【Microsoft 365】PIMで管理者権限を有効化できない時の承認フロー確認

Microsoft 365のPrivileged Identity Management(PIM)は、管理者権限を必要なときだけ付与する仕組みです。しかし、権限を有効化しようとしても承認が下りずに作業が進められないケースが少なくありません。特に、承認フローが正しく設定されていないと、有効化リクエストが永遠に保留状態になったり、そもそもリクエストが送信できなかったりします。本記事では、PIMで管理者権限を有効化できない原因を、承認フローに焦点を当てて体系的に切り分ける方法を解説します。具体的な確認手順やよくあるトラブル事例も紹介しますので、困ったときの参考にしてください。

1. PIMの承認フローとは:基本概念の確認

PIMでは、管理者権限を「適格」と「アクティブ」の2つの状態で管理します。適格とは権限を取得できる資格がある状態であり、実際に権限を使うにはアクティブ化(有効化)が必要です。このアクティブ化の際に承認が必要かどうかは、ロールの設定によって決まります。承認フローが有効なロールでは、承認者がリクエストを承認するまで権限は有効になりません。

承認フローが必要なロール

PIMで管理可能なロールのうち、特に高権限なロール(グローバル管理者、Privileged Role Administrator、Exchange管理者など)では、承認フローが設定されることが一般的です。組織のセキュリティポリシーによっては、すべてのロールに承認を必須としている場合もあります。

承認者と承認プロセスの仕組み

承認者は、そのロールの「承認者」としてPIM内で指定されたユーザーまたはグループです。リクエストが送信されると、承認者にはメール通知が届き、Azure AD管理センターまたはMicrosoft Entra管理センターのPIMブレードでリクエストを確認・承認できます。承認が行われないまま有効化期間が過ぎると、リクエストは自動的に期限切れとなります。

2. 有効化できない原因の切り分け

権限を有効化できない原因は、大きく分けて3つのパターンに分類できます。それぞれの特徴を押さえておきましょう。

承認が保留(Pending)のまま進まない

リクエストを送信した後、ステータスが「承認待ち」のまま動かない場合、承認者がまだ処理していない可能性が高いです。承認者が不在であったり、通知メールが迷惑メールに振り分けられていることもあります。また、承認者が複数設定されている場合、最初に承認した人の判断で完了する設定(単一承認)か、全員の承認が必要な設定(複数承認)かによって挙動が変わります。

承認リクエスト自体が送信できない

有効化ボタンをクリックしてもエラーが表示されたり、何も反応がない場合は、自分が適格な割り当てを持っていない可能性があります。また、ライセンス不足や、PIMが正しく構成されていない(例えば、PIM for Groupsが未構成など)ケースも考えられます。

権限が足りない、または割り当てがない

そもそも自分がそのロールに適格として割り当てられていない場合、有効化はできません。IT管理者が割り当てを忘れている、または意図的に外している可能性があります。

3. 承認フローを確認する具体的な手順

以下では、自分が行える確認手順を順に説明します。これらの手順を実施することで、問題の原因を切り分けることができます。

1. Azure AD管理センター(https://entra.microsoft.com)にサインインし、左メニューから「Identity Governance」→「Privileged Identity Management」を開きます。
2. 「自分のロール」をクリックし、アクティブ化したいロールが「適格」として表示されていることを確認します。表示されない場合は、割り当てがありません。
3. 該当ロールの行にある「アクティブ化」をクリックし、リクエスト画面が表示されるか確認します。ここで「アクティブ化の理由」を入力し、承認が必要なロールであれば「送信」ボタンをクリックします。
4. 送信後、「PIM」→「自分のリクエスト」でリクエストのステータスを確認します。ステータスが「Pending approval」の場合、承認フローが有効で承認待ち状態です。
5. 承認者がわかっている場合は、承認者に連絡してリクエストを確認してもらいましょう。承認者が不明な場合は、IT管理者に問い合わせて承認者を教えてもらうか、承認者グループを確認します。
6. 自分が管理者権限を持っている場合(Privileged Role Administratorなど)、ロールの設定で承認フローが有効かどうかを確認できます。該当ロールを開き、「設定」→「アクティブ化」タブで「承認が必要」がオンになっているか確認します。

