長年使い慣れたメールソフトThunderbirdで、会社のメール(Microsoft Exchange Online)を使いたいという要望があるのではないでしょうか。
Outlookアプリをつかってくださいというのが正攻法でしょうが、そうも言っていられない状況はありえます。
以下のエラーメッセージに対応した際の個人メモです。2025年現在、あまり情報がなかったので記録。
「ここからアクセスすることはできません。
このアプリケーションには機密情報が含まれているため、次からのみアクセスできます:
・ドメイン example.com に参加しているデバイス。個人用のデバイスからアクセスすることはできません。
現在のブラウザーはサポートされていません。このアプリケーションにアクセスするには、Microsoft Edge、Internet Explorer、Chrome または Firefox91+ のいずれかをお使いください。」
このエラー、実はMicrosoftがセキュリティ強化のために導入している「条件付きアクセス」ポリシーが原因で発生していることがほとんどです。特に「Microsoft Entra ハイブリッド参加済みデバイスが必要」といったポリシーが設定されている場合、Thunderbirdの内部ブラウザでは認証が通らなくなってしまいます。
Exchange Onlineへのアクセスを成功させるための具体的な対処法を、ステップごとに記載します。
*本記事で紹介する設定は、すべて自己責任で実施してください。これらの設定によって生じるいかなる結果についても、当サイトは一切の責任を負いません。
エラーの原因を深掘り:Microsoftの「条件付きアクセス」とは?
Thunderbirdでの認証エラーを解決するには、まずその原因となっている「条件付きアクセス」について理解することが重要です。これは、MicrosoftがMicrosoft Entra ID(旧Azure AD)のセキュリティを強化するために提供している強力な機能の一つです。
条件付きアクセスとは?
条件付きアクセスとは、ユーザーがクラウドアプリ(今回の場合はExchange Online)にアクセスする際に、特定の条件を満たしている場合にのみアクセスを許可するというセキュリティポリシーのことです。例えば、「特定の場所からのみ」「特定のデバイスからのみ」「多要素認証(MFA)が必須」といった条件を設定できます。
今回遭遇しているエラーメッセージは、その中でも「Microsoft Entra ハイブリッド参加済みデバイスが必要」というポリシーが原因で発生しています。これは、アクセス元のデバイスが組織の管理下にあり、かつMicrosoft Entra IDにハイブリッド参加している(Active DirectoryとMicrosoft Entra IDの両方に登録されている)ことを要求するものです。
なぜThunderbirdでエラーが発生するのか?
Thunderbirdは、メールアカウントのOAuth認証プロセスにおいて、内部に組み込まれたブラウザエンジンを使用します。通常、この内部ブラウザはMicrosoftの認証ページを表示し、ユーザーはそこでIDとパスワードを入力します。
しかし、Microsoft Entra ハイブリッド参加済みデバイスを必須とする条件付きアクセスが設定されている場合、Thunderbirdの内部ブラウザが「許可されたデバイス」として認識されないため、認証が失敗してしまいます。エラーメッセージにある「現在のブラウザーはサポートされていません」という記述は、Thunderbirdの内部ブラウザのUser-Agent(ブラウザの種類やバージョンを識別する情報)が、条件付きアクセスが求める要件を満たしていないことを示唆しています。つまり、Thunderbirdが、組織が許可するブラウザ(Microsoft Edge、Chrome、Firefox91+など)として認識されていないのです。
Firefoxのブラウザーから直接 outlookのメール(つまりOWA)に接続可能な場合でもThunderbird経由では接続NGとなるので内蔵ブラウザは別判定と思われました。
解決策①:Thunderbirdの内部ブラウザ設定を最適化する(User-Agent変更)
エラーの原因がThunderbirdの内部ブラウザの認識にあることが分かったところで、具体的な解決策の1つ目として、(AIが紹介しれくれた方法として)Thunderbirdの内部ブラウザのUser-Agent文字列を変更する方法があります。試してみましょう。これにより、ThunderbirdがMicrosoftの認証システムから「許可されたブラウザ」として認識されるようになります。
(とAIは言っていた、本当か?)
