Microsoft Entra クロステナント:同意しても 401 が返る理由と 403 との切り分け方
Admin consent を実行しても Dataverse に弾かれるとき、エラーコードで問題の層が特定できる。 401:サービスプリンシパル(SP)が相手テナントに存在しない——入館証が未発行の状態。 403:入館後のセキュリティロールが不足——室内で許可された操作がない状態。 この2層は独立して動く。片方を解決しても、残りはそのままだ。 入館証と室内権限は別物クロステナントアクセスを「オフィスビルへの入館」で考えると、構造が見える。 入館証(越境):相手テナントの管理者が同意(Consent)を実行し、自テナント内に SP を実体化させること。SP ができてはじめて、アプリは「入館者」として認識される。 室内権限(認可):Dataverse の中で何をしていいかを、セキュリティロールで決めること。 Microsoft 公式(cross-tenant-access-overview・2025)は、クロステナントアクセス設定とテナント制限が独立して動作することを明記している。 “they operate separately from inbound and outbound access settings” 設定 何を制御するか SP を作るか クロステナントアクセス設定 テナント間のインバウンド・アウトバウンド しない テナント制限 v2 外部アカウントへの入口制御(門番) しない 同意(Consent) SP の実体化(入館証の発行) する Dataverse セキュリティロール Dataverse 内の操作許可(室内権限) — テナント制限 v2(Tenant Restrictions v2)は Entra ID P1 または P2 が必要で、設定に Security Administrator ロール以上が要求される(2026年7月時点・出典:Microsoft Learn「Configure Tenant Restrictions v2」2025)。 401 の正体SP が対象テナントに存在しないと、Entra ID は次のエラーを返す。 The client application {appId} is missing a service principal in the tenant {tenantId}. (出典:Microsoft Learn「Create an enterprise application from a multitenant application」2024) ...