会社のMicrosoft 365環境で業務に必要なアプリケーションを利用しようとしたところ、「管理者の承認が必要です」というエラーが表示され、先に進めない経験はないでしょうか。この問題は、組織のセキュリティポリシーによってアプリの利用が制限されていることが原因です。特にAzure Active Directory(Azure AD)でアプリの同意ポリシーが設定されている場合、ユーザーが自分で許可を与えることができません。本記事では、ブロックされる原因を体系的に確認し、ユーザー自身でできる切り分けと、管理者に依頼すべきポイントを解説します。
【要点】この記事で確認すること
- 最初に見る場所: エラーメッセージの内容と、表示されるアプリ名・アクセス許可の要求内容を記録する
- 切り分けの軸: ユーザーアカウントの種類(メンバーかゲストか)、ブラウザの状態(キャッシュ・シークレットモード)、組織の条件付きアクセスポリシー
- 注意点: 会社PCでアプリの同意設定を自分で変更しようとしないこと。必ずIT管理者またはAzure AD管理者に連絡する
ADVERTISEMENT
目次
1. ブロックされる原因を理解する
アプリがブロックされる主な原因は、組織のAzure ADに設定された「管理者同意ポリシー」と「条件付きアクセスポリシー」にあります。Microsoft 365では、サードパーティアプリや特定のMicrosoftアプリがユーザーの代わりにデータにアクセスする際、同意が必要です。組織が「ユーザーはアプリへの同意を許可しない」設定にしている場合、管理者による承認が必須となります。
アプリの種類と同意の必要性
すべてのアプリがブロックされるわけではありません。以下の表に、よくあるアプリのカテゴリと同意の必要性を示します。
| アプリカテゴリ | 同意の必要性 | ブロックされる条件 |
|---|---|---|
| Microsoft純正アプリ(Teams, Outlookなど) | 通常は不要 | 条件付きアクセスで制限される場合あり |
| サードパーティアプリ(Slack, Zoom連携など) | ユーザー同意 or 管理者同意 | 組織がユーザー同意を無効にしている |
| カスタム開発アプリ(自社アプリ) | 管理者同意が必要 | 管理者同意が未実施 |
条件付きアクセスポリシーによるブロック
条件付きアクセスポリシーは、アプリへのアクセスをIPアドレス、デバイスのコンプライアンス、リスクレベルなどに基づいて制御します。たとえば、未登録デバイスからのアクセスを禁止するポリシーが有効な場合、会社PCであってもデバイスが適切に登録されていないとブロックされます。エラーメッセージに「アクセスが拒否されました」や「条件付きアクセスポリシーによりブロック」と表示されることがあります。
2. 確認すべき初期手順
ブロックに遭遇したら、まず以下の手順で情報を整理します。これにより、原因を特定しやすくなります。
- エラーメッセージをスクリーンショットまたはテキストで記録する。特に「管理者の承認が必要」「アクセスが拒否されました」「デバイスが準拠していません」といった文言を確認する。
- ブラウザのシークレットモード(InPrivate/シークレットウィンドウ)で再度アクセスを試みる。キャッシュやCookieが原因で誤表示される場合がある。
- 別のブラウザ(Edge、Chrome、Firefox)でテストする。ブラウザの拡張機能が干渉することもある。
- 会社のネットワークに接続しているか、自宅や外出先のネットワークかを確認する。条件付きアクセスで特定のIP範囲のみ許可されている可能性がある。
- 自分のアカウントが「ゲストユーザー」か「メンバー」かを確認する(Outlook Web AppやTeamsのプロファイル情報から確認可能)。ゲストユーザーは追加の制限を受ける場合がある。
エラーメッセージの具体的な読み取り方
エラーページには「AADSTS」で始まるコードや「90094」「65001」などの数字が含まれていることがあります。以下はよく見られるコードとその意味です。
| エラーコード | 意味 | 対処 |
|---|---|---|
| AADSTS90094 | 管理者の同意が必要 | 管理者にアプリの同意を依頼する |
| AADSTS65001 | アプリまたはリソースへのアクセス許可が不足 | 管理者がアプリに適切なアクセス許可を割り当てる |
| AADSTS50076 | 多要素認証が必要 | MFAを設定するか、条件付きアクセスポリシーを確認 |
3. 失敗パターンとその対処
よくある失敗パターンをいくつか紹介します。これらに当てはまる場合、自分で解決できる可能性は低く、管理者の対応が必要です。
- パターン1: アプリの利用開始時に毎回「管理者の承認が必要」と表示される。→ 組織の同意設定でユーザー同意が無効になっているため、管理者が事前に同意を与える必要があります。
- パターン2: 特定の条件下(例:自宅ネットワーク)でのみブロックされる。→ 条件付きアクセスポリシーが発動している可能性が高いです。管理者にポリシーの詳細を確認してもらいましょう。
