブを選択し、 Failure 結果を表示するポリシーを探します。
ポリシーの詳細を確認します。
問題の原因となっている特定の条件付きアクセス ポリシーを特定したら、 device フィルター を使用して、影響を受けるデバイスをポリシーから除外できます。 デバイス フィルターで一般的に使用されるデバイス プロパティは、 manufacturer および model です。 これらは、 Contains、 StartsWith、および In 演算子と共に使用されます。
Note
- デバイス フィルターは、ユーザー アカウントではなく、デバイス オブジェクトにのみ適用されます。
- model や manufacturer などの一部の属性は、デバイスが Intune に登録されている場合にのみ設定できます。 デバイスが Intune に登録されていない場合は、拡張機能の属性を使用します。
- Teams デバイスでサポートされていない設定がないか、各ポリシー設定を確認します。
次のスクリーンショットは、デバイス フィルターのサンプルを示しています。