しかしながらThunderbirdの「設定エディター」の扱い方を覚えるにはよかったので記録として残します。
この設定は、Thunderbirdの詳細設定(設定エディター)から行います。
- Thunderbirdを起動し、設定を開く
- Thunderbirdのメニューアイコン(三本線)をクリックし、「設定」を選択します。
- 画面左側のメニューから一番下にある「一般」を選択します。
- 画面を下にスクロールし、「設定エディター」ボタンをクリックします。
- 設定エディターで項目を検索・追加する
- 「細心の注意を払って使用してください」という警告が出ますが、「危険を承知の上で使用する」をクリックして進みます。
- 検索バーに「
general.useragent.override」と入力します。 - もしこの項目が表示されない場合は、新しい設定を追加します。
- 空白の場所で右クリックし、「新規」>「文字列」を選択します。
- 設定名に「
general.useragent.override」と入力し、「OK」をクリックします。
- User-Agent文字列を設定する
- 値の入力ダイアログが表示されたら、以下の文字列を入力します。
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0注: この文字列は一例です。重要なのは「Firefox/91.0」以降のバージョンを装う部分です。最新のFirefoxのUser-Agent文字列を調べて設定することも有効です。 - 「OK」をクリックして設定を保存します。
- 値の入力ダイアログが表示されたら、以下の文字列を入力します。
- Thunderbirdを再起動し、認証を再試行
- 設定変更後、Thunderbirdを一度完全に終了し、再起動してください。
- 再度、Exchange Onlineアカウントの設定を試み、OAuth認証プロセスを進めます。
この設定により、Thunderbirdの内部ブラウザが「Firefox 102.0」として認識されるため、条件付きアクセスのポリシーをクリアできる可能性が高まる。(とAIは言っていた。いざというときに使える手法かもしれない)
解決策②:Windows統合認証(SSO)を有効にする
実際これで解決できました。次に試したいのが、ThunderbirdでWindows統合認証(SSO: Single Sign-On)を有効にする方法。これは、組織のネットワークに接続されたデバイスでThunderbirdを使用している場合に特に有効な解決策となります。Windows統合認証が有効であれば、Windowsにサインインしている情報を使って、ThunderbirdがMicrosoftの認証をよりスムーズに行えるようになります。
この設定も、Thunderbirdの詳細設定(設定エディター)から行います。
- Thunderbirdを起動し、設定エディターを開く
- Thunderbirdのメニューアイコン(三本線)から「設定」を選択します。
- 「一般」タブを選択し、一番下にある「設定エディター」をクリックします。
- 「危険を承知の上で使用する」をクリックして進みます。
- 設定項目を検索・変更する
- 検索バーに「
network.http.windows-sso.enabled」と入力します。 - この項目が表示されたら、現在の値を確認します。おそらく「
false」になっているはずです。 - 値を「
true」に変更するために、項目の右端にある変更ボタン(矢印が交差するアイコン)をクリックします。 - 値が「
true」になれば設定完了です。
- 検索バーに「
- Thunderbirdを再起動し、認証を再試行
- 設定変更後、Thunderbirdを一度完全に終了し、再起動してください。
- この状態でExchange Onlineのアカウント設定を再度行い、Microsoft OAuth認証プロセスを進めます。
この設定により、ThunderbirdがWindowsのSSO機能を利用できるようになり、条件付きアクセスが要求する「ドメイン参加済みデバイス」であることを証明できる場合があります。組織の環境でWindowsデバイスがドメイン参加している場合に有効な手段です。
実際、この手順でうまくいったという実経験があるので有効かも。ただしセキュリティ面で問題ないのか?この設定が意味するところは何なのか要確認。
解決策③:外部ブラウザ連携による代替アプローチ
もし、前述の解決策で問題が解決しない場合、ThunderbirdのOAuth認証を外部のWebブラウザに委ねる設定を試すことができます。この方法は、Thunderbird自身が認証プロセスを担うのではなく、信頼できる外部ブラウザ(Microsoft Edge, Chrome, Firefoxなど)で認証を完了させることで、条件付きアクセスをクリアしようというアプローチです。(という情報もあったので念の為メモ。しかし②で解決したので、③は未実施)
この設定も、Thunderbirdの詳細設定(設定エディター)から行います。
- Thunderbirdを起動し、設定エディターを開く
- 上記と同様の手順で、Thunderbirdのメニューから「設定」>「一般」>「設定エディター」を開きます。
- 「危険を承知の上で使用する」をクリックして進みます。
- 設定項目を検索・変更する
- 検索バーに「
network.auth.allow-external-sso」と入力します。 - この項目が見つかったら、値が「
false」になっているはずです。これを「true」にダブルクリックして変更します。 - もし項目が表示されない場合は、「新規」>「真偽値」で追加し、名前を「
network.auth.allow-external-sso」、値を「true」として保存します。
- 検索バーに「