4. 承認フローが通らない場合の失敗パターンと対処法

実際に多い失敗パターンを表にまとめました。自分の状況に当てはめて確認してください。

状況	原因	対処法
リクエストが「Pending approval」のまま数時間経過	承認者が確認していない、または通知が届いていない	承認者に直接連絡する。承認者グループの場合は、グループのメンバーに一斉連絡する。
リクエスト送信時に「権限が不足しています」と表示される	自分が適格な割り当てを持っていない、または有効化ポリシーで多要素認証などが必須になっている	管理者に適格割り当てを依頼する。多要素認証が必要な場合は事前に登録を済ませる。
承認者が承認したはずなのに権限が有効にならない	複数承認設定で、全員の承認が完了していない	リクエストのステータスを確認し、残りの承認者がいるか確認する。
「アクティブ化」ボタンがグレーアウトしている	有効化期間外(例:PIMのスケジュール設定でアクティブ化可能な時間が制限されている)	スケジュール設定を確認し、許可された時間帯に再試行する。

5. 管理者へ確認が必要な設定項目

自分の手に負えない問題は、管理者に以下の設定を確認してもらいましょう。これらの設定は一般ユーザーでは変更できません。

• 承認者の割り当て: 各ロールに適切な承認者(ユーザーまたはグループ)が設定されているか。承認者が空欄の場合、リクエストは自動承認されるか、またはエラーになります。
• 承認必要の切り替え: 「アクティブ化に承認が必要」のトグルがオンになっているか。オフの場合は承認不要で即時有効化されます。
• ライセンス: テナントにAzure AD Premium P2ライセンス(またはMicrosoft Entra ID Governanceライセンス)が割り当てられているか。ライセンス不足の場合PIM機能が制限されます。
• 多要素認証の要件: アクティブ化時にMFAを要求する設定になっている場合、ユーザーがMFA登録を完了しているか。
• 通知設定: 承認者へのメール通知が有効になっているか。迷惑メール設定でブロックされていないか確認が必要です。

6. よくある質問(FAQ)

読者から寄せられやすい質問とその回答をまとめました。

Q1: 承認リクエストを送信したが、承認者に通知が届いていないようです。どうすればいいですか?

まず、自分でリクエストのステータスを確認し、Pending approvalになっているか確認しましょう。その上で、承認者に直接電話やチャットで連絡してください。管理者に依頼して通知設定を見直してもらうことも検討します。

Q2: 複数の承認者がいる場合、誰が承認すればいいのですか?

ロールの設定によります。単一承認の場合は、最初に承認した人の判断で完了します。複数承認(全員承認)の場合は、全承認者の承認が必要です。設定はロールの「アクティブ化」タブで確認できます。

Q3: 承認が下りたのに権限がすぐに使えません。反映まで時間がかかるのですか?

通常、承認後すぐに権限が有効になりますが、Azure ADのレプリケーション遅延で最大数分かかることがあります。それでも反映されない場合は、一度サインアウトして再サインインしてください。それでもダメなら管理者に問い合わせましょう。

Q4: 自分が承認者に設定されているはずなのに、承認依頼が来ません。何が原因ですか?

メール通知が迷惑メールフォルダに振り分けられている可能性があります。また、自分が承認者として正しく割り当てられているか、Privileged Role Administratorに確認してもらいましょう。さらに、自分が承認者であっても、割り当てが「適格」でないと承認できないケースもあります。

7. まとめ

PIMで管理者権限を有効化できない場合、承認フローが原因であることが多いです。まずは自分のリクエスト状態を確認し、承認が必要なロールであれば承認者に連絡しましょう。自分では解決できない設定の問題は、管理者に適切な情報を伝えて調査を依頼してください。承認フローを事前に理解しておくことで、トラブル発生時の初動が速くなります。日頃からPIMの設定を把握し、承認者との連絡手段を確保しておくことをおすすめします。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。