Microsoftは、従来の完全信頼認証モデルや代理認証モデルよりも認証が容易であり、セキュリティとアーキテクチャの柔軟性を強化した入れ子になったアプリ認証をリリースしました。この変更により、Microsoftは2025年2月17日から、従来のExchange Onlineトークンを段階的に廃止しています。つまり、NAA-SSOが承認されない限り、Microsoft 365ドメインに接続する全てのハイブリッドPABおよびMicrosoftリボンPABは失敗します。従来のExchange Onlineトークンは2025年6月まで再有効化できます 従来のExchange Onlineトークンは2025年6月まで再有効化できます（新しいウィンドウでリンクが開きます）。

これらの変更があったため、Phish Alertのアカウント設定でGraph APIとNAA-SSOを承認することを推奨します。詳細については、Microsoftの「入れ子になったアプリ認証とOutlookレガシートークンの非推奨に関するFAQ」 Microsoftの「入れ子になったアプリ認証とOutlookレガシートークンの非推奨に関するFAQ」（新しいウィンドウでリンクが開きます）を参照してください。

NAA-SSOの前提条件

• Microsoft 365では、許可を承認するためにグローバル管理者ロールが必要です。
• Exchange Onlineでは、許可を承認するためにグローバル管理者ロールが必要です。
• 月次エンタープライズチャネルバージョン2409以降。古いバージョンでは、MicrosoftリボンPABがタイムアウトになります。
• 半期チャネルバージョン2408以降。古いバージョンでは、MicrosoftリボンPABがタイムアウトになります。
• 現在のチャネルバージョン2410以降。

その他の前提条件

NAA-SSOを利用できるかどうかは、使用しているMicrosoft OfficeおよびMicrosoft Outlookのバージョンによって異なります。ご自分の環境でNAA-SSOがサポートされているかどうかを確認するには、Microsoftの「入れ子になったアプリ認証要件セット」 「入れ子になったアプリ認証要件セット」（新しいウィンドウでリンクが開きます）の記事を参照してください。互換性のあるバージョンを以下に示します。

• Microsoft Outlook on Windows（永続ボリュームライセンス）バージョン2408（ビルド17932.20222）以降。
• Microsoft Outlook on Windows（小売リテール版）バージョン2501（ビルド18429.20132）以降。

バージョンに関する重要な注記：

• Microsoft Office 2024（永続ボリュームライセンス）は、NAA-SSOをサポートします。
• Microsoft Office 2021（永続ボリュームライセンス）は、引き続きSSO-OBOを認証でサポートしますが、NAA-SSOはサポートしません。
• Microsoft Office 2016および2019（永続ボリュームライセンス）は、NAA-SSOまたはSSO-OBO認証はサポートしません。Microsoft Office 2016および2019の詳細については、 Microsoftのドキュメント Microsoftのドキュメント（新しいウィンドウでリンクが開きます）を参照してください。
• Microsoft Outlook on Windows（永続リテール版）バージョン2008（ビルド13127.20000）以降では、SSO-OBO認証をサポートします。

NAA-SSOのアクセス許可の承認

MicrosoftでNAA-SSOのアクセス許可を承認するには、以下のステップに従って操作します。

1. KSATアカウントにログインし、ページ右上にあるメールアドレスをクリックします。
2. [アカウント設定]を選択し、[アカウント統合] > [Phish Alert]に移動します。
3. ドロップダウンメニューをクリックして、PAB設定を展開します。

4. 下方にスクロールして、[GRAPH APIのNAA-SSOを承認する]をクリックします。Microsoft 365のログインページに移動します。

   注：また、これまでにこれらの許可を承認していない場合、[Microsoftの権限を許可してPAB用のGRAPH APIを承認します]をクリックする必要があります。

   

5. 管理者の認証情報を使用して、Microsoft 365アカウントにログインします。

6. ログインすると、[要求された権限]ポップアップウィンドウが表示されます。許可の内容を読み、[同意する]をクリックします。

   注：複数のPABインスタンスが異なるMicrosoft 365テナントに展開されている場合、各テナントの各PABインスタンスに対してGraph APIとNAA-SSOの許可を承認する必要があります。

   

7. 権限を受け入れると、[GRAPHが正しく承認されました]ウィンドウが表示されます。NAA-SSOの許可を承認してから、ユーザーのMicrosoft Outlookプロファイルに適用されるまで、最大で48時間かかる場合があります。

   

Internet Explorer NAA-SSO

Microsoft EdgeのInternet ExplorerモードでOutlookを使用している、またはMicrosoft 365でInternet Explorerを使用している場合、2025年6月までにPABのGraph APIおよびNAA-SSOに権限を付与する必要があります。そうしないと、サービスが中断する可能性があります。権限を承認したら、 従来のExchange Onlineトークンを無効にして 従来のExchange Onlineトークンを無効にして（新しいウィンドウでリンクが開きます）、PABを使用してメールを報告して、正しくPABが動作していることを確認できます。

ユーザーエクスペリエンス

Internet ExplorerのNAA-SSOユーザーエクスペリエンスについて、以下に説明します。

1. リボンのPABをクリックします。

   

2. タスクペインがロードされ、ポップアップウィンドウが表示されます。

3. ユーザーがPABを使用して初めて報告するには、自分のMicrosoftアカウントにログインする必要があります。

   

   注：NAA-SSOまたはSSO-OBOでユーザーが認証できない場合、PABは対話型の認証メカニズムに切り替わります。ユーザーが初めてPABを使用する場合、Microsoftにログインする必要があります。

