Microsoft Entra ID のカスタム ロールに対するアプリケーションの登録のアクセス許可
この記事では、Microsoft Entra ID のカスタム ロール定義で使用できるアプリ登録アクセス許可の概要について説明します。 これらのアクセス許可により、管理者は特定のアクセス レベルでアプリケーションの登録を管理できるようになり、組織内のアプリケーションの安全かつ効率的な管理が保証されます。
ライセンスの要件
この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 自分の要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。
シングルテナント アプリケーションを管理するためのアクセス許可
カスタム ロールのアクセス許可を選択するときに、シングルテナント アプリケーションのみを管理するためのアクセス権を付与できます。 シングルテナント アプリケーションは、アプリケーションが登録されている Microsoft Entra 組織内のユーザーのみが利用できます。
シングルテナント アプリケーションは、[Supported account types]\(サポートされているアカウントの種類\) が "Accounts in this organizational directory only" (この組織のディレクトリ内のアカウントのみ) に設定されているものとして定義されます。Graph API では、シングルテナント アプリケーションは signInAudience プロパティが "AzureADMyOrg" に設定されています。
シングルテナント アプリケーションのみを管理するためのアクセス権を付与するには、サブタイプ applications.myOrganization と共に、次のように示されているアクセス許可を使用します。 たとえば、microsoft.directory/applications.myOrganization/basic/update です。
サブタイプ、アクセス許可、プロパティ セットという用語の説明については、カスタム ロールの概要に関するページを参照してください。 次の情報は、アプリケーションの登録に固有のものです。
作成と削除
アプリケーションの登録を作成する機能を許可するために使用できるアクセス許可は 2 つあり、それぞれ動作が異なります。
microsoft.directory/applications/createAsOwner
このアクセス許可を割り当てると、作成されたアプリ登録の最初の所有者として作成者が追加されます。 作成されたアプリの登録は、作成者の 250 個の作成済みオブジェクト クォータにカウントされます。
microsoft.directory/applications/create
このアクセス許可を付与すると、作成者がアプリ登録の最初の所有者として追加されなくなり、作成者の 250 オブジェクト クォータからアプリ登録が除外されます。 ディレクトリ レベルのクォータに達するまで、担当者がアプリの登録を作成するのを防ぐものはないため、このアクセス許可は慎重に使用してください。
両方のアクセス許可が割り当てられている場合は、/create アクセス許可が優先されます。 /createAsOwner アクセス許可では作成者を最初の所有者として自動的に追加しませんが、Graph API または PowerShell コマンドレットを使用する場合は、アプリの登録の作成時に所有者を指定できます。
作成のアクセス許可は、 [New registration](新規登録) コマンドへのアクセス権を付与します。
アプリの登録を削除する権限を付与するために使用できるアクセス許可には、次の 2 つがあります。
microsoft.directory/applications/delete
サブタイプに関係なく、シングルテナントおよびマルチテナント アプリケーションの両方を含むアプリの登録を削除する権限を付与します。
microsoft.directory/applications.myOrganization/delete
組織内のアカウントまたはシングルテナント アプリケーションのみがアクセスできるものに限定して、アプリの登録を削除する権限を付与します (myOrganization サブタイプ)。
注意
作成のアクセス許可を含むロールを割り当てるとき、ロールの割り当てはディレクトリ スコープで行う必要があります。 リソース スコープで割り当てられた作成アクセス許可では、アプリの登録を作成する権限は付与されません。
既読
組織内のすべてのメンバー ユーザーは、既定でアプリ登録情報を読み取ることができます。 一方、ゲスト ユーザーおよびアプリケーション サービス プリンシパルはできません。 ゲスト ユーザーまたはアプリケーションにロールを割り当てる予定の場合は、適切な読み取りアクセス許可を含める必要があります。
microsoft.directory/applications/allProperties/read
資格情報など、いかなる状況でも読み取ることができないプロパティを除いて、シングルテナントおよびマルチテナント アプリケーションのすべてのプロパティを読み取る権限を付与します。
microsoft.directory/applications.myOrganization/allProperties/read
microsoft.directory/applications/allProperties/read と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。
microsoft.directory/applications/owners/read
シングルテナントおよびマルチテナント アプリケーションの