Microsoft 365環境で業務アプリケーションを利用する際に、「管理者承認が必要」というポップアップが表示され、アプリが起動できないというトラブルは少なくありません。特に、Intuneで管理された組織では、端末がコンプライアンスポリシーに準拠していることがアプリ利用の条件となる場合が多く、このエラーは端末の登録状態や準拠状況に問題があることを示唆します。しかし、単にPCを再起動したり、サインインし直したりしても解決しないことが多く、原因の切り分けが重要です。本記事では、このエラーが消えないときの具体的な確認手順と、登録状態をチェックする方法を解説します。
【要点】この記事で確認すること
- 最初に見る場所: Windowsの「設定」→「アカウント」→「職場または学校にアクセスする」で、組織のアカウントが正しく接続されているか、同期状態を確認します。
- 切り分けの軸: 端末側の登録状態(Azure AD参加かハイブリッド参加か)と、Intune側の準拠ステータス、アプリの承認設定(管理者承認の有無)の3つに分けて考えます。
- 注意点: 会社PCでは、登録解除や再登録は管理者の指示なしで行わないでください。また、プライベートPCを業務用に登録している場合は、ポリシーの影響範囲を理解しておく必要があります。
ADVERTISEMENT
目次
端末準拠エラーが消えない原因の全体像
「管理者承認が必要」というエラーは、通常、Intuneのアプリ保護ポリシーや条件付きアクセスが原因で発生します。具体的には、利用しようとしているアプリが管理者による承認を要求するよう設定されている場合、または端末がコンプライアンスポリシーに準拠していない場合に表示されます。ただし、実際には端末自体の登録が不完全だったり、Azure ADとの同期が滞っていたりするケースがよく見られます。原因を大きく分けると、以下の3つです。
- 端末登録の不備: WindowsがAzure ADやIntuneに正しく登録されていない、または登録情報が破損している。
- コンプライアンス非準拠: 端末が組織のセキュリティポリシー(パスワード要件、暗号化、OSバージョンなど)を満たしていない。
- アプリ承認設定: アプリ自体が「管理者承認が必要」に設定されており、ユーザーが利用するには管理者の許可が必要。
最初に確認すべきは、端末が適切に登録されているかどうかです。多くの場合、このエラーは登録状態の異常に起因するため、本記事では特に「登録状態チェック」に焦点を当てます。
最初に確認すべき端末の登録状態
端末の登録状態を確認するには、以下の手順を実施してください。この操作は会社PCでも安全に行えます。
- Windowsの「設定」を開き、「アカウント」→「職場または学校にアクセスする」をクリックします。
- 表示された一覧に、所属組織のアカウント(例:yourname@company.com)が表示されていることを確認します。表示されていない場合は、端末が組織に登録されていない可能性があります。
- アカウントをクリックして「情報」を開き、「同期」ボタンがあればクリックします。同期が成功し、最終同期日時が最新になることを確認します。
- コマンドプロンプトを管理者として開き、「dsregcmd /status」と入力して実行します。出力結果の「AzureAdJoined」「DomainJoined」「Device Name」などの項目を確認します。特に「AzureAdJoined」が「YES」で、「Device Name」が実際の端末名と一致していることを確認してください。
- ブラウザでIntuneポータルサイト(https://portal.manage.microsoft.com)にアクセスし、サインインして「デバイス」タブを開きます。ここに端末が表示され、準拠状態が「準拠」と表示されていれば正常です。
手順4のdsregcmdコマンドでは、以下のような状態が理想的です。
- AzureAdJoined : YES
- EnterpriseJoined : NO(通常はNO)
- DomainJoined : 環境による(ハイブリッド参加の場合はYES)
もし「AzureAdJoined」が「NO」である場合、端末はAzure ADに参加しておらず、Intune管理の対象外になっている可能性があります。その場合は、管理者に連絡して適切な登録手続きを依頼してください。
アクセス条件とアプリの承認状態の確認
端末登録が正常でも、アプリ自体が管理者承認を要求している場合はエラーが表示されます。ここでは、その確認方法を説明します。
アプリ利用条件の確認
組織によっては、特定のアプリ(特に業務アプリやCopilotなどのAI機能を含むアプリ)に対して「管理者承認が必要」という条件付きアクセスポリシーが適用されていることがあります。エラーメッセージに「管理者に連絡してください」と表示されていれば、その可能性が高いです。
Azure ADのエンタープライズアプリケーション確認
管理者以外は直接確認できませんが、以下の情報を参考にして管理者に問い合わせてください。
- Azure AD管理センターの「エンタープライズアプリケーション」で該当アプリを開き、「プロパティ」の「ユーザー割り当てが必要ですか?」が「はい」になっている場合、ユーザーがアプリに割り当てられていないとエラーになります。
