【Microsoft 365】管理者承認が必要なアプリで組織の設定により操作できない時の確認手順

エラーが発生する原因と症状の理解

「管理者の承認が必要です」というエラーは、主にAzure Active Directory(現在はMicrosoft Entra ID)の「アプリの同意設定」と「条件付きアクセスポリシー」によって発生します。組織の管理者は、不正なアプリへのデータアクセスや情報漏洩を防ぐために、ユーザーが自らの判断でアプリを承認することを禁止し、管理者の承認を必須にしていることがあります。また、アプリが要求する権限(メールの読み取り、ファイルのアップロードなど)が組織のポリシーに合致しない場合もブロックされます。

具体的には次のようなシチュエーションで発生しやすいです。

• サードパーティの業務アプリ(例えばSlack、Trello、Zoomなど)をMicrosoftアカウントでログインしようとしたとき
• Microsoft純正アプリ(Power Apps、Power Automateなど)でカスタムコネクタを使用したとき
• 新しいアプリケーションをインストールして初回サインインしたとき
• 条件付きアクセスで特定のIPアドレス範囲外からアクセスしたとき

エラーの種類によっては、自分で「承認をリクエスト」ボタンから管理者に申請できる場合もあれば、申請ボタンすら表示されず直接ブロックされる場合もあります。まずは表示されているエラーメッセージを正確に読み取ることが重要です。

エラーメッセージの種類とその意味

下記の表は、よくあるエラーメッセージとその意味、取るべき行動をまとめたものです。自分の画面に表示されているメッセージと照らし合わせて確認してください。

自分でできる確認手順(5ステップ)

以下の手順を順に試してください。1つ目の手順で問題が解決することもありますが、無理に先に進もうとせず、それぞれの結果をメモしておくと管理者への連絡がスムーズになります。

1. エラーページのURLとメッセージを記録する
   ブラウザのアドレスバーに表示されているURL全体をコピーします。特に「?client_id=xxxxxxxx」という部分にアプリのIDが含まれていることが多く、管理者が特定するのに役立ちます。また、エラーメッセージが英語の場合はそのまま、日本語の場合は全文をメモ帳などに保存してください。
2. 別のブラウザやプライベートモードで試す
   ブラウザのキャッシュや拡張機能が原因で正しく認証されないケースがあります。Chromeならシークレットモード、EdgeならInPrivateモードで同じ操作を試みてください。これで成功した場合は、普段使っているブラウザの設定が問題である可能性が高いです。
3. 会社のネットワークに接続しているか、会社貸与のデバイスを使っているか確認する
   条件付きアクセスポリシーによって、社内ネットワーク(VPNを含む)または準拠デバイスからのみアクセスが許可されているアプリがあります。自宅のWi-Fiや個人のスマートフォンからアクセスしている場合は、会社のネットワークに接続してから再試行してください。
4. アプリがすでに他のユーザーに利用可能かどうかを同僚に確認する
   同じ部署の同僚で同じアプリを正常に使えている人がいるなら、あなたのアカウントまたはデバイスに問題がある可能性が高まります。逆に全員が使えないなら、テナント全体の設定が原因です。
5. 企業ポータルやマイアプリ(My Apps)からアクセスを試みる
   Microsoft 365の「マイアプリ」ポータル(https://myapps.microsoft.com)にサインインし、そのアプリが表示されているか確認します。表示されていれば、そこから直接サインオンできる場合があります。表示されていない場合は、そのアプリがユーザーに割り当てられていないため、管理者に割り当て依頼が必要です。

管理者に依頼する際に伝えるべき情報

エラーの原因が自分で解決できないと判断したら、IT管理者またはヘルプデスクに問い合わせます。その際、以下の情報を整理して伝えると、問題解決が迅速になります。

• エラーが発生した日時と状況(何をしようとしたか、どのような操作の後でエラーが出たか)
• エラーメッセージのスクリーンショットとURL(特にclient_id)
• アプリの名前とベンダー(例:Slack、Zoom、特定のカスタムアプリ)
• 使用しているデバイスの種類(会社貸与PC、個人PC、スマートフォンなど)とネットワーク環境(社内、自宅、モバイル)
• 同じアプリを他のユーザーが使えているかどうか(確認した結果)

