Microsoft 365の業務中に「管理者の承認が必要です」という画面が表示され、先に進めなくなった経験はありませんか。このメッセージは、サインインしようとしたアプリやサービスが、組織の管理ポリシーによって制限されていることを示しています。ただし、表示されたからといってすべてが危険なわけではなく、安全なアプリでも同様の画面が出ることがあります。本記事では、アプリの同意要求が安全なものか危険なものかを見分ける方法と、実際に管理者へ依頼する際の伝え方を詳しく解説します。
【要点】この記事で確認すること
- 最初に見る場所: 承認画面のURL、発行元、要求されるアクセス許可(スコープ)の一覧です。
- 切り分けの軸: アプリが組織内で開発されたものか、外部の公開アプリか、また要求する権限が過剰でないかどうかです。
- 注意点: 会社のPCやアカウントで許可を与える操作は、管理者のみが行えます。勝手に許可しようとせず、必ずIT管理者に報告してください。
ADVERTISEMENT
目次
管理者承認が必要と表示される原因
Microsoft 365では、テナント管理者が「ユーザーがアプリに同意できるかどうか」を制御できます。通常、業務で必要なアプリは管理者が事前に承認済みですが、未承認のアプリを利用しようとすると「管理者の承認が必要です」と表示されます。この動作は、組織のデータを守るための重要なセキュリティ対策です。原因として、以下の3つが考えられます。
- テナント全体の同意ポリシー: 管理者が「ユーザーによるアプリ同意を禁止」または「特定のアプリのみ許可」に設定しているケースです。この場合、どのようなアプリでも自分で許可することはできません。
- アプリが要求する権限が高い: アプリが「すべてのメールを読む」「すべてのファイルにアクセス」など、広範なアクセス許可を要求すると、管理者承認が必要になります。ユーザー同意で対応できるのは、限定的な権限のみです。
- 発行元が不明または信頼されていない: Microsoft 365のアプリ登録情報で、発行元が検証されていない場合や、新しく作成されたアプリの場合、管理者承認が要求されることがあります。
原因を特定するには、表示された同意画面の内容をよく確認する必要があります。特に、アプリの名前、発行元、要求するアクセス許可の一覧は重要な判断材料です。
安全なアプリと危険なアプリの見分け方
「管理者の承認が必要です」と表示されたすべてのアプリが悪意のあるものとは限りません。しかし、安易に管理者に承認依頼を出す前に、自分で以下のポイントを確認することで、リスクを低減できます。ここでは、安全なアプリと危険なアプリの典型的な特徴を比較表にまとめました。
| 確認項目 | 安全なアプリの例 | 危険なアプリの例 |
|---|---|---|
| 発行元 | Microsoft、Adobe、Salesforceなど大手企業、または自社開発 | 個人名、無関係な会社名、発行元未検証(Verified publisher なし) |
| 要求する権限(スコープ) | 「サインインしてユーザー名を読む」「カレンダーの予定を読む(限定的)」など必要最小限 | 「すべてのメールにアクセス」「すべてのファイルを読み書き」「ユーザーになりすます」など過剰 |
| アプリのURL | https://app.example.com など正規ドメイン | https://suspicious-login.xyz など見慣れないドメイン |
| 同意画面の見た目 | Microsoftの標準ダイアログ、会社のロゴが表示される場合あり | 偽のログイン画面に誘導する、レイアウトが不自然 |
| 組織内での利用実績 | 同僚が使っている、社内ポータルで案内されている | 突然のポップアップで出てきた、非公式な経路で紹介された |
上記の表を参考に、まずは自分でアプリの安全性を評価してください。特に「発行元が未検証」かつ「過剰な権限を要求」しているアプリは、フィッシングやデータ窃取を目的とした悪意のあるアプリである可能性が高いため、決して管理者に承認依頼をしてはいけません。
発行元の確認方法
同意画面には「発行元」または「Publisher」という項目があります。Microsoft Entra ID(旧Azure AD)に登録されたアプリの場合、発行元が検証済みであれば「Verified publisher: Yes」と表示されます。また、発行元名をクリックすると詳細情報を確認できる場合があります。例えば「Microsoft Corporation」のように大手企業であれば信頼性は高いです。一方、「John Smith」のような個人名や、見たこともない会社名が表示された場合は注意が必要です。さらに、発行元ドメインがアプリの公式サイトと一致しているかも確認しましょう。
要求されるアクセス許可(スコープ)の読み解き方
同意画面では、アプリが要求する「アクセス許可」の一覧が表示されます。英語表記の場合もありますが、日本語の場合は以下のような表現が使われます。
- 低リスクと判断してよいスコープ: 「サインインしてプロフィールを読む」「メールアドレスを読む」「カレンダーの予定を読む(限定)」など。これらはアプリがユーザーを識別するために最低限必要な情報です。
- 中リスクなスコープ: 「メールを送信する」「ファイルを作成する」など。アプリの機能上必要な場合もありますが、悪用されるリスクもあります。
- 高リスクなスコープ: 「すべてのメールにアクセスする」「すべてのファイルにアクセスする」「ユーザーになりすまして操作する」「組織のディレクトリデータを読む」など。これらは極めて危険で、承認すべきではありません。
もしアプリが「offline_access」という権限を要求している場合、これは「ユーザーがオフラインでもアクセスできる」という意味で、リフレッシュトークンを保持する権限です。適切に使われる分には問題ありませんが、悪意のあるアプリがこの権限を悪用して長期にわたりアクセスし続ける可能性もあるため、発行元や他の権限と合わせて判断してください。
