アプリケーションに対してテナント全体の管理者の同意を付与する

[アーティクル]
05/25/2024

この記事では、Microsoft Entra ID で、テナント全体の管理者の同意をアプリケーションに付与する方法について説明します。個々のユーザーの同意設定をどのように構成するかについては、エンドユーザーによるアプリケーションの同意の構成に関する記事を参照してください。

テナント全体の管理者の同意をアプリケーションに付与すると、そのアプリケーションは、組織全体に代わって、要求されたアクセス許可にアクセスできるようになります。組織に代わって管理者の同意を付与することは機密性の高い操作であり、組織のデータの大部分、または高度な特権付きの操作を行うアクセス許可にアプリケーションの発行者がアクセスできる可能性があります。そのような操作の例は、ロール管理、すべてのメールボックスまたはすべてのサイトへのフルアクセス、完全なユーザー偽装などです。そのため、同意を付与する前に、アプリケーションで要求されているアクセス許可をよく確認する必要があります。

既定では、テナント全体の管理者の同意をアプリケーションに付与すると、特に制限がない限り、すべてのユーザーがアプリケーションにアクセスできるようになります。アプリケーションにサインインできるユーザーを制限するには、アプリがユーザー割り当てを要求するように構成し、アプリケーションにユーザーまたはグループを割り当てます。

重要

テナント全体の管理者の同意を付与すると、そのアプリケーションに対して既にテナント全体に付与されていたアクセス許可が取り消される場合があります。ユーザーが既に代理で付与しているアクセス許可は影響を受けません。

前提条件

テナント全体の管理者の同意を付与するには、組織を代表して同意する権限を持つユーザーとしてサインインする必要があります。

テナント全体の管理者の同意を許可するには、次が必要です。

次のいずれかのロールを持つ Microsoft Entra ユーザーアカウント。
- 任意の API に対してアクセス許可を要求するアプリに同意を付与する特権ロール管理者。
- クラウドアプリケーション管理者またはアプリケーション管理者。任意の API に対してアクセス許可を要求するアプリに同意を付与します (Microsoft Graph アプリロール (アプリケーションのアクセス許可) は "除きます")。
- アプリケーションで必要なアクセス許可に対して、アプリケーションにアクセス許可を付与するための権限が含まれたカスタムディレクトリロール。

テナントでアプリケーションが既にプロビジョニングされている場合、[エンタープライズアプリケーション] ウィンドウを通じて、テナント全体の管理者の同意を付与できます。たとえば、少なくとも 1 人のユーザーが既にアプリケーションに同意している場合は、アプリがテナントでプロビジョニングされている可能性があります。詳細については、「アプリケーションを Microsoft Entra に追加する方法と理由」を参照してください。

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

[エンタープライズアプリケーション] ウィンドウに一覧表示されているアプリにテナント全体の管理者の同意を付与するには:

クラウドアプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズアプリケーション]>[すべてのアプリケーション] に移動します。
検索ボックスに既存のアプリケーションの名前を入力し、検索結果からアプリケーションを選択します。
[セキュリティ] で [アクセス許可] を選択します。
アプリケーションに必要なアクセス許可を慎重に確認します。アプリケーションで必要なアクセス許可に同意する場合は、 [管理者の同意の付与] を選択します。

組織で開発し、Microsoft Entra テナントに直接登録されているアプリケーションの場合は、Microsoft Entra 管理センターの [アプリの登録] から、テナント全体の管理者の同意を付与することもできます。

[アプリの登録] からテナント全体の管理者の同意を付与するには:

Microsoft Entra 管理センターで、ID>アプリケーション>アプリの登録>すべてのアプリケーション を参照します。
検索ボックスに既存のアプリケーションの名前を入力し、検索結果からアプリケーションを選択します。
[管理] の下にある [API のアクセス許可] を選びます。
アプリケーションに必要なアクセス許可を慎重に確認します。同意する場合は、 [管理者の同意の付与] を選択します。

前のセクションのどちらかの方法を使ってテナント全体の管理者の同意を付与すると、Microsoft Entra 管理センターでウィンドウが開き、テナント全体の管理者の同意を求めるプロンプトが表示されます。アプリケーションのクライアント ID (アプリケーション ID とも呼ばれます) がわかっている場合は、同じ URL を作成して、テナント全体の管理者の同意を付与することができます。