- 「条件付きアクセス」ポリシーで、アプリに対して「デバイスは準拠としてマーク済み」または「承認済みクライアントアプリが必要」といった条件が設定されていると、端末が準拠していないとアクセスできません。
特に、「管理者承認が必要」という文言が正確に「管理者の承認が必要です」と表示される場合、Azure ADのエンタープライズアプリケーションで「ユーザー割り当てが必要」かつ「管理者の同意が必要」な設定になっている可能性があります。
ADVERTISEMENT
トラブルシューティング:よくある失敗パターンと対処法
実際の現場でよく見られる失敗パターンをいくつか挙げます。該当するものがないか確認してみてください。
失敗パターン1:同期が切れている
「職場または学校にアクセスする」で同期を実行してもエラーが解消しない場合、一度アカウントを切断して再接続する方法があります。ただし、切断すると端末がIntune管理から外れるため、必ず管理者の許可を得てから行ってください。切断後、再起動してから再度「接続」をクリックし、組織アカウントでサインインします。
失敗パターン2:プロキシやVPNの影響
会社のプロキシ環境下では、IntuneやAzure ADへの接続がブロックされることがあります。特に、dsregcmdコマンドがタイムアウトする場合、プロキシ設定を見直す必要があります。管理者にプロキシの例外設定(*.manage.microsoft.comや*.msftidentity.comなど)を依頼してください。
失敗パターン3:複数の職場アカウントが混在
同じPCに複数の組織アカウントが登録されていると、競合が発生することがあります。「職場または学校にアクセスする」に表示されていないアカウントを削除し、必要なアカウントだけ残してください。削除も管理者の指示に従ってください。
状況別比較表
| 確認項目 | 正常な状態 | エラー発生時の状態 |
|---|---|---|
| Azure AD参加状態 (dsregcmd) | AzureAdJoined: YES | AzureAdJoined: NO または空 |
| 同期状態 (設定アプリ) | 最終同期が最新、エラーなし | 同期が必要な状態、または同期失敗 |
| Intuneデバイス準拠状態 | 準拠 | 非準拠 または 未登録 |
| アプリの管理者承認 | 承認済み(ユーザーに割り当てあり) | 未承認、または同意待ち |
管理者に伝えるべき情報と依頼内容
自分で解決できない場合は、管理者に以下の情報を伝えるとスムーズです。
- エラーが発生しているアプリ名とエラーメッセージのスクリーンショット
- dsregcmd /status の出力結果(特にAzureAdJoinedやDevice Name)
- 同期の最終成功日時と、その後に変更した設定(パスワード変更など)
- PCのOSバージョンとビルド番号(設定→システム→バージョン情報)
管理者が確認すべきポイントは、Azure ADでのデバイスオブジェクトの状態、Intuneのコンプライアンスポリシーの割り当て、アプリの条件付きアクセスポリシーです。特に、端末が「登録済み」でありながら「準拠」になっていない場合、コンプライアンスポリシーの条件(例えばBitLocker暗号化の有効化など)を満たしているか確認する必要があります。
よくある質問 (FAQ)
Q1. エラーが表示されるのは特定のアプリだけです。原因は何ですか?
特定のアプリだけエラーになる場合、そのアプリにのみ条件付きアクセスや管理者承認設定が適用されている可能性が高いです。他のアプリは問題なく使えるなら、端末の登録状態はおそらく正常です。管理者にそのアプリの設定を確認してもらってください。
Q2. PCを再起動しても直りません。どうすればいいですか?
再起動だけでは解決しないケースがほとんどです。上記の手順に従って、まずは同期とdsregcmdで登録状態を確認してください。それでもダメなら、管理者に連絡し、Intune管理コンソールで端末の「ワイプ」や「再登録」を依頼する必要があります。
Q3. 個人のWindows PCを業務で使っています。影響はありますか?
個人PCをAzure ADに登録している場合、業務アプリ利用のためにコンプライアンスポリシーが適用されることがあります。例えば、パスワードの長さや画面ロック時間が強制されることがあります。管理者承認エラーが出ているなら、個人PCでも同様の手順で確認できますが、登録解除は慎重に行ってください。
まとめ
「管理者承認が必要」というエラーが消えない場合、多くの原因は端末の登録状態にあります。まずはWindowsの「職場または学校にアクセスする」とdsregcmdコマンドで端末が正しくAzure ADに参加しているか確認してください。次に、Intuneポータルで準拠状態をチェックし、問題があれば同期を試みます。それでも解決しない場合は、アプリ自体の承認設定や条件付きアクセスポリシーが原因である可能性が高いため、管理者と連携して対処することが重要です。再発防止には、定期的な同期の実施と、OSやセキュリティ設定をポリシーに沿って維持することが役立ちます。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】宛先が「オートコンプリート」に出ない・間違っている時の修正手順|履歴の削除と再構築