Office 365 へのアクセスで iOS Accounts 登録のメッセージが表示され接続できない

こんにちは。Azure ID チームの三浦です。今回は iOS 11 から Office 365 に ActiveSyncなどで接続する際に iOS Accounts 登録に関する画面が表示されて利用できない事象への対応方法をご紹介します。

iOS 11 では  Office 365 が利用している Azure AD (以降 AAD) に iOS Accounts というアプリケーションを登録し、そのアプリケーションを利用して Office 365 への接続をおこなうことがあります。

既定では各ユーザーは AAD に対してアプリケーションを登録することができるようになっているため、自動的に iOS Accounts というアプリケーションが登録されますが、 Office 365 の AAD で [ユーザーはアプリが自身の代わりに会社のデータにアクセスすることを許可できます] が "いいえ" の場合にはユーザーによるエンタープライズ アプリケーション登録ができません。

結果として、 ユーザーが ActiveSync の構成などを実施するタイミングで、次のような画面が iOS 上に表示され、 Office 365 を利用できないという問題が発生します。

対応策:

AAD の設定で [ユーザーはアプリが自身の代わりに会社のデータにアクセスすることを許可できます] を "はい" にする以外に、AAD の全体管理者がユーザーの代わりに iOS Accounts アプリの使用を承諾するという方法があります。前者は AAD の設定全体ですが、後者であれば対象のアプリケーション (今回は iOS Accounts) のみに対しての承諾ですので、他への影響を考慮することなく実施することができます。具体的な手順は次のとおりです。

この設定は、全体管理者が行う必要がありますので、事前に全体管理者のアカウントをご用意ください。

1. iOS の ActiveSync のセットアップを開始します。

2. "メール" に、テナントの全体管理者のアカウントの UPN (ユーザー名) を入力します。

3. [次へ] をタップします。

4. 確認画面で、[サインイン] をクリックします。

5. パスワードを入力する画面に遷移した後、URL をメモ帳などにコピーします。

URL の例:

https://login.microsoftonline.com/common/oauth2/authorize?response\_type=code\&client\_id=f8d98a96-0999-43f5-8af3-69971c7bb423\&redirect\_uri=com.apple.mobilemail://oauth-redirect\&scope=EAS.AccessAsUser.All\&ui\_locales=ja-jp\&prompt=login\&display=ios\&login\_hint=admin\@contoso.onmicrosoft.com\&resource=https://outlook.office365.com

6. 上記 5 でコピーした URL  を編集し、以下のように prompt=login の文字列を prompt=admin_consent に変更します。

変更後の URL の例:

https://login.microsoftonline.com/common/oauth2/authorize?response\_type=code\&client\_id=f8d98a96-0999-43f5-8af3-69971c7bb423\&redirect\_uri=com.apple.mobilemail://oauth-redirect\&scope=EAS.AccessAsUser.All\&ui\_locales=ja-jp\&prompt=admin\_consent\&display=ios\&login\_hint=admin\@contoso.onmicrosoft.com\&resource=https://outlook.office365.com

7. 上記 6 の URL にアクセスします。

8. 全体管理者のアカウントでサインインします。

9. 以下のメッセージが表示されることを確認して、[承諾] をクリックします。

以上の作業を実施することでアプリケーションが AAD に登録され、必要なアクセス権が設定されます。

この設定は、組織のすべてのユーザーに適用されるため、以降はユーザーにメッセージは表示されません。

以上です。