テナント全体の管理者の同意の URL は、次のような形式です。

https://login.microsoftonline.com/{organization}/adminconsent?client_id={client-id}

各値の説明:

{client-id} は、アプリケーションのクライアント ID (アプリ ID とも呼ばれます) です。
{organization} は、アプリケーションに同意するテナントのテナント ID または検証済みドメイン名です。値 organizations を使用すると、サインインするユーザーのホームテナントで同意が行われます。

この場合も、同意を付与する前に、アプリケーションで要求されているアクセス許可をよく確認してください。

テナント全体の管理者の同意 URL を構築する方法の詳細については、「Microsoft ID プラットフォームの管理者の同意」を参照してください。

このセクションでは、委任されたアクセス許可をアプリケーションに付与します。委任されたアクセス許可は、サインインしているユーザーの代わりにアプリケーションが API にアクセスするために必要なアクセス許可です。アクセス許可はリソース API によって定義され、クライアントアプリケーションであるエンタープライズアプリケーションに付与されます。この同意は、すべてのユーザーに代わって付与されます。

次の例では、リソース API は、オブジェクト ID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb の Microsoft Graph です。 Microsoft Graph API では、委任されたアクセス許可の User.Read.All および Group.Read.All を定義します。 consentType は AllPrincipals であり、テナント内のすべてのユーザーに代わって同意していることを示します。クライアントエンタープライズアプリケーションのオブジェクト ID はです aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb。

注意事項

ご注意ください。プログラムによって付与されたアクセス許可は、レビューまたは確認の対象になりません。それらはすぐに有効になります。

Microsoft Graph PowerShell に接続し、少なくともクラウドアプリケーション管理者としてサインインします。
```
Connect-MgGraph -Scopes "Application.ReadWrite.All", "DelegatedPermissionGrant.ReadWrite.All"
```
テナントアプリケーションで Microsoft Graph (リソースアプリケーション) によって定義された、すべての委任されたアクセス許可を取得します。クライアントアプリケーションに付与する必要がある委任されたアクセス許可を特定します。この例では、委任のアクセス許可は User.Read.All と Group.Read.All です
```
Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" -Property Oauth2PermissionScopes | Select -ExpandProperty Oauth2PermissionScopes | fl
```

次の要求を実行して、委任されたアクセス許可をクライアントエンタープライズアプリケーションに付与します。

$params = @{

"ClientId" = "00001111-aaaa-2222-bbbb-3333cccc4444"
"ConsentType" = "AllPrincipals"
"ResourceId" = "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"
"Scope" = "User.Read.All Group.Read.All"
}

New-MgOauth2PermissionGrant -BodyParameter $params | 
Format-List Id, ClientId, ConsentType, ResourceId, Scope

次の要求を実行して、テナント全体の管理者の同意を付与したことを確認します。

 Get-MgOauth2PermissionGrant -Filter "clientId eq '00001111-aaaa-2222-bbbb-3333cccc4444' and consentType eq 'AllPrincipals'"

このセクションでは、エンタープライズアプリケーションにアプリケーションのアクセス許可を付与します。アプリケーションのアクセス許可は、アプリケーションがリソース API にアクセスするために必要なアクセス許可です。アクセス許可はリソース API によって定義され、プリンシパルアプリケーションであるエンタープライズアプリケーションに付与されます。アプリケーションのアクセス権をリソース API に付与すると、サインインしているユーザーなしでバックグラウンドサービスまたはデーモンとして実行されます。アプリケーションのアクセス許可は、アプリロールとも呼ばれます。

次の例では、Microsoft Graph アプリケーション (ID aaaaaaaa-bbbb-cccc-1111-222222222222 のプリンシパル) に、ID 11112222-bbbb-3333-cccc-4444dddd5555 のリソース API によって公開される ID df021288-bdef-4463-88db-98f22de89214 のアプリロール (アプリケーションのアクセス許可) を付与します。

Microsoft Graph PowerShell に接続し、少なくとも特権ロール管理者としてサインインします。
```
Connect-MgGraph -Scopes "Application.ReadWrite.All", "AppRoleAssignment.ReadWrite.All"
```
テナント内の Microsoft Graph によって定義されたアプリロールを取得します。クライアントエンタープライズアプリケーションに付与する必要があるアプリロールを特定します。この例では、アプリロール ID は df021288-bdef-4463-88db-98f22de89214 です。
```
Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" -Property AppRoles | Select -ExpandProperty appRoles |fl
```
次の要求を実行して、プリンシパルアプリケーションにアプリケーションのアクセス許可 (アプリロール) を付与します。

