Microsoftと連携時に「管理者の承認が必要」と表示された場合の対処方法
このページについて
Section titled “このページについて”Microsoftアカウントの連携を行おうとした際に、以下のようなメッセージが表示されて連携できないことがあります。
管理者の承認が必要です
Time Designer は、組織のリソースにアクセスする際に、管理者から付与されたアクセス許可が必要です。代わりに管理者にこのアプリへのアクセス許可を依頼してください。
このメッセージは、Microsoft 365 / Microsoft Entra ID(旧 Azure AD)の 同意フレームワーク によるもので、職場・学校アカウント(組織アカウント)でログインした際に、組織のテナント設定として「ユーザーによる同意」が制限されている場合に発生します。
本ページでは、その原因と対処方法をご案内します。
Microsoft Entra ID には、サードパーティアプリケーションがユーザーの代わりに API へアクセスする際、
- ユーザー自身が同意して連携を許可するか
- 組織の管理者が事前に同意し、組織全体の代理で連携を許可するか
を組織単位で制御する仕組みがあります。
組織のテナント設定で、
- ユーザー同意が「無効」になっている
- ユーザー同意が「検証済みの発行元のみ許可」になっており、Time Designer が事前に承認されていない
といった構成の場合、ユーザーは自分自身でMicrosoftアカウント連携の同意を行うことができず、必ず管理者が一度組織として同意する必要があります。
Time Designer が要求する権限
Section titled “Time Designer が要求する権限”Microsoftアカウント連携では、以下のスコープを要求します。
| スコープ | 用途 |
|---|---|
openid / email / profile | サインインとプロフィール情報の取得 |
User.Read | サインインユーザーの基本情報取得 |
offline_access | バックグラウンドでのトークン更新 |
Calendars.Read | Outlookカレンダーの予定の参照 |
Calendars.Read.Shared | 共有Outlookカレンダーの予定の参照 |
MailboxSettings.Read | タイムゾーン設定の取得 |
いずれも 読み取り専用 のスコープであり、Outlookカレンダーの予定の作成・編集・削除はTime Designerからは行いません。
複数の方法があります。組織のセキュリティポリシーに合わせていずれかを実施してください。
対処方法1: 管理者が「組織の代理として同意する」(推奨)
Section titled “対処方法1: 管理者が「組織の代理として同意する」(推奨)”組織のグローバル管理者がTime Designerに対して一度だけ同意することで、以後は組織内のすべてのユーザーが管理者承認なしでMicrosoftアカウント連携を行えるようになります。
- グローバル管理者の権限を持つアカウントで、ブラウザのシークレットモード(または別ブラウザ)を起動します。
- Time Designer のサインイン画面を開き、Microsoftアカウントでサインインを開始します。
- Microsoft の同意画面が表示されたら、「組織の代理として同意する」のチェックを入れた上で、「承諾」ボタンをクリックします。
これにより、組織テナント全体に対してTime Designerへのアクセス許可が付与され、以後は一般ユーザーも管理者承認なしで連携できるようになります。
対処方法2: Entra ID 管理センターから登録済みアプリに同意付与
Section titled “対処方法2: Entra ID 管理センターから登録済みアプリに同意付与”すでにいずれかのユーザーが連携を試みている場合、Microsoft Entra ID の「エンタープライズ アプリケーション」一覧にTime Designerが登録されています。管理者は管理センターから直接同意を付与できます。
- グローバル管理者で Microsoft Entra 管理センター にサインインします。
- メニューから「エンタープライズ アプリケーション」を開きます。
- 一覧から「Time Designer」を検索して開きます。
- 「アクセス許可」を開き、「管理者の同意を付与する」をクリックします。
- 確認ダイアログで承諾します。
これで組織内の全ユーザーがTime Designerと連携可能になります。
対処方法3: 管理者同意ワークフロー(管理者承認の要求)を有効化
Section titled “対処方法3: 管理者同意ワークフロー(管理者承認の要求)を有効化”「ユーザーが管理者同意を要求できる」ワークフローを Entra ID 上で有効にしておくと、ユーザーが連携を試みた時に管理者にメールで承認依頼が届き、管理者が承認することで個別に同意を付与できます。
- Microsoft Entra 管理センターにサインインします。
- 「エンタープライズ アプリケーション → 同意とアクセス許可 → 管理者の同意設定」を開きます。
- 「ユーザーが管理者同意を要求できるようにする」を「はい」に設定します。
- 承認者となる管理者を指定します。
設定後、ユーザーがMicrosoftアカウント連携時に「管理者の承認を要求」できるようになり、管理者が承認することでそのユーザーの連携が完了します。
対処方法4: ユーザー同意ポリシーの見直し
Section titled “対処方法4: ユーザー同意ポリシーの見直し”Entra ID のユーザー同意ポリシー自体を見直す方法もあります。「検証済みの発行元からのアプリのアクセス許可をユーザーに同意させる」を有効化することで、Microsoft の検証済み発行元として認証されたアプリについてはユーザー自身で同意できるようになります。
- Microsoft Entra 管理センターにサインインします。
- 「ID → アプリケーション → エンタープライズ アプリケーション → 同意とアクセス許可 → ユーザー同意設定」を開きます。
- ポリシーを組織のセキュリティ方針に合わせて変更します。
それでも解決しない場合
Section titled “それでも解決しない場合”上記の方法を試しても連携できない場合は、以下の情報を添えてサポートまでお問い合わせください。
- 利用しようとしているMicrosoftアカウントのドメイン(@example.com など)
- 表示されたエラーメッセージの全文 / スクリーンショット
- 試した対処方法
- 組織のIT管理者にご相談いただける状況かどうか