【Microsoft 365】Microsoft 365で管理者承認が必要なアプリを見分ける手順

Microsoft 365で業務アプリケーションを利用しようとしたとき、「管理者の承認が必要です」というメッセージが表示されることがあります。このエラーは、アプリが組織のリソース(ユーザーデータやメールなど)へのアクセスを要求しており、テナント全体の管理者が事前に同意を与えていない場合に発生します。ユーザー側でこのエラーを回避するには、まずどのアプリが管理者承認を必要としているのかを正確に見分けることが重要です。本記事では、管理者画面を使った確認手順から、ユーザー自身でできる事前確認、失敗しやすいケースまでを体系的に解説します。

「管理者承認が必要」と表示される原因

Microsoft 365では、アプリが組織のデータにアクセスするために「同意」が必要です。この同意にはユーザー同意と管理者同意の2種類があり、管理者がテナント全体に対して行う管理者同意が求められるのは、以下のような状況です。

• アプリが要求する権限が高リスクとみなされる(例:全ユーザーのメール読み取り、ディレクトリデータへのアクセスなど)。
• テナントの設定で「ユーザーによるアプリ同意」が無効になっている、または特定のアプリのみ制限されている。
• アプリがサードパーティ製であり、発行元がMicrosoftによって検証されていない。
• アプリが組織外のテナントに登録されており、クロステナントアクセスが必要な場合。

エラーメッセージには通常、アプリ名や発行元が表示されますが、詳細な権限要件を確認するには管理者画面を使用する必要があります。

アプリが管理者承認を要求するかどうかを確認する手順

管理者(グローバル管理者またはアプリケーション管理者)の権限がある場合は、以下の手順でアプリの同意設定を確認できます。一般ユーザーはこの手順を管理者に依頼するための参考にしてください。

1. Azure Portalにサインイン:https://portal.azure.com に管理者アカウントでログインします。
2. 「Azure Active Directory」を開く:左側のメニューから「Azure Active Directory」を選択します。
3. 「エンタープライズアプリケーション」をクリック:管理セクション内の「エンタープライズアプリケーション」を開きます。
4. 該当アプリを検索:上部の検索ボックスにアプリ名を入力し、表示されたアプリをクリックします。
5. 「プロパティ」を確認:左メニューの「プロパティ」を開き、「ユーザーに割り当てが必要ですか?」が「はい」になっているか確認します。
6. 「アクセス許可」を確認:左メニューの「アクセス許可」を開き、「管理者の同意が必要なアクセス許可」の一覧を確認します。ここに権限が表示されている場合、管理者同意が必要です。
7. 「許可」タブで管理者同意の状態を確認:「許可」タブを開き、「管理者の同意が付与されましたか?」の状態を確認します。

もし上記手順で「管理者の同意が必要なアクセス許可」に権限が表示されていて、かつ管理者同意が付与されていない場合、そのアプリは管理者承認が必要です。

ユーザー自身でできる事前確認

管理者権限がなくても、自分がアクセス可能なアプリの一覧を「マイアプリ」ポータルで確認できます。以下の手順で、すでに管理者同意が与えられているアプリとそうでないアプリを区別できます。

1. マイアプリにアクセス:ブラウザで https://myapps.microsoft.com にアクセスし、組織アカウントでサインインします。
2. アプリ一覧を確認:表示されたアプリのうち、アイコンに「管理者承認が必要」などのラベルが付いているものは、あなたの権限では利用できません。
3. アプリの詳細を開く:アプリをクリックして詳細画面を開き、権限要求の内容を確認します。
4. 管理者に連絡:必要な権限とアプリ名をメモし、IT管理者に「このアプリの管理者同意を依頼します」と伝えます。

状況別の比較表

アプリの種類によって、管理者承認が必要となる条件や対処が異なります。以下の表で比較してください。

アプリの種類	管理者承認が必要な主なケース	ユーザー同意が可能か	対処方法
Microsoftギャラリーアプリ(公式)	高い権限(全メール読み取りなど)を要求する場合、または管理者がユーザー同意を無効にしている場合	条件による(管理者設定次第)	管理者がAzure ADで「管理者の同意を付与」を実行
カスタムアプリ(自社開発)	アプリの登録時に要求する権限が「管理者同意が必要」に設定されている場合	開発者が設定を変更しない限り不可	管理者が事前に同意するか、開発者が権限を変更
サードパーティアプリ(外部ISV)	ほぼすべてのテナント間アクセスで管理者同意が必要	通常不可(テナント外のアプリ)	管理者がAzure ADで同意を付与するか、セキュリティ評価後に許可
多要素認証アプリ(例:Authenticator)	通常はユーザー同意で十分だが、組織ポリシーで制限されている場合がある	可能(ポリシーによる)	ユーザー自身で同意するか、管理者がポリシーを緩和