 $params = @{
  "PrincipalId" ="aaaaaaaa-bbbb-cccc-1111-222222222222"
  "ResourceId" = "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"
  "AppRoleId" = "df021288-bdef-4463-88db-98f22de89214"
}

New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId 'aaaaaaaa-bbbb-cccc-1111-222222222222' -BodyParameter $params | 
  Format-List Id, AppRoleId, CreatedDateTime, PrincipalDisplayName, PrincipalId, PrincipalType, ResourceDisplayName

Graph エクスプローラーを使用して、委任されたアクセス許可とアプリケーションのアクセス許可の両方を付与します。

少なくともクラウドアプリケーション管理者としてサインインする必要があります。

注意事項

ご注意ください。プログラムによって付与されたアクセス許可は、レビューまたは確認の対象になりません。それらはすぐに有効になります。

テナントアプリケーションで Microsoft Graph (リソースアプリケーション) によって定義された、すべての委任されたアクセス許可を取得します。クライアントアプリケーションに付与する必要がある委任されたアクセス許可を特定します。この例では、委任のアクセス許可は User.Read.All と Group.Read.All です
```
GET https://graph.microsoft.com/v1.0/servicePrincipals?$filter=displayName eq 'Microsoft Graph'&$select=id,displayName,appId,oauth2PermissionScopes
```

次の要求を実行して、委任されたアクセス許可をクライアントエンタープライズアプリケーションに付与します。

POST https://graph.microsoft.com/v1.0/oauth2PermissionGrants

Request body
{
   "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
   "consentType": "AllPrincipals",
   "resourceId": "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
   "scope": "User.Read.All Group.Read.All"
}

次の要求を実行して、テナント全体の管理者の同意を付与したことを確認します。

GET https://graph.microsoft.com/v1.0/oauth2PermissionGrants?$filter=clientId eq '00001111-aaaa-2222-bbbb-3333cccc4444' and consentType eq 'AllPrincipals'

次の例では、Microsoft Graph アプリケーション (ID 00001111-aaaa-2222-bbbb-3333cccc4444 のプリンシパル) に、ID 11112222-bbbb-3333-cccc-4444dddd5555 のリソースエンタープライズアプリケーションによって公開される ID df021288-bdef-4463-88db-98f22de89214 のアプリロール (アプリケーションのアクセス許可) を付与します。

少なくとも特権ロール管理者として署名する必要があります。

テナント内の Microsoft Graph によって定義されたアプリロールを取得します。クライアントエンタープライズアプリケーションに付与する必要があるアプリロールを特定します。この例では、アプリロール ID は df021288-bdef-4463-88db-98f22de89214 です
```
GET https://graph.microsoft.com/v1.0/servicePrincipals?$filter=displayName eq 'Microsoft Graph'&$select=id,displayName,appId,appRoles
```

次の要求を実行して、プリンシパルアプリケーションにアプリケーションのアクセス許可 (アプリロール) を付与します。

POST https://graph.microsoft.com/v1.0/servicePrincipals/11112222-bbbb-3333-cccc-4444dddd5555/appRoleAssignedTo

Request body

{
   "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
   "resourceId": "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
   "appRoleId": "df021288-bdef-4463-88db-98f22de89214"
}

次の方法で共有

前提条件

次のステップ

フィードバック

その他のリソース

次の方法で共有

前提条件

エンタープライズ アプリ ウィンドウでテナント全体の管理者の同意を付与する

アプリの登録ウィンドウで管理者の同意を付与する

テナント全体の管理者の同意を付与するための URL を作成する

Microsoft Graph PowerShell を使用して委任されたアクセス許可に対して管理者の同意を付与する

Microsoft Graph PowerShell を使用してアプリケーションのアクセス許可に対する管理者の同意を付与する

Microsoft Graph API を使用して委任されたアクセス許可に対して管理者の同意を付与する

Microsoft Graph API を使用してアプリケーションのアクセス許可に対する管理者の同意を付与する

次のステップ

フィードバック

その他のリソース

エンタープライズアプリウィンドウでテナント全体の管理者の同意を付与する