アプリケーションのアプリ インスタンス プロパティ ロックを構成する方法
アプリケーション インスタンス ロックは、Microsoft Entra ID の機能であり、これにより、アプリケーションが別のテナントにプロビジョニングされた後に、マルチテナント アプリケーション オブジェクトの機密性の高いプロパティを変更のためにロックできます。 この機能により、アプリケーション開発者は、これらのプロパティの構成を必要とするシナリオがアプリケーションでサポートされていない場合に、特定のプロパティをロックできます。
機密性の高いプロパティとは
次のプロパティ使用シナリオは、機密性が高いと見なされます。
- 使用の種類が
Sign
である資格情報。 これは、アプリケーションが SAML フローをサポートするシナリオです。 - 使用の種類が
Verify
である資格情報。 このシナリオでは、アプリケーションで OIDC クライアント資格情報フローがサポートされています。 - keyCredentials コレクションの公開キーの keyId を指定する
TokenEncryptionKeyId
。 構成した場合、Microsoft Entra ID は、このプロパティが指すキーを使用して、出力するすべてのトークンを暗号化します。 暗号化されたトークンを受け取るアプリケーション コードでは、対応する秘密キーを使用してトークンを復号化する必要があります。その後で、現在サインインしているユーザー用にトークンを使用できるようになります。
Note
アプリ インスタンス ロックは、Microsoft Entra 管理センターを使用して作成されたすべての新しいアプリケーションに対して既定で有効になっています。
アプリ インスタンスロックを構成する
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
アプリ インスタンスロックを構成するには:
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
複数のテナントにアクセスできる場合は、上部のメニューの [設定] アイコン を使用し、[ディレクトリとサブスクリプション] メニューからアプリケーション登録が含まれるテナントに切り替えます。
[ID]>[アプリケーション]>[アプリの登録] を参照します。
構成するアプリケーションを選択します。
[認証] を選択し、[App instance property lock] (アプリ インスタンスのプロパティ ロック) セクションの [構成] を選択します。
[App instance property lock] (アプリ インスタンスのプロパティ ロック) ウィンドウで、ロックの設定を入力します。 図の下の表では、各設定とそのパラメーターについて説明します。
フィールド 説明 Enable property lock (プロパティ ロックを有効にする) プロパティ ロックを有効にするかどうかを指定します。 すべてのプロパティ すべての機密性の高いプロパティをロックし、各プロパティ シナリオを選択する必要をなくします。 Credentials used for verification (検証に使用される資格情報) 検証に使用される資格情報プロパティを追加または更新する機能をロックします。 Credentials used for signing tokens (トークンの署名に使用される資格情報) トークンの署名に使用される資格情報プロパティを追加または更新する機能をロックします。 Token Encryption KeyId (トークン暗号化 KeyId) tokenEncryptionKeyId
プロパティを変更する機能をロックします。[保存] を選択して変更を保存します。
Microsoft Graph を使用してアプリ インスタンスロックを構成する
アプリ インスタンス ロック機能は、マルチテナント アプリのアプリケーション オブジェクトの servicePrincipalLockConfiguration プロパティを使用して管理します。 詳細については、「 サービス プリンシパルの機密性の高いプロパティをロックする」をご覧ください。