インターネット接続性チェックが失敗する環境で Outlook による先進認証が失敗する

Last Update:

現象

Windows OS の NCSI によりインターネット接続性がないと判断されている場合、Edge や Internet Explorer などのブラウザによるインターネット上のコンテンツ参照が可能であっても、Outlook による先進認証が失敗します。
多くの場合、以下の通り「現在接続できません。ネットワークを確認して、後でもう一度お試しください。」というメッセージのダイアログが表示されます。

NCSI がインターネット接続性なしと判断している場合、ライセンス認証や “Office へサインイン” など Office 共通の動作が失敗する場合もあります。

本現象の特徴として、端末ごとに発生状況が異なっていたり、ネットワーク構成の変更などの変化点と事象の発生時期が一致しないなどがあり、切り分けが難しい傾向があります。

原因

先進認証においては Azure AD などインターネット上のサービスへのアクセスが必要となります。
このため、Outlook を含む Office アプリケーションでは先進認証実行時に Windows OS の NCSI によるインターネットの接続性を確認するロジックが存在します。このロジックにより、インターネット接続性がないという応答が NCSI から返った場合、先進認証ができないと判断され認証処理が中断され、結果的に認証が失敗します。

これは Office アプリケーションが先進認証を使用する際に発生する固有の動作です。
この動作は変更する方法がありません。

NCSI のインジケーター

以下の画像の赤枠内にあるネットワーク接続性を示すインジケーター (小さなアイコン) も NCSI の機能の一部です。

こちらのアイコンでインターネット接続性が無い表示となっていると、多くの場合前述の現象が発生します。

NCSI によるインターネット接続性確認の動作

Windows OS の機能である NCSI がどのようにインターネット接続性を判定しているかについては以下の技術情報で公開されています。

https://docs.microsoft.com/ja-jp/troubleshoot/windows-client/networking/internet-explorer-edge-open-connect-corporate-public-network

上記技術情報内でも言及されている通り、弊社は NCSI のアクティブ プローブ、パッシブ プローブの無効化を推奨しておりません。
また、無効化により Office による先進認証時の失敗を回避することはできません。

前述の通り、NCSI は Windows OS の機能で Exchange Online に特化したものではありません。
このため、システム管理者は Office 365 の URL と IP 一覧に記載されている Microsoft 365 向けの通信以外にも、NCSI の接続先を考慮しなくてはならないケースがあります。

NCSI の接続先は以下の通り Windows 10 の接続ポイントとして公開されています。

https://docs.microsoft.com/ja-jp/windows/privacy/manage-windows-1903-endpoints

※ 上記ページは左ペインからご利用のバージョンを選択してご参照ください。

Outlook で問題が起きた場合の有効な対処方法

問題が起きていない端末があるからと言って、人為的に問題の起きていない端末と同じ状態で動作をさせるように仕向けることは現実的ではありません。

事例から確認できている情報として、以下のような対処が有効です。

A. ネットワーク関連のサービスが正常に起動しているか確認する

既定で自動実行となっている例えば以下のようなネットワーク関連のサービスが停止している場合、NCSI の接続性確認が失敗します。

1
2
3
DHCP Client
Network Location Awareness
Network List Service

サービスの状態を確認して、上記サービスが起動していない場合は起動します。

B. デフォルト ゲートウェイに到達できる IP アドレスが設定されているか確認する

NCSI は、厳密には Network Location Awareness (NLA) と呼ばれる Windows OS によるネットワーク接続性管理の機能の一部です。
NLA ではネットワーク接続性の確認の一つとして、デフォルト ゲートウェイへの疎通を確認する動作を行います。
クライアント PC のネットワーク設定でデフォルト ゲートウェイに疎通不可の IP アドレスが設定されている場合、この影響を受けて Outlook や OS によるネットワーク接続性のチェックに影響を及ぼします。
このため、デフォルト ゲートウェイには疎通可能な IP アドレスを設定ください。

C. Windows OS 観点の追加の確認を行う

以下のリンクより、日本マイクロソフトの Windows OS のサポートを担当しておりますプラットフォーム チームによる、本事象に関するブログ記事が参照いただけます。

https://jpwinsup.github.io/blog/2021/09/30/Networking/NCSI/network-connectivity-status-indicator-overview-and-troubleshooting-guide/

本ブログ記事では言及できていない切り分け方法や対応策、調査が必要な場合の情報採取手順についてもご紹介していますので是非ご参照ください。

本情報の内容 (添付文書、リンク先などを含む) は作成日時点でのものであり、予告なく変更される場合があります。