管理者側では、これらの情報をもとにAzure ADのサインインログを調査し、ブロックされた理由を特定します。自分でエラーを解決しようと長時間試行錯誤するよりも、早めに管理者へエスカレーションするほうが結果的に早いことも多いです。

管理者が行う可能性のある設定の概要

参考までに、IT管理者がどのような操作で問題を解決するのかを説明します。ただし、一般ユーザーはこれらの操作を自分で行ってはいけません。あくまで管理者への依頼内容を理解するための情報です。

管理者は以下のような設定をAzure Portalから行います。

• アプリの同意設定の変更: エンタープライズアプリケーションの「ユーザー同意設定」を有効にすることで、ユーザー自身がアプリを承認できるようになります。ただし、セキュリティリスクを考慮し、必要性が高い場合のみ設定されます。
• テナント全体の管理者同意の付与: 特定のアプリに対して管理者が明示的に同意を与える操作です。これにより、そのアプリは組織内の全ユーザーが使用可能になります。
• 条件付きアクセスポリシーの調整: デバイスのコンプライアンス、場所、リスクレベルなどに基づいてアクセスを制御している場合、対象のアプリやユーザーグループのポリシーを見直します。
• アプリのユーザー割り当て: アプリが「割り当てが必要」に設定されている場合、ユーザーをそのアプリに追加します。

管理者はこれらの設定を変更する前に、組織のセキュリティポリシーやコンプライアンス要件を確認する必要があります。そのため、依頼から設定変更までに時間がかかることもあります。緊急の場合は、その旨を伝えて優先度を上げてもらいましょう。

よくある質問と失敗パターン

実際によくある質問と、よくある失敗例を紹介します。

Q1: 「承認をリクエスト」ボタンを押したのに何も起こらない

稀にボタンを押しても処理が完了しない場合があります。その場合は、F5キーで画面を再読み込みするか、ブラウザのキャッシュをクリアしてから再度試してください。それでもダメなら、管理者に直接連絡し、自分がリクエストを送信したことを伝えてください。管理者側で保留中のリクエストを確認してもらえます。

Q2: 管理者に連絡したが「設定は変更できない」と言われた

組織のセキュリティポリシー上、特定のアプリの利用がそもそも許可されていない可能性があります。その場合は、代替のアプリを提案されるか、利用申請のプロセスが別途必要かもしれません。管理者に「利用不可の理由」と「代替手段」を尋ねてみてください。

Q3: 会社のPCからアクセスしているのにブロックされる

会社PCでも、条件付きアクセスの「準拠デバイス」要件に合致していない場合があります。例えば、セキュリティ更新プログラムが適用されていない、ウイルス対策ソフトが無効になっているなどの理由でデバイスが非準拠と判定されることがあります。会社のITポリシーに従ってデバイスを正常な状態に保ってください。

失敗パターン: 個人のMicrosoftアカウントでログインしようとする

業務で使うアプリは、組織の職場アカウントでサインインする必要があります。誤って個人のoutlook.comやhotmail.comのアカウントでログインすると、「このアカウントではアクセスできません」というエラーが出ます。必ず会社から付与されたメールアドレス(xxx@company.com など)でサインインしているか確認してください。

まとめ

「管理者承認が必要」や「組織の設定により操作できません」というエラーは、多くの場合ユーザー側の設定では解決できませんが、エラーの内容を正しく読み取り、適切な手順で管理者に連絡することでスムーズに解決できます。まずはエラー画面の情報を記録し、ブラウザやネットワークの基本確認を行った上で、必要なら管理者へ依頼してください。自分だけで何とかしようと長時間試行錯誤するよりも、早めに管理者に状況を伝えることが結果的に時間節約になります。また、日頃から会社のITポリシーや利用ルールを確認し、準拠したデバイス・ネットワーク環境で業務を行うことがトラブル防止につながります。