【Entra ID】アプリごとの同意が拒否される時の管理者承認ワークフロー確認

会社のMicrosoft 365環境でアプリケーションを利用しようとした際、「アクセスが拒否されました」「管理者の承認が必要です」といったメッセージが表示され、先に進めない経験はありませんか。特に「アプリごとの同意が拒否される」という状況は、Entra ID(旧Azure AD)の同意設定や管理者承認ワークフローの構成が原因であることが多いです。この記事では、アプリの同意が拒否される原因を切り分け、管理者承認ワークフローの確認手順や、自分でできる対処方法を具体的に解説します。また、管理者に依頼すべき情報やよくある質問もまとめていますので、トラブル解決の参考にしてください。

アプリの同意が拒否される原因の切り分け

Entra IDでは、ユーザーがアプリに同意できるかどうかは、テナント全体の同意設定と個別のアプリの同意設定によって決まります。まずは、エラーメッセージの種類から原因を絞り込みましょう。

エラーメッセージの種類と意味

一般的に表示されるエラーメッセージは以下の3パターンです。

• 「管理者の承認が必要です」: アプリが必要とする権限が管理者の同意を必要とする権限(高い権限)である場合。ユーザーは同意できません。
• 「アクセスが拒否されました」: ユーザー同意が無効になっている、またはポリシーでブロックされている場合。管理者承認ワークフローが有効なら申請可能。
• 「申し訳ございませんが、処理を完了できませんでした」: 一時的なエラーや権限設定の不整合。再試行やブラウザキャッシュクリアで解決することもあります。

原因の分類と確認手順

以下の表で、エラーごとの原因と確認すべき設定をまとめました。

エラーメッセージ	考えられる原因	確認すべき設定
管理者の承認が必要です	アプリが要求する権限が「管理者同意が必要」のレベル	アプリの登録情報(APIの権限)
アクセスが拒否されました	ユーザー同意設定が無効、またはポリシーでブロック	Entra ID>ユーザー設定>ユーザーによるアプリ同意
処理を完了できませんでした	一時的な障害、キャッシュ、条件付きアクセス	ブラウザのプライベートモード、別デバイスでテスト

管理者承認ワークフローとは

管理者承認ワークフローは、ユーザーがアプリへの同意を求めたときに、事前に設定された承認者(管理者)に承認リクエストを送る機能です。これにより、ユーザーは自分で同意できないアプリでも、管理者に申請して承認を得ることができます。

ワークフローが有効かどうかの確認方法

管理者がこの機能を有効にしていない場合、ユーザーは申請できず、エラーのままとなります。確認するには、管理者がEntra ID管理センターで以下の手順を実行します。

1. Entra ID管理センター(https://entra.microsoft.com)に管理者アカウントでサインインします。
2. 左メニューから「エンタープライズアプリケーション」を選択します。
3. 「同意とアクセス許可」>「ユーザー同意の設定」を開きます。
4. 「管理者の同意を必要とするアプリに対するユーザー申請」が「はい」になっているか確認します。
5. 承認者の一覧に適切な管理者が設定されているか確認します。

一般ユーザーはこの画面を見ることができません。そのため、自分で確認したい場合は管理者に問い合わせる必要があります。

ユーザー側で試せる対処手順

管理者承認ワークフローが有効でも、適切に申請が行われないことがあります。以下の手順で、ユーザー側で可能な対処を試みてください。

手順1: 正しいURLからアプリにアクセスする

アプリによっては、直接のログインURLと同意を要求するURLが異なる場合があります。アプリの公式サイトか、組織が発行したリンクからアクセスしてください。ブックマークから開く場合は、古いURLの可能性があります。

手順2: ブラウザのプライベートモードで試す

キャッシュやCookieの影響でエラーが発生することがあります。プライベートモード(InPrivate / シークレットウィンドウ)で再度アプリにアクセスし、同意画面が表示されるか確認します。

手順3: 別のブラウザやデバイスで試す

使用しているブラウザの拡張機能がブロックしていることもあります。Chrome、Edge、Firefoxなど別のブラウザ、またはスマートフォンから試してみてください。

手順4: アプリの同意画面で「組織の代理で同意する」オプションがないか確認

一部のアプリでは、同意画面に「組織の代理で同意する」チェックボックスが表示されることがあります。これは管理者権限を持つユーザーしか使えませんが、自分に管理者権限がある場合はチェックを入れて同意できます。

手順5: 管理者承認ワークフローを利用して申請する

管理者がワークフローを有効にしている場合、エラーページに「管理者に申請する」リンクが表示されることがあります。そのリンクをクリックし、申請理由を入力して送信してください。承認されると、メールで通知が届きます。

管理者承認ワークフローの申請が通らない失敗パターン

申請しても承認されないケースがいくつかあります。代表的な失敗パターンを挙げます。

• 申請理由が不十分: 「仕事で使います」だけでは承認されにくいです。具体的な業務内容や必要性を記載しましょう。
• 申請するアプリが間違っている: 同じ名前の別のアプリを申請していないか確認してください。アプリIDが正しいかどうかが重要です。
• 管理者が承認者として設定されていない: ワークフローが有効でも、承認者が空欄の場合は承認されません。管理者に確認を依頼してください。
• 既に別のユーザーが申請済み: 同じアプリに対して複数申請ができても、承認者は最初の申請しか処理しない場合があります。状況を管理者に確認しましょう。
• アプリ自体がブロックされている: テナント全体で特定のアプリが許可されていない可能性もあります。

管理者に依頼すべき情報と伝え方

自分で解決できない場合は、管理者に以下の情報を伝えるとスムーズです。

• 発生しているエラーメッセージのスクリーンショット(全文を含む)
• アプリの名前とURL(正確なURLをコピー)
• アプリが要求する権限一覧(同意画面に表示される場合はスクリーンショット)
• 自分のユーザー名・テナント名(メールアドレスでも可)
• 試した対処方法とその結果(ブラウザ変更など)

管理者は、これらの情報をもとにEntra IDの監査ログや同意設定を確認し、必要に応じてアプリへの同意を直接付与することができます。

よくある質問

Q1. 管理者承認ワークフローが有効かどうかを自分で確認する方法はありますか?

一般ユーザーは管理画面にアクセスできないため、直接確認できません。エラー画面に「管理者に申請する」リンクが表示されていれば、ワークフローが有効である可能性が高いです。リンクがない場合は無効の可能性があります。

Q2. 申請してからどのくらいで承認されますか?

管理者が設定した承認者に依存します。通常は数時間から数日です。緊急の場合は別途管理者に連絡してください。

Q3. 同意を拒否されたアプリを再度利用するにはどうすればよいですか?

一度拒否されたリクエストは再申請可能です。新しい申請を送るか、管理者が明示的に拒否している場合は理由を確認してください。

まとめ

アプリの同意が拒否される場合、まずはエラーメッセージを確認し、原因がユーザー同意設定の制限か、管理者承認ワークフローの有効状態かを見極めてください。一般ユーザーができる対処としては、ブラウザの変更や申請リンクからの申請が有効です。それでも解決しない場合は、エラーのスクリーンショットやアプリ情報を添えて管理者に問い合わせましょう。管理者側では、Entra IDのユーザー同意設定と管理者承認ワークフローの設定を確認し、必要に応じてアプリに対する同意を付与することで問題を解決できます。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。