企業でMicrosoft Entra ID(旧Azure Active Directory)を利用していると、アプリケーションの登録や同意設定を特定のユーザーが担当しているケースがよくあります。そのユーザーが退職した場合、アプリの所有者が不在となり、同意設定の変更や管理ができなくなるトラブルが発生します。例えば、新しい認証方式に対応するため同意を更新したい、利用スコープを変更したいなどの要件があるのに、管理画面で操作ができないという状況です。この記事では、アプリ所有者退職後に同意設定を変更できなくなった原因を切り分け、具体的な引き継ぎ手順や管理者が行うべき設定を詳しく解説します。
【要点】この記事で確認すること
- 最初に見る場所: Entra ID管理センターの「エンタープライズアプリケーション」または「アプリの登録」で、該当アプリの所有者と必要な管理者ロールを確認する。
- 切り分けの軸: 「アプリの所有者が不在なだけか」「全体管理者やアプリ管理者権限が不足しているか」「ユーザーの同意設定が組織ポリシーで制限されているか」の3軸で状況を把握する。
- 注意点: 退職ユーザーのアカウントが既に削除されていると、アプリの所有者追加を別のユーザーが行えない場合がある。その場合、全体管理者が直接操作するか、Delegate(委任)権限を付与する必要がある。
ADVERTISEMENT
目次
1. なぜ同意設定が変更できなくなるのか
アプリケーションの同意設定を変更するには、そのアプリケーションの所有者であるか、またはEntra ID内で適切な管理者ロール(アプリケーション管理者、クラウドアプリケーション管理者、全体管理者など)を持っている必要があります。退職したユーザーが唯一の所有者であった場合、そのユーザーが削除されるとアプリの所有者がいなくなり、誰も同意設定を変更できなくなります。また、退職後もアカウントが無効化されているだけの場合は、所有者としての権限は残っていますが、通常はそのアカウントでサインインできないため実質的に操作不可となります。
さらに、組織全体の同意設定が「ユーザーはアプリへの同意を許可されない」または「管理者の同意のみ許可」に設定されている場合、たとえアプリの所有者であっても個別に同意設定を変更できないケースがあります。この場合は全体管理者またはアプリ管理者が管理者同意を与える必要があります。
2. トラブルの原因を切り分けるための確認手順
まずは現状を把握するために、以下の手順で確認を行ってください。これらの手順は少なくとも「アプリケーション管理者」以上の権限を持つアカウントで実行する必要があります。
- Entra ID管理センターにサインイン(https://entra.microsoft.com)し、「アプリケーション」→「エンタープライズアプリケーション」または「アプリの登録」へ移動します。
- 該当アプリケーションを選択し、左メニューから「プロパティ」または「所有者」を開きます。所有者の一覧に退職ユーザーだけが表示されている場合、他に所有者はいない状態です。
- アプリの「同意とアクセス許可」タブを確認します。ここで「ユーザーの同意」や「管理者の同意」の状態を確認できます。管理者の同意がまだ付与されていない場合は、灰色のボタンで操作できない可能性があります。
- Entra IDのテナント全体の同意設定を確認します。「アイデンティティ」→「アプリケーション」→「エンタープライズアプリケーション」→「同意とアクセス許可」→「ユーザーの同意設定」から、組織のポリシーを確認します。「ユーザーはアプリへの同意を許可されない」になっている場合、個別の同意設定を変更するには管理者同意が必要です。
- 自分が持っているロールを確認します。「Entra ID」→「ロールと管理者」→「自分のロール」から、アプリケーション管理者以上の権限があるか確認します。全体管理者であればすべて操作可能です。
2-1. よくある失敗パターン
トラブルシューティングでよく見られる失敗例を挙げます。
- 退職ユーザーのアカウントが完全削除されているのに気づかずに操作を試みる: アカウントが削除されると、そのユーザーはどのリソースの所有者でもなくなります。アプリの所有者欄には「見つかりません」と表示される場合があります。
- 全体管理者ではないユーザーが、自分に「所有者」権限を追加しようとする: アプリの所有者を追加するには、既存の所有者または全体管理者の権限が必要です。誰も所有者がいない場合は全体管理者しか追加できません。
- ユーザー同意の設定を変更するだけでは不十分なケース: アプリが要求するアクセス許可が「管理者の同意が必要」な種類(高い権限を要求するアプリ)の場合、個別のユーザー同意では足りず、必ず管理者同意が必要です。
3. 引き継ぎ手順:新しい所有者を追加する
アプリの所有者を新しいユーザーに追加するには、以下の手順を実行します。この操作は全体管理者またはアプリケーション管理者が行います。
- Entra ID管理センターで「アプリの登録」を開き、該当アプリケーションを選択します。
- 左メニューから「所有者」を選択し、「+ 所有者の追加」をクリックします。
- 新しい所有者として追加したいユーザー(またはサービスプリンシパル)を検索して選択します。
- 選択が完了したら「追加」をクリックします。これで新しいユーザーが所有者として登録されます。
