はじめに
Azureポータルへのサインイン要求がAuthenticatorアプリで承認できず、サインインできなくなるという事象が発生しました。
最終的にはゲストユーザとして複数ディレクトリにサインインしているために発生する事象と判明し、ゲストユーザを一旦削除してもらうことで解決しました。
解決までに結構苦戦したため備忘として書き残しておきます。
事象
- 自社のディレクトリに加えて他社ディレクトリにゲストユーザとしてサインインしているアカウントで発生
- 他ディレクトリに切り替えている状態でサインインを求められた際に発生
- サインイン画面表示直前にアクセスしているURLは他社ディレクトリのもの
- Azureポータルにサインインする際のサインイン要求に対してAuthenticatorアプリが起動せず、2桁の番号を入力できない
- Authenticatorアプリ右上の三点マーク > 通知の確認を押下しても「通知は見つかりませんでした。」が表示される
- Authenticatorアプリに表示されているワンタイムパスワードコードを入力しても、下記メッセージが表示され、サインインできない
- メッセージ:正しい確認コードを入力しませんでした。もう一度やり直してください。
- Authenticatorアプリのホーム画面には、アカウント単位でレコードが表示されており、それまでは自社のディレクトリにサインインする際も他社のディレクトリにサインインする際も同じレコードに対して通知が来ていた
解決手順
以下手順で解決しました。
- 他社のディレクトリの管理者に連絡して、ゲストユーザとして招待されているアカウントを削除してもらう
- 他社のディレクトリにサインインしていない状態で自社ディレクトリにアクセスし、サインイン要求の通知を受け取ってサインイン
- 他社のディレクトリの管理者に連絡して、再度ゲストユーザとして招待してもらう
- 他社のディレクトリにアクセスし、Authenticatorアプリへの紐づけを行う
- Authenticatorアプリに他社のレコードが生成され、サインイン要求が受け取れるようになり解決
切り分けの為にやったこと
ここからは切り分けの為に実施したことを書き残しておきます。
Authenticatorとの紐づけを削除することで解決するか
下記3点を実施し、解決するか確認しました。
しかし、原因がゲストユーザ側にあったため、この方法法では解決しませんでした。
- 下記にアクセスし、「セキュリティ情報」から「Microsoft Authenticator」を削除
https://aka.ms/mfasetup - Authenticatorアプリからもアカウントを削除
- Authenticatorアプリをアンインストール&再インストール
別のアカウントではサインインできるか
Authenticatorアプリに複数のアカウントを紐づけていたため、今回通知が受け取れなくなったアカウント以外のアカウントでAzureポータルへのサインインしてみました。
他のアカウントでは通常通りサインイン要求の通知を受け取ってサインインができたため、Authenticatorアプリではなくアカウント側の問題らしいという切り分けができました。
ゲストユーザ権限をもらっていないアプリにはサインインできるか
対象のアカウントは自社のディレクトリに加えて、他社のディレクトリにゲストユーザとして招待されていました。
そこで、対象アカウントでゲストユーザの権限をもらっていないアプリにサインインできるかを確認できました。
今回はAzureポータルとTeamsの権限をもらっていたので、試しに自社のViva Engageにサインインしてみたところ、通常通りサインイン要求の通知を受け取ってサインインができました。
このことから、ゲストユーザとして複数ディレクトリにサインインしていることが問題らしいという切り分けができました。
ゲストユーザをサインアウトさせれば解決するか
ゲストユーザが問題らしいということ判明したので、他社ディレクトリの管理者に依頼して強制サインアウトさせてもらいました。
その状態で再度アクセスを試みたのですが、状況変わらずでした。
これらの切り分け結果から他社ディレクトリのアカウントを一旦削除してもらうのが早いのではないかと判断しました。
おわりに
複数ディレクトリにサインインしているとトラブルシューティングがややこしくなりますね……