Microsoft Entra ID で AADSTS50105 エラーが発生すると、本当に頭を悩ませることがあります。特に、問題の根本原因がわからないまま、サインインと権限をあれこれ試しているような状況ではなおさらです。通常、SSO ログイン(資格情報の確認は成功)を何とか通過した後にこのエラーが発生しますが、権限やロールが不足しているためにアクセスが拒否されることがあります。「割り当てが必要」設定は、厳密に「明示的に追加されない限り、クラブのメンバーにはなれません」というルールを適用するため、非常に厄介です。これはセキュリティ上は優れていますが、アクセスのトラブルシューティングを行う際には煩わしいものです。幸いなことに、多くの場合、ユーザーをアプリに明示的に追加するだけで解決できます。ただし、適切な場所で適切な手順を実行していることを確認する必要があります。
Microsoft Entra ID で AADSTS50105 を修正する方法
方法1: ゲストユーザーをアプリケーションに手動で割り当てる
これは簡単な修正方法ですが、多くの場合、原因となるものです。このエラーは、ユーザーに必要なロールが割り当てられていないか、適切なグループに属していない場合に表示されます。これは、オンボーディング手順が省略されていたり、権限が正しく設定されていない場合によく発生します。ユーザーを明示的に割り当てることで、アプリへのアクセスに必要な権限が付与され、この厄介なエラーが解消される可能性があります。
- ブラウザを開いて、 Microsoft Entra 管理センターに移動します。
- クラウド アプリケーション管理者またはグローバル管理者のアカウントを使用してサインインします。これらのアカウントがないと、ユーザーの割り当てを表示または編集することはできません。
- 「アイデンティティ」 > 「アプリケーション」 > 「エンタープライズアプリケーション」に移動します。ここには、登録済みのすべてのSaaSアプリが保存されています。
- 問題の原因となっているアプリ(ゲストがアクセスしようとしているアプリ)を見つけて選択します。
- アプリのペインで、[管理]セクションの[ユーザーとグループ]に移動します。
- 「+ ユーザー/グループを追加」をクリックします。このステップは、注意しないとすべてがうまくいかない可能性があるので注意してください。
- ポップアップで「ユーザーとグループ」の「選択なし」を選択し、ゲストユーザーのメールアドレス(例:user@abc.com)を検索します。特にディレクトリが大きい場合は、入力してから自動入力オプションが表示されるまで待つと便利です。
- ユーザーに適切なロール(標準ユーザーなど)を選択します。アプリに特定のロールがない場合、この手順はオプションになる可能性がありますが、必ず確認することをお勧めします。
- 「割り当て」をクリックすれば完了です。このちょっとした操作で、50105エラーを再度発生させることなく、アプリへのアクセスに必要な明示的な権限をユーザーに付与できるはずです。
方法2: グループベースの自動割り当てを設定して将来の悩みを軽減する
この方法は、どちらかといえば予防的なものです。組織で頻繁に新しいゲストを招待したり、複数のアプリを管理したりする場合は、権限管理を効率化する必要があります。セキュリティグループとグループベースのライセンスを使用して、ユーザーが特定のグループに参加したときに権限を自動的に割り当てます。Microsoft Entra ID アクセスレビューを定期的に実行することで、古いアクセス権を整理できます。また、ゲストに対してMFAを確実に適用することで、偶発的または悪意のあるアクセスの問題を軽減できます。
他に留意すべき点
エラーの原因が権限だけではない場合もあります。トークンの問題、ポリシーの競合、ネットワークブロックなどによっても同様の問題が発生することがあります。キャッシュをクリアするか、シークレットウィンドウで試してみると、ブラウザの不具合の可能性を除外できる場合があります。ユーザーを適切に割り当てても問題が解決しない場合は、テナント設定と条件付きアクセスポリシーが競合していないか、ゲストアカウントのアクセスをブロックしていないかを再確認してください。
さらに、環境内に自動化やカスタムオンボーディングスクリプトが多数ある場合、手順を一つでも見落とすと、ギャップが生じる可能性があります。場合によっては、すべてが適切に行われていることを確認する最も簡単な方法として、昔ながらの手動チェックが挙げられます。