- 同様に、エンタープライズアプリケーション側でも所有者を追加する必要がある場合があります。アプリの登録とエンタープライズアプリケーションは関連していますが、別途設定が必要なケースもあるため、両方で所有者を確認します。
もし「所有者の追加」ボタンがグレーアウトしている場合は、現在のロールに権限がない可能性があります。全体管理者に依頼してください。
ADVERTISEMENT
4. 管理者同意を付与する方法
アプリの所有者を追加した後、または全体管理者が直接、管理者同意を付与することで同意設定を更新できます。手順は以下の通りです。
- 「エンタープライズアプリケーション」から該当アプリを選択します。
- 左メニューから「セキュリティ」→「アクセス許可」を開きます。
- 「管理者の同意を付与します」というボタン(テナント名が表示される)をクリックします。
- 確認ダイアログで「同意する」を選択します。この操作は全体管理者またはアプリケーション管理者の権限が必要です。
- 同意が付与されると、アプリのアクセス許可が更新され、すべてのユーザーがそのアプリを使用できる状態になります。
管理者同意を付与する前に、アプリが要求するアクセス許可の内容を必ず確認してください。不要な高い権限を付与してしまうとセキュリティリスクになります。
5. 状況別の対応方法比較表
| 状況 | 発生し得る問題 | 対応方法 |
|---|---|---|
| 退職ユーザーが唯一の所有者で、アカウント削除済み | アプリに所有者なし。同意設定変更不可。 | 全体管理者がアプリの登録に新しい所有者を追加する。 |
| 退職ユーザーが唯一の所有者だが、アカウント未削除(無効) | 理論上は所有者だがログイン不可で操作不能。 | 全体管理者が所有者を追加する。またはアカウントを一時的に有効化して引き継ぐ(非推奨)。 |
| 組織の同意ポリシーでユーザー同意が禁止されている | ユーザーがアプリに同意できない。管理者同意が必要。 | 全体管理者がアプリに管理者同意を付与する。ポリシー変更は慎重に。 |
| 自分はアプリケーション管理者だが、アプリの所有者ではない | アプリのプロパティ変更は可能だが、同意設定の変更には追加権限が必要かも。 | アプリケーション管理者ロールがあれば、多くの操作は可能。ただしアプリの所有者追加は全体管理者権限が必要な場合がある。 |
6. 管理者に確認すべきポイント
トラブルが発生した際、IT管理者やグローバル管理者に依頼する前に、以下の情報を整理しておくとスムーズです。
- アプリケーションのID(アプリIDまたはオブジェクトID): 管理画面で確認できる一意の識別子です。
- 退職ユーザーのUPNまたはオブジェクトID: 該当のユーザーが特定できる情報。
- 変更したい同意設定の内容: どのアクセス許可を追加・削除したいのか、管理者同意が必要かどうか。
- 現在のエラーメッセージ: 操作中に表示されるエラーがあれば、スクリーンショットを用意する。
管理者は通常、全体管理者またはアプリケーション管理者ロールを持っています。依頼時には「アプリの所有者を追加してほしい」「管理者同意を付与してほしい」など、具体的なアクションを依頼しましょう。
7. よくある質問(FAQ)
Q1. 退職ユーザーのアカウントが完全に削除されています。どうすれば所有者を追加できますか?
全体管理者権限でアプリの登録にアクセスし、新しい所有者を追加します。退職ユーザーが削除されていても、アプリ自体は残っているため、全体管理者が所有者を設定できます。
Q2. アプリケーション管理者ロールを持っていますが、アプリの所有者を追加できません。
アプリケーション管理者は多くの操作が可能ですが、アプリの所有者を追加するには「アプリの登録」における所有者管理の権限が必要です。実際には全体管理者のみが所有者を追加できる場合があります。その場合は全体管理者に依頼してください。
Q3. 所有者を追加した後でも、ユーザーがアプリに同意できません。
組織の同意設定が「ユーザーはアプリへの同意を許可されない」になっていると、個別のユーザー同意はできません。この場合、アプリのアクセス許可画面で「管理者の同意」を付与する必要があります。管理者同意を付与すると、すべてのユーザーがそのアプリを使用できるようになります。
Q4. 引き継ぎが完了したかどうか、どのように確認すればよいですか?
新しい所有者でEntra ID管理センターにサインインし、該当アプリケーションの「所有者」一覧に自分が表示されていることを確認します。また、同意設定の変更が可能かどうか、テスト用のユーザーで実際にアプリにアクセスして同意を試みるとよいでしょう。
まとめ
アプリの所有者が退職した後に同意設定を変更できなくなる問題は、適切な権限を持つ管理者がアプリの所有者を追加し、必要に応じて管理者同意を付与することで解決できます。まずはEntra ID管理センターで現在の所有者と組織の同意ポリシーを確認し、原因を切り分けることが重要です。全体管理者またはアプリケーション管理者が対応できるため、社内のIT部門に速やかに相談してください。
日頃からアプリケーションの所有者は複数名設定しておく、退職予定者のアプリ所有権を事前に引き継ぐなどの予防策を取ることで、このようなトラブルを未然に防ぐことができます。また、アプリケーションの利用状況を定期的に棚卸しし、不要なアプリは整理することもおすすめします。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】メール本文が「文字化け」して読めない!エンコード設定の変更と修復手順