4. [Phish Alert]ボタンをクリックしてメールを報告します。

   

トラブルシューティング

質問：NAA-SSOを承認した後、Phish Alert Button（PAB）XMLマニフェストを再展開する必要がありますか？

回答：必要ありません。許可を受け入れるだけで十分です。

質問：「メールサーバーには、Phish Alert Buttonのための有効な認証トークンが必要です。メールサーバーの設定についてサポートが必要な場合は、管理者にお問い合わせください」というエラーを受け取りました。どのようにこの問題を解決できますか？

回答：このエラーを受け取ったのは、使用しているPABが、廃止された従来のExchange Onlineトークンを使用して認証を試行しているためです。エラーを解決するには、次の操作を試してください。

1. 上記の「NAA-SSOの許可の承認」セクションのステップ1～7を繰り返すことをお勧めします。このステップを実行しても問題が解決されない場合、以下のステップ2～5に従ってPABを再度展開してください。
2. [設定] > [統合アプリ] > [アドイン]に移動して、Microsoft 365管理センターで現在のPABをアンインストールしますMicrosoft 365管理センターで現在のPABをアンインストールします（新しいウィンドウでリンクが開きます）。
3. リストから使用しているPABアドインを見つけます。
4. アドインを選択し、[アプリを削除する]をクリックします。

5. PABマニフェストファイルを再インストールします。詳細については、「PABインストレーションガイド」を参照してください。

   注：ハイブリッドPABを使用している場合は、削除して再展開する前に、PAB XMLマニフェストを更新することをお勧めします。詳細については、ハイブリッドPABのアップデートとアンインストールに関するドキュメントを参照してください。

質問：「この項目を処理できませんでした。後で再試行してください」というエラーが表示されます。どのようにこの問題を解決できますか？

回答：新しいOutlookに切り替えると、この問題は解決されるはずです。

質問：Graph対応PABはどのようなアクセス許可の範囲を使用しますか？

回答：Graph対応PABで使用されるアクセス許可の範囲は次のとおりです。

• Mail.Read：このアクセス許可により、PABはユーザーのメールを読み取ることができます。これは、メールヘッダー、添付ファイル、メール本文のコンテンツを取得するために使用されます。
• Mail.Read.Shared：このアクセス許可により、PABは共有メールボックスユーザーのメールを読み取ることができます。これは、メールヘッダー、添付ファイル、メール本文のコンテンツを取得するために使用されます。
• Mail.ReadWrite：このアクセス許可により、PABはユーザーのメールの読み取りと書き込みが可能になります。
• Mail.ReadWrite.Shared：このアクセス許可により、PABは共有メールボックスのメールの読み取りと書き込みが可能になります。
• Mail.Send：このアクセス許可により、PABはユーザーにメールを送信できるようになります。
• Mail.Send.Shared：このアクセス許可により、ユーザーが共有メールボックスに対して送信者権限を有効にしている場合、PABは共有メールボックスからメールを送信できるようになります。
• openid：このアクセス許可により、PABはユーザーに関する基本情報を取得できます。
• profile：このアクセス許可により、PABはユーザーのプロファイル情報にアクセスできるようになります。

質問：使用するPABのタイプごとに、入れ子になったアプリ認証シングルサインオン (NAA-SSO) またはシングルサインオン代理認証（SSO-OBO）を承認する必要がありますか？

回答：NAA-SSOおよびSSO-OBOの承認は、Microsoft 365テナントごとに設定されます。つまり、テナントでハイブリッドPABに対してNAA-SSOが有効になっている場合は、MicrosoftリボンPABまたはその他のタイプのPABに対してNAA-SSOを承認する必要はありません。これは、SSO-OBOについても同様です。

質問：PABで使用されるMicrosoft Graph APIアクセス許可を確認するにはどうすればよいですか？

回答：Microsoft Entraポータルを使用して、PABで使用されるMicrosoft Graph APIアクセス許可を確認できます。

1. Microsoft Entra管理センターにログインし、[アプリケーション] > [エンタープライズ アプリケーション]に移動します。
2. フィルタ入力ボックスに「phish alert」と入力して、PABを除外します。
3. 次に、Phish Alert Buttonのエントリをクリックし、Phish Alert Buttonに関連する詳細を確認します。

質問：NAA-SSOを有効にしましたが、私の環境でハイブリッドPABを使用できない場合、どうしたら良いでしょうか？

回答：PABのNAA-SSOおよびGraph APIに対してPABのアクセス許可が承認されたかどうかを確認します。アクセス許可テーブルは次のように表示されます。

アクセス許可が承認されていることを確認しても問題が解決しない場合は、サポートチーム サポートチーム（新しいウィンドウでリンクが開きます）にお問い合わせください。

質問：承認後、アクセス許可が更新されるまでにどれくらいの時間がかかりますか？

回答：ブラウザと新しいOutlookクライアントのアクセス許可はほぼ瞬時に更新されます。ただし、Windows Outlookクライアントの場合、更新に時間がかかる場合があります。Windows Outlookクライアントを使用しており、アクセス許可の更新に時間がかかる場合は、Windows OutlookのWEFまたはキャッシュフォルダを削除することを Windows OutlookのWEFまたはキャッシュフォルダを削除することを（新しいウィンドウでリンクが開きます）お勧めします。

質問：NAA-SSOを承認した場合、ユーザーは何らかの違いに気付きますか？

回答：ユーザーに表示される唯一の違いは、PABをクリックしてメールを報告した後、右上に「Graph」と表示されることです。