エラー AADSTS530004 - AcceptCompliantDevice 設定がこの組織に対して構成されていません

この記事では、ゲスト ユーザーがリソース テナント内のアプリケーションまたはリソースにアクセスし、ソリューションを提供するときに、AADSTS530004 エラーが発生するシナリオについて説明します。

現象

ゲスト ユーザーがリソース テナント内のアプリケーションまたはリソースにアクセスしようとすると、サインイン プロセスが失敗し、次のエラー メッセージが表示されます。

AADSTS530004: AcceptCompliantDevice 設定がこの組織に対して構成されていません。 管理者は、保護されたリソースへの外部ユーザー アクセスを許可するように、この設定を構成する必要があります。

さらに、管理者がホーム テナントのサインイン ログを確認すると、同じエラー コードが表示されます。

シナリオ 1: 準拠しているデバイスの条件付きアクセス ポリシー

リソース テナントの条件付きアクセス ポリシーが、 Require デバイスに準拠 コントロールとしてマークされ、ポリシーがゲスト ユーザーに適用されると、AADSTS530004 エラーが発生する可能性があります。

このエラーを解決するには、次の手順に従ってください。

1. ユーザーのホーム テナントの Trust 準拠デバイス 設定を使用してクロス テナント アクセス ポリシー (XTAP) ポリシーを作成します。

2. ゲスト ユーザーのデバイスが認証されていることを確認します。

   一部の条件下では、デバイス認証が失敗することがあります。 詳細については、「 Device 認証が失敗する」を参照してください。

3. ゲスト ユーザーのデバイスが Microsoft Intune に参加しているか、ホーム テナントでサポートされているモバイル デバイス管理 (MDM) ソリューションに参加していて、準拠していることを確認します。

   注

   Microsoft Intune との統合では、いくつかのサード パーティ製デバイス コンプライアンス パートナーがサポートされています。 詳細については、「 Intune のサード パーティ製デバイス コンプライアンス パートナーをサポートする」を参照してください。 Intune デバイス コンプライアンスの構成の詳細については、「intune デバイス コンプライアンス ポリシーの結果を監視を参照してください。

シナリオ 2: ハイブリッド参加済みデバイスの条件付きアクセス ポリシー

リソース テナントの条件付きアクセス ポリシーが Require Microsoft Entra ハイブリッド参加済みデバイス コントロールで設定され、ポリシーがゲスト ユーザーに適用されると、エラーが発生する可能性があります。

このエラーを解決するには、次の手順に従ってください。

1. ユーザーのホーム テナントで Trust Microsoft Entra ハイブリッド参加済みデバイス 設定を使用して XTAP ポリシーを作成します。

2. ゲスト ユーザーのデバイスが認証されていることを確認します。

   一部の条件下では、デバイス認証が失敗することがあります。 詳細については、「 Device 認証が失敗する」を参照してください。

3. ゲスト ユーザーのデバイスがホーム テナント Microsoft Entra ハイブリッド参加済み であることを確認します。

シナリオ 3: 承認されたクライアント アプリの条件付きアクセス ポリシー

リソース テナントの条件付きアクセス ポリシーが Require 承認済みクライアント アプリ コントロールで構成され、ポリシーがゲスト ユーザーに適用されると、エラーが発生する可能性があります。

このシナリオはサポートされていません。 このエラーを解決するには、このコントロールをゲスト ユーザーに適用しないでください。

デバイス認証が失敗する

デバイス認証は、次のいずれかの条件で失敗する可能性があります。

• InPrivate モードまたは Incognito モードでブラウザーを使用してアクセスする場合。

• サポートされていないブラウザーまたはデバイス (特にモバイル) を使用する場合。

• ブラウザーの Cookie が無効になっている場合。

• デスクトップまたはネイティブ アプリケーションがデバイス認証をサポートしていない場合、または Microsoft Authentication Broker を使用していない場合。

  さまざまなデバイス プラットフォームでの Microsoft Authentication Broker の詳細については、次のページを参照してください。

  • ウィンドウズ
  • アンドロイド
  • iOS
  • macOS、iOS、iPadOS

サポートされているデバイス プラットフォームの詳細については、「 Microsoft Entra の条件付きアクセス - デバイス プラットフォーム」を参照してください。

デバイス要求が送信されたかどうかを確認するには、リソース テナントで失敗したユーザーまたは成功したユーザーのサインイン ログを確認します。

1. ユーザーのサインイン ログに移動し、関連するエラーまたは成功イベントを見つけます。
2. [ Device Info セクションで、 Join type フィールドを確認します。 このフィールドは、渡されたデバイス要求を示します。

AADSTS エラー コード リファレンス

認証と承認のエラー コードの完全な一覧については、「microsoft Entra 認証と承認のエラー コードを参照してください。 個々のエラーを調査するには、 https://login.microsoftonline.com/errorで検索します。

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。