【Power Automate】上長承認フローを作る前に確認したい項目と権限

Power Automateで上長承認フローを作成しようとしたものの、権限エラーやフローの停止に悩まされることはありませんか。承認フローは組織の業務効率化に役立つ反面、適切な権限設定や環境準備が不十分だと正常に動作しません。本記事では、承認フローを作成する前に確認すべき項目と必要な権限を具体的に解説します。事前にこれらをチェックすることで、後々のトラブルを大幅に減らせます。

1. 承認フローに必要な基本権限とライセンス

承認フローを実行するには、まずユーザーに適切なPower Automateライセンスが割り当てられている必要があります。無料のOffice 365ライセンスでは一部の機能が制限され、承認アクションを利用できない場合があります。具体的には、承認コネクタ(Approvals)を使用するにはPower Automate有料ライセンス(Per UserまたはPer Flow)が必要です。また、フロー作成者だけでなく、承認者となる上長も同一テナント内でライセンスが有効であることが前提です。

さらに、Power Automate環境ごとに設定される「環境内のロール」も重要です。フロー作成者は「環境作成者」以上のロールが、承認フローを含むソリューションを管理できる権限を持ちます。特に「承認」アクションを使用する際には、環境レベルでコネクタが許可されているか確認してください。管理者が既定で承認コネクタをブロックしている場合、フロー作成時にエラーが発生します。

ライセンス比較表

2. 環境設定とDLPポリシーの確認

Power Automateでは、環境ごとにデータ損失防止(DLP)ポリシーが適用されます。承認フローで使用する「承認」コネクタや「Microsoft Teams」コネクタなどが禁止リストに含まれていないか確認してください。管理者がDLPポリシーで特定のコネクタをブロックしていると、フロー保存時にエラーが表示されます。

また、承認フローを動作させるためには、既定の「承認」コネクタがテナントで有効化されている必要があります。管理者がカスタムコネクタの使用を制限している場合も同様に動作しません。事前にPower Automate管理センターで「データポリシー」を開き、承認関連のコネクタが「許可」になっていることを確認しましょう。特に注意すべきは「承認」コネクタが既定で「ビジネスデータのみ」に分類されている点です。

DLPポリシーの確認手順

1. Power Automate管理センター(admin.powerplatform.microsoft.com)に管理者アカウントでサインインします。
2. 左メニューから「データポリシー」を選択し、リストから該当する環境のポリシーをクリックします。
3. 「コネクタ」タブで「承認」や「Microsoft 365」などのグループを展開し、使用予定のコネクタが「許可」になっていることを確認します。
4. もし「ブロック」されている場合は、ポリシーを編集して「許可」に変更し保存します。この操作は管理者のみ可能です。
5. 変更後、フロー作成者に反映を待つ必要は特にありませんが、ブラウザのキャッシュクリアを推奨します。

3. 承認者(上長)のアカウントと連絡先設定

承認フローで指定する上長のアカウントが正しく設定されているか確認が必要です。特に「承認割り当て」アクションでは、ユーザープリンシパル名(UPN)またはメールアドレスで承認者を指定します。このとき、指定したユーザーが組織内に存在し、有効なライセンスを持っていることが前提です。ゲストユーザーや外部ユーザーは承認者にできないため注意してください。

また、フローが承認依頼を送信する際、承認者のメールボックスやTeamsクライアントに通知が届かないケースがあります。これは承認者が「Microsoft Flow」モバイルアプリをインストールしていなかったり、メール通知が迷惑メールに振り分けられていたりすることが原因です。事前に承認者に対して、承認アクションを受け取る方法を周知しておくとスムーズです。

よくある失敗パターン

• 承認者にライセンスがない: 承認者は有料Power Automateライセンスがなくても、承認アクションの応答は可能ですが、一部通知が遅延することがあります。特に自動応答ルールで処理したい場合はライセンスが必要です。
• 承認者指定が間違っている: 「ユーザーまたはグループ」フィールドにメールアドレスではなく表示名だけを入力すると、解決に失敗しフローがエラーになることがあります。必ずUPNまたはメール形式で指定しましょう。
• 承認依頼が送信されない: 接続参照が無効になっている場合や、承認コネクタの接続が期限切れになっていると、フローは成功しても承認がトリガーされません。接続の状態を定期的に確認してください。

4. フロー作成時の権限エラーと対処法

承認フロー作成中に「この操作を実行する権限がありません」というエラーが表示されることがあります。これは多くの場合、フロー作成者が環境内で十分なロールを持っていないことが原因です。環境作成者ロールを持っていない一般ユーザーは、フローの作成は可能でも、共有や他のユーザーへの割り当てに制限がかかります。

また、フローで使用する各コネクタ(例:SharePoint、Outlook)の接続が作成者のアカウントで認証されている必要があります。別のユーザーの代わりに接続を作成する場合は、サービスプリンシパルを使用するか、適切な委任を設定しなければなりません。これらの設定は管理者がPower Platform管理センターで行えます。

管理者へ確認すべき情報

• 現在の環境で承認コネクタが許可されているか(DLPポリシー)
• フロー作成者が「環境作成者」ロールを持っているか
• 承認者のライセンスとアカウント状態
• フローを共有する場合、共有先ユーザーの権限

5. 動作確認の手順と注意点

すべての設定が整ったら、実際にフローをテストして動作を確認します。テストでは、自分自身を承認者に設定して簡易的に試すことをおすすめします。ただし、本番環境に影響が出ないよう、テスト環境または個人用環境で実施してください。

1. Power Automateポータルで該当フローを開き、「テスト」ボタンをクリックします。
2. 「自動」トリガー(例:新しいアイテムが作成されたときなど)を選択し、テスト用のデータを準備します。
3. フローが起動したら、承認依頼が指定した承認者に届くか確認します。
4. 承認者が「承認」または「拒否」を選択し、その結果が元のフローに正しく反映されるか確認します。
5. エラーが発生した場合は、フロー実行履歴で詳細なエラーメッセージを確認し、原因を特定してください。

6. よくある質問(FAQ)

Q: 承認者にライセンスがなくても承認できますか?
A: 承認者がライセンスなしでも承認操作を行うことは可能ですが、通知の受信や履歴確認に制限が生じます。また、Power Automateモバイルアプリを使用するにはライセンスが必要です。安定運用のためには有料ライセンスを推奨します。

Q: フロー作成者と承認者が異なる環境にいますが動作しますか?
A: 同じテナント内であれば環境が異なっても動作しますが、各環境のDLPポリシーとコネクタ設定が統一されている必要があります。環境をまたぐ場合、フロー作成者の環境だけでなく、承認者の環境のポリシーにも影響を受けることがあるため注意してください。

Q: 「指定されたユーザーが見つかりません」というエラーが出ます。
A: 承認者に指定したUPNが間違っている、またはそのユーザーがテナントから削除されている可能性があります。Azure Active Directoryでユーザーが存在するか確認し、正しいUPNを入力してください。

7. まとめ

Power Automateで上長承認フローを構築する前に、ライセンス、環境設定、DLPポリシー、承認者のアカウント状態を確認することが成功の鍵です。特に、承認コネクタの利用可否と環境ロールはトラブルになりやすいため、管理者と事前に調整してください。不明な点はPower Automate管理センターのヘルプや管理者に問い合わせることで、スムーズな導入が可能になります。本記事の手順に従って準備を進め、安定した承認フローを運用しましょう。