失敗しがちなパターンと対処法

管理者承認が必要なアプリを見分ける際、以下のような失敗パターンに注意してください。

失敗パターン1:エラーメッセージだけで判断してしまう

エラーには「管理者の承認が必要」と表示されますが、実際にはユーザー同意が可能なアプリもあります。例えば、組織が「ユーザーによるアプリ同意」を許可していても、特定の権限だけが管理者同意を要求する場合があります。エラーメッセージだけを見てあきらめるのではなく、上記の確認手順で詳細を調べることが大切です。

失敗パターン2:自分で同意ボタンを押そうとする

アプリの同意画面で「同意する」ボタンが表示されていても、それが管理者同意でなければ権限不足でエラーが続くことがあります。間違ってユーザー同意を実行すると、後で管理者が一貫性のない状態に気づき、セキュリティ監査で問題になる可能性もあります。必ず管理者に確認してから操作してください。

失敗パターン3:アプリがテナント内に存在しないと思い込む

「エンタープライズアプリケーション」にアプリが表示されない場合、そのアプリは未登録か、ユーザーが直接URLからアクセスしようとしている可能性があります。この場合でも、Azure ADの「アプリの登録」から検索できることがあります。また、管理者がアプリを事前に追加していないと、エラーが発生します。

管理者に確認すべき情報

管理者に依頼する際には、以下の情報をまとめて伝えるとスムーズです。

• アプリ名と発行元:エラーメッセージやマイアプリに表示されている正式名称と発行元を記載します。
• アプリのURL(該当する場合):ブラウザのアドレスバーからコピーします。
• 要求されている権限の一覧:アクセス許可の画面で確認できる権限をスクリーンショットなどで提供します。
• 使用目的:なぜこのアプリが必要なのか、どの業務で使うのかを簡単に説明します。
• エラー発生時の操作手順:いつ、どの画面でエラーが出たかを記録しておきます。

管理者はこれらの情報をもとに、アプリのセキュリティリスクを評価し、管理者同意を付与するかどうかを判断します。

よくある質問

Q1. ユーザー同意と管理者同意の違いは何ですか?

ユーザー同意は個々のユーザーがアプリに対して自分のデータへのアクセスを許可するものです。管理者同意はテナント全体のすべてのユーザーに対してアプリのアクセスを許可するもので、高い権限や組織全体のデータにアクセスする場合に必要になります。

Q2. 管理者同意が付与された後、ユーザーはすぐに使えますか?

通常は即座に反映されますが、最長で24時間かかる場合があります。また、アプリによってはユーザーが再度サインインする必要があります。

Q3. 自分で管理者同意を試みることはできますか?

一般ユーザーには管理者同意を付与する権限がありません。もしアプリの同意画面で「組織の代わりに同意する」ようなリンクがあっても、権限がないとエラーになります。必ず管理者に依頼してください。

Q4. テナント外のアプリ(サードパーティ)はすべて管理者同意が必要ですか?

ほぼすべてのテナント外アプリは管理者同意が必要です。ただし、Microsoftが認定した一部のアプリでは、ユーザー同意が許可される場合もあります。確認にはAzure ADの「エンタープライズアプリケーション」でアプリのプロパティを調べてください。

まとめ

Microsoft 365で「管理者承認が必要」と表示された場合、まずはAzure AD管理センターのエンタープライズアプリケーションでアプリのアクセス許可と同意状態を確認してください。アプリの種類や権限のレベルによって、ユーザー同意が可能か管理者同意が必要かが異なります。自分で解決しようとせず、必要な情報を整理してIT管理者に依頼することが安全で確実な対処法です。本記事で紹介した手順を参考に、スムーズなアプリ利用を目指してください。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。