- Thunderbirdを再起動し、認証を再試行
- 設定変更後、Thunderbirdを一度完全に終了し、再起動してください。
- 再度、Exchange Onlineアカウントの設定を試みてください。
この方法での認証フロー
この設定を「true」にすると、ThunderbirdでOAuth認証が必要になった際に、PCにインストールされている既定のWebブラウザが自動的に起動し、そこでMicrosoftの認証ページが表示されます。ユーザーは、その外部ブラウザで通常通りIDとパスワードを入力し、必要であれば多要素認証(MFA)を完了させます。認証が成功すると、外部ブラウザからThunderbirdに認証情報が渡され、Exchange Onlineへの接続が完了します。
(とAIは言っていた、役に立つかもしれないのでメモ)
メリットとデメリット、注意点
- メリット: 条件付きアクセスの厳しい環境でも、信頼できる外部ブラウザを介することで認証をクリアできる可能性が高いです。
- デメリット: 認証のたびに外部ブラウザが起動するため、わずらわしく感じる可能性があります。また、組織のセキュリティポリシーによっては、外部ブラウザ連携が許可されていない場合もあります。
- 注意点: この設定は、組織のセキュリティポリシーに抵触する可能性もゼロではありません。もしこの方法でアクセスができたとしても、念のためIT管理者に確認を取ることをお勧めします。
それでも繋がらない場合:チェックすべきことと、管理者への相談
上記の解決策を試してもThunderbirdでExchange Onlineに接続できない場合は、いくつかの追加のチェックポイントがあります。
1. Thunderbirdのバージョン確認
まず、お使いのThunderbirdが最新版であるかを確認してください。古いバージョンでは、最新のセキュリティプロトコルや認証方式に対応していない場合があります。
- Thunderbirdのメニューから「ヘルプ」>「Thunderbirdについて」でバージョンを確認し、アップデートがある場合は適用しましょう。
2. OSのアップデート状況
お使いのWindowsやmacOSが最新の状態に保たれているかも重要です。OSのセキュリティアップデートが認証プロセスに影響を与える可能性もゼロではありません。
3. セキュリティソフトの一時的な無効化
稀に、インストールされているセキュリティソフト(ウイルス対策ソフト、ファイアウォールなど)が認証プロセスを妨害している場合があります。一時的にセキュリティソフトを無効にして認証を試み、成功するようであれば、セキュリティソフトの設定を見直す必要があります。(ただし、試す際は自己責任で、作業後は速やかに有効に戻してください。)
4. Microsoft Entra IDのサインインログ確認(管理者向け)
もしあなたがIT管理者であれば、Microsoft Entra IDのサインインログを確認することで、認証がどこで失敗しているかのヒントを得られます。具体的なエラーコードや理由が表示されるため、問題の特定に役立ちます。
5. 組織のIT管理者への相談
実際の通信ログ確認には、組織のIT管理者や情報システム担当者に確認が必要だと思います。
- 条件付きアクセスポリシーの確認: どのようなポリシーが適用されているのか、具体的に確認してもらいましょう。
- 例外設定の依頼: Thunderbirdのような特定のアプリケーションからのアクセスを許可する例外設定が可能かどうかを相談してみましょう。ただし、これは組織のセキュリティポリシーに依存するため、必ずしも許可されるわけではありません。
- 推奨される代替手段: 組織としてThunderbirdの使用が推奨されていない場合、Outlookの利用など、推奨される代替手段を案内してもらうこともできます。
まとめ
ThunderbirdでExchange Onlineのメールを利用したい、という要求はあると思うものの意外と情報がなかったので記録。まぁ、条件付きアクセスの条件が Azure AD Joinであることではなくて、ふつうはIntune管理下の元、準拠しているかどうかで判定することのほうが多いのかなという気もしています。
iPhoneとかMACとかも管理下にするならIntuneは避けて通れないですよね。
とはいえIntuneによる管理が不完全でADにならPCが全部所属しているから管理しやすいなんていう組織もあるかもしれません。
そんなときには以下のメモを思い出そう。
- 解決策①:ThunderbirdのUser-Agent文字列を変更する
Thunderbirdの詳細設定エディターでgeneral.useragent.overrideの値を変更し、Thunderbirdが「Firefox 91+」などの許可されたブラウザとして認識されるようにします。 - 解決策②:Windows統合認証(SSO)を有効にする
Thunderbirdの詳細設定エディターでnetwork.http.windows-sso.enabledの値をtrueに変更します。これにより、WindowsのSSO機能を通じて認証を試み、ドメイン参加済みデバイスとしての認識を促します。 - 解決策③:外部ブラウザ連携を有効にする
network.auth.allow-external-ssoの値をtrueに変更することで、ThunderbirdのOAuth認証をPCの既定のWebブラウザに委ねます。これにより、外部の信頼できるブラウザで認証プロセスを完了させることができます。
それでも問題が解決しない場合は、ThunderbirdやOSのバージョンを確認したり、セキュリティソフトの影響を疑ったり。
よく、組織のIT管理者へ相談することが最終的なおすすめという言葉があるがこんな記事を読む人はたいていご自身がIT管理者だったりすると思うので一緒にがんばりましょう。