- パターン3: 別の同僚は使えるのに自分だけ使えない。→ アカウントのライセンス割り当てやグループメンバーシップが異なる可能性があります。管理者に自分のアカウント設定を確認してもらいましょう。
ADVERTISEMENT
4. 管理者に依頼する前に確認すべきこと
管理者に連絡する前に、以下の情報を整理しておくとスムーズです。
- 問題のアプリ名と、そのアプリが要求するアクセス許可(例:メールの読み取り、ユーザー情報の取得など)を記録する。
- エラーメッセージのスクリーンショットと、発生時刻・利用していたブラウザ・ネットワーク環境を伝える。
- 自分以外のユーザーでも同じ問題が発生しているかどうかを確認する。チーム内で複数人が該当する場合、組織全体の問題である可能性が高い。
- アプリのURLやID(Azure ADのエンタープライズアプリケーションに表示されるオブジェクトID)を控えておく。
管理者に伝える情報のまとめ
管理者が迅速に対応するためには、具体的な情報が重要です。以下の項目をメールやチケットに含めるとよいでしょう。
- 自身のユーザープリンシパル名(UPN、例: user@company.com)
- アプリの名称と提供元(例: 「Slack – Microsoft 365 コネクタ」など)
- 表示されたエラーコード(AADSTSxxxxx)
- 再現手順(いつ、どの操作で発生するか)
5. 管理者が確認すべき設定と依頼内容
ここでは、管理者側で確認・変更が必要な設定項目を説明します。ユーザーはこの内容を参考に、管理者へ具体的な依頼をすることができます。
Azure ADの同意設定
管理者はAzure AD管理センターで「エンタープライズアプリケーション」→「ユーザー設定」から、ユーザーがアプリに同意できるかどうかを制御できます。「ユーザーはアプリへの同意を許可できますか」というオプションが「いいえ」になっている場合、すべてのアプリで管理者同意が必要です。特定のアプリだけ許可したい場合は、「管理者同意のワークフロー」を有効にすることで、ユーザーが承認を要求できるようになります。
条件付きアクセスポリシーの確認
条件付きアクセスポリシーがアプリに適用されているかどうかを確認します。特に「すべてのクラウドアプリ」を対象にしたポリシーがある場合、新しいアプリも影響を受けることがあります。管理者はポリシーから該当アプリを除外するか、ユーザーがポリシーの条件を満たすようにデバイス登録やMFA設定を促す必要があります。
アプリへのアクセス許可割り当て
アプリに必要なアクセス許可が適切に割り当てられていないケースもあります。管理者は「エンタープライズアプリケーション」で該当アプリを開き、「アクセス許可」タブで要求されている権限を確認し、必要に応じて「管理者の同意を付与」を実行します。これにより、アプリが組織全体のデータにアクセスできるようになります。
6. よくある質問
Q1: 自分で「管理者の同意を要求」するボタンを押してもよいですか?
はい、多くのエラーページには「管理者の承認を要求」リンクがあります。これをクリックすると、管理者に承認リクエストが送られます。ただし、組織で「管理者同意のワークフロー」が有効になっていないと機能しない場合があるため、併せて管理者に直接連絡することをおすすめします。
Q2: ゲストユーザーはどうやってアプリを使えるようにしますか?
ゲストユーザーは通常、組織外のアカウントです。管理者がゲストユーザーに対してアプリの利用を許可するには、Azure ADでゲストユーザーのアクセス権限を設定するか、アプリのプロパティで「他のディレクトリからのユーザーに割り当て可能」を有効にする必要があります。また、条件付きアクセスでゲストユーザーをブロックしている場合があるので、管理者に確認が必要です。
Q3: アプリが「ブロックされました」と表示され、エラーコードがない場合は?
エラーコードがない場合、ブラウザの拡張機能やセキュリティソフトが原因の可能性があります。拡張機能を無効にして再試行するか、別のブラウザで試してください。それでも解決しない場合は、ネットワーク管理者に問い合わせて、プロキシやファイアウォールでアプリの通信が遮断されていないか確認してもらう必要があります。
7. まとめ
Microsoft 365でアプリがブロックされる問題は、多くの場合、組織の同意ポリシーや条件付きアクセスポリシーが原因です。ユーザーは自分で設定を変更できないため、まずはエラーメッセージを確認し、上司やIT管理者に正確な情報を伝えることが重要です。管理者側では、Azure ADの同意設定や条件付きアクセスポリシーを見直し、必要に応じてアプリへの管理者同意を付与することで解決できます。再発防止のためには、新しいアプリを導入する際に事前に管理者承認を得る運用ルールを整えておくとよいでしょう。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【Outlook】宛先が「オートコンプリート」に出ない・間違っている時の修正手順|履歴の削除と再構築
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する