次の方法で共有

アプリケーションにサインインするときに、予期しない同意プロンプトが表示される

  • [アーティクル]

Microsoft Entra ID に統合されている多くのアプリケーションの実行には、さまざまなリソースへのアクセス許可が必要です。 これらのリソースも Microsoft Entra ID に統合されている場合には、Microsoft Entra の同意フレームワークを使用して、リソースへのアクセス許可が要求されます。 これらの要求により、アプリケーションを初めて使用する際に同意プロンプトが表示されます。通常、これは 1 回限りの操作です。

特定のシナリオでは、ユーザーがサインインしようとしたときに追加の同意プロンプトが表示されることがあります。 この記事では、予期しない同意プロンプトが表示される理由を診断し、トラブルシューティングの方法を説明します。

追加のプロンプトは、次のようなさまざまなシナリオで表示されます。

  • アプリケーションは割り当てを要求するように構成されています。 個々のユーザーの同意は、現在、割り当てを必要とするアプリではサポートされていません。そのため、ディレクトリ全体に対して管理者がアクセス許可を付与する必要があります。 割り当てを要求するようにアプリケーションを構成する場合、割り当てられたユーザーがサインインできるよう、テナント全体の管理者の同意も必ず付与してください。

  • アプリケーションに必要な一連のアクセス許可が開発者によって変更され、再度付与する必要があります。

  • アプリケーションに最初に同意したユーザーが管理者ではなく、現在はさまざまな (管理者以外の) ユーザーが、アプリケーションを初めて使用している場合。

  • アプリケーションに最初に同意したユーザーは管理者だったが、同意したのが組織全体の代表としてではなかった場合。

  • 最初に同意が許可された後に、アプリケーションが追加のアクセス許可を要求するために増分および動的な同意を使用している場合。 通常、増分および動的な同意は、アプリケーションのオプション機能で、ベースライン機能に必要なアクセス許可を超えるアクセス許可が必要になる場合に使用されます。

  • 最初に同意が許可された後で取り消された場合。

  • 開発者がアプリケーションを、使用するたびに同意プロンプトを表示するように構成した場合 (注: この動作はベスト プラクティスではありません)。

    注意

    Microsoft の推奨事項とベスト プラクティスに従い、アプリに同意を付与するユーザーのアクセス許可を多くの組織が無効にしているか、制限しています。 テナント全体の管理者の同意を管理者が付与しているのにサインインのたびにアプリケーションからユーザーに同意の付与が強制される場合、ほとんどのユーザーはブロックされてアプリケーションを使用できません。 管理者の同意の付与後でもアプリケーションからユーザーの同意が要求された場合、サインイン毎のユーザーの同意の強制を停止する設定やオプションがないか、アプリの発行元に確認してください。

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

トラブルシューティングの手順

アプリケーションに対して要求および付与されたアクセス許可を比較する

アプリケーションに付与されたアクセス許可が最新であることを確認するため、アプリケーションによって要求されているアクセス許可と、テナントで既に付与されているアクセス許可を比較できます。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[すべてのアプリケーション] に移動します。
  3. 検索ボックスに既存のアプリケーションの名前を入力し、検索結果からアプリケーションを選択します。
  4. 左側のナビゲーションの [セキュリティ] で、[アクセス許可] を選択します
  5. [アクセス許可] ページのテーブルから、既に付与されているアクセス許可の一覧を表示します
  6. 要求されたアクセス許可を表示するには、[管理者の同意の付与] ボタンを選択します。 これにより、要求されたすべてのアクセス許可を一覧表示する同意プロンプトが開きます。 テナント全体の管理者の同意を付与する場合を除き、同意プロンプトで [同意する] を選択しないでください。
  7. 同意プロンプト内で、一覧表示されているアクセス許可を展開し、[アクセス許可] ページのテーブルと比較します。 同意プロンプトに存在するが、アクセス許可ページに存在しない場合、そのアクセス許可はまだ同意されていません。 アプリケーションに対して予期しない同意プロンプトが表示される原因として、制約のないアクセス許可が考えられます。

ユーザー割り当ての設定を表示する

アプリケーションで割り当てが必要な場合、個々のユーザーは自分自身で同意できません。 アプリケーションに割り当てが必要かどうかを確認するには、次の操作を行います。

  1. アプリケーションのページの [管理] の下で [プロパティ] を選択します。
  2. [割り当てが必要?][はい] に設定されているか確認します。
  3. [はい] に設定されている場合、管理者は組織全体に代わってアクセス許可に同意する必要があります。

個々のユーザーがアプリケーションに同意できるかどうかの決定は、すべての組織で構成でき、ディレクトリによって異なる場合があります。 すべてのアクセス許可に既定で管理者の同意が必要ない場合でも、組織でユーザーの同意が完全に無効になっている可能性があり、個々のユーザーがアプリケーションに対して自分自身で同意できなくなっている可能性があります。 組織のユーザーの同意設定を表示するには、次の操作を行います。

  1. Microsoft Entra 管理センターのエンタープライズ アプリケーション ページに移動します。
  2. [セキュリティ] の下で [同意とアクセス許可] を選択します。
  3. ユーザーの同意設定を確認します。 [ユーザーの同意を許可しない] に設定されている場合、ユーザーはアプリケーションに対して自分自身で同意することはできません。

次のステップ