管理者承認を依頼する前に自分でできる確認手順
管理者に承認依頼を送る前に、以下の手順でアプリの安全性を確認し、必要に応じてスクリーンショットを保存しておくと、管理者への説明がスムーズになります。
- 同意画面のURLを確認する: 画面に表示されているアドレスバーのURLを確認します。正規のMicrosoftログイン画面であれば「https://login.microsoftonline.com/」で始まります。それ以外のドメインが含まれている場合は、フィッシングサイトの可能性があります。
- アプリの名前と発行元をメモする: 画面上部に表示されるアプリ名と「発行元: XXX」の部分を記録します。発行元が「Verified publisher」かどうかも確認してください。
- 要求されるアクセス許可の一覧をスクリーンショットに撮る: 画面全体をキャプチャし、特に「アクセス許可」のセクションがはっきり写るようにします。スマートフォンで撮影しても構いません。
- アプリの正当性を社内で確認する: 同僚や上司に「このアプリを使っていますか?」と聞く、社内ポータルやITヘルプデスクのページで案内がないか検索します。
- 管理者への報告内容を整理する: 「どのような場面で表示されたか」「アプリ名と発行元」「要求権限の概要」「スクリーンショット」をまとめて、管理者に送ります。可能であれば、そのアプリが業務上なぜ必要なのかの理由も添えてください。
この手順を踏むことで、管理者は安全だと判断した場合に迅速に承認できます。また、管理者が不審と判断した場合は、組織全体のセキュリティ向上につながります。
ADVERTISEMENT
よくある失敗パターンと注意点
実際の業務では、「管理者の承認が必要です」という画面を見て焦ってしまい、誤った判断をしてしまうケースが少なくありません。ここでは代表的な失敗パターンを紹介します。
- パターン1: 安易に「承諾」ボタンを押してしまう – 稀に、ユーザー自身で同意できる設定になっている場合でも「管理者の承認が必要です」と表示されることがあります。しかし、自分で承諾できるアプリであっても、組織のポリシーに違反する可能性があります。必ず管理者の指示を仰いでください。
- パターン2: 同意画面を鵜呑みにして管理者に転送する – 管理者は日々多くの承認リクエストを受け取ります。アプリ名だけを伝えて「承認してください」と送るのではなく、自分である程度の安全性評価をした上で連絡することで、管理者の負担を減らし、迅速な対応が期待できます。
- パターン3: 個人のMicrosoftアカウントでサインインして回避する – 「会社のアカウントではダメだったので、個人のMicrosoftアカウントでログインした」という行為は、組織のデータ漏洩につながる重大なセキュリティ違反です。絶対に行わないでください。
管理者に確認すべきこと・伝えるべき情報
管理者に承認を依頼する際は、以下の情報を明確に伝えると、スムーズな対応が期待できます。また、管理者側が判断するために必要な情報も併せて説明します。
| 伝える項目 | 具体的な内容例 |
|---|---|
| アプリの正式名称 | 例: 「Contoso Productivity Suite」 |
| 発行元 | 例: 「Contoso Inc. (Verified)」 |
| 要求アクセス許可のリスト | 例: 「サインインしてプロフィールを読む」「カレンダーの予定を読む」「メールを送信する」 |
| 使用目的(なぜ必要なのか) | 例: 「顧客とのスケジュール調整を効率化するために、このアプリでカレンダーを共有したい」 |
| スクリーンショット | 同意画面全体が写った画像を添付 |
管理者は、これらの情報をもとにMicrosoft Entra IDの管理画面でアプリを検索し、同意ポリシーやアプリの評価を行います。もし管理者が「このアプリは危険だ」と判断した場合は、その理由をフィードバックしてもらい、代わりの安全なアプリを提案してもらうことも可能です。
よくある質問(Q&A)
Q1. 自分で管理者承認をバイパスする方法はありますか?
A. ありません。ユーザーが意図的に承認を回避できる設定は、管理者側で無効化されています。もし何らかの方法で回避できたとしても、それはセキュリティポリシー違反となるため、絶対に行わないでください。必ずIT管理者に連絡しましょう。
Q2. 承認画面が英語で表示されて内容がわかりません。
A. そのままスクリーンショットを撮り、管理者に送ってください。管理者が翻訳して判断します。無理に日本語化しようとブラウザの翻訳機能を使うと、画面のレイアウトが崩れて正しい情報が伝わらない恐れがあります。
Q3. 以前は使えたアプリが突然「管理者の承認が必要です」と表示されるようになりました。
A. 管理者がアプリの同意を失効させたか、アプリ側で要求する権限が変更された可能性があります。また、セキュリティ上の理由で定期的に見直しが入ることもあります。再度管理者に確認してください。
まとめ
「管理者の承認が必要です」というメッセージが表示されたときは、まず落ち着いてアプリの発行元や要求権限を確認することが重要です。安全か危険かの判断に迷った場合は、安易に承認依頼をせず、IT管理者にスクリーンショット付きで報告してください。管理者は組織のセキュリティポリシーに基づいて適切に判断します。この記事で紹介した見分け方のポイントを活用し、不要なリスクを避けながら、業務に必要なアプリを安全に利用できるようにしましょう。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】宛先が「オートコンプリート」に出ない・間違っている時の修正手順|履歴の削除と再構築