MENU
パソコン関係で困って解決したこと・ガジェットのブログ
    1. ホーム
    2. Microsoft365
    3. Claude CodeのMicrosoft 365コネクタが繋がらない|原因は「日本以外からのアクセスをブロック」ポリシー

    Claude CodeのMicrosoft 365コネクタが繋がらない|原因は「日本以外からのアクセスをブロック」ポリシー

    Microsoft365 パソコン
    Windows
    当ページのリンクには広告が含まれています。

    こんにちは、ふぅたこです。

    Claude Codeに新しく追加されたMicrosoft 365コネクタを会社の組織アカウントで使おうとしたところ、かなりハマってしまいました。

    結論から言うと、原因は Microsoft Entra 条件付きアクセスポリシー(日本以外からのアクセスをブロック) でした。企業でEntra IDを使っている方には参考になるかもしれないので記録として残しておきます。

    ふぅたこ

    日本以外からのアクセスをブロックする条件付きアクセスポリシーでハマりました。

    目次

    状況

    Claude CodeのMicrosoft 365コネクタをセットアップしようとしました。設定画面からMicrosoftアカウントでログインすると、ログイン自体は完了するのに、その後こんなエラーが表示されます。

    Authorization with the MCP server failed. You can check your credentials and permissions. If this persists, share this reference with support: “ofid_XXXXXXXXXXXXXXXX”

    何度試しても同じエラー。ログインはできているのに、なぜ?という状態でした。

    最初に疑ったこと(管理者の同意)

    会社の組織アカウントでサードパーティアプリを使う場合、Entraの管理者が「このアプリを使っていいよ」という許可(Admin Consent)を与える必要があります。

    Microsoft Entra管理センターのエンタープライズアプリケーションを確認したところ、Claude関連のアプリが2つ登録されていました。

    • M365 MCP Client for Claude
    • M365 MCP Server for Claude

    両方のアプリの「アクセス許可」画面から「管理者の同意を与える」を実行しました。

    これで解決か?と思いきや、同じエラーが続きます。

    ログを読む

    次にMicrosoft Entra管理センターのサインインログをダウンロードして分析しました。

    インタラクティブサインイン(ブラウザからのログイン)は errorCode: 0、つまり成功していました。問題は非インタラクティブサインイン(サービス間通信)の方でした。

    errorCode: 53003
failureReason: Access has been blocked by Conditional Access policies.
適用ポリシー: 「日本以外からのアクセスをブロック」→ result: "failure"
IPアドレス: 160.79.106.35(San Francisco, California, US)
userAgent: python-httpx/0.28.1

    これを見て全部わかりました。

    何が起きていたか

    Claude CodeのMicrosoft 365コネクタは、仕組みとしてこう動いています。

    1. ユーザーが日本からMicrosoftにログイン → 成功(日本のIPなのでCAポリシーをパス)
    2. AnthropicのMCPサーバー(米国サンフランシスコ)がAPIを呼び出す → ブロック!

    実際にMicrosoft Graph APIを叩くのはAnthropicのサーバー(アメリカ)です。うちの会社には「日本以外からのアクセスをブロック」という条件付きアクセスポリシーがあるため、米国IPからのアクセスはすべて弾かれてしまっていたんです。

    ログに記録されていたAnthropicのIPアドレスは 160.79.106.35〜39(ASN: 396982)でした。

    解決方法

    「日本以外からのアクセスをブロック」ポリシーから、M365 MCPの両アプリを除外します。

    1. Microsoft Entra管理センター → 「保護」→「条件付きアクセス」
    2. 「日本以外からのアクセスをブロック」ポリシーを開く
    3. 「ターゲットリソース」の設定を開く
    4. 「対象外」タブのリソースの選択から以下を追加
      • M365 MCP Client for Claude
      • M365 MCP Server for Claude
    5. 保存

    この設定をしてから再度コネクタの認証を行ったところ、無事に接続できました!

    まとめ

    確認項目結果
    Admin Consent必要・付与済み
    割り当てが必要ですか?いいえ(下の画像の状態が正解)
    ブラウザからのログイン成功(日本のIP)
    AnthropicサーバーからのAPI呼び出し失敗(米国IPがブロック)→ 除外設定で解決

    企業で Microsoft Entra の条件付きアクセスを厳しく設定している環境では、外部クラウドサービスのバックエンドが海外IPから動いていることが原因でハマるケースがあります。同じエラーで詰まっている方の参考になれば幸いです。

    Microsoft365 パソコン
    Windows
    よかったらシェアしてね!
    • URLをコピーしました!
    • URLをコピーしました!

    コメント

    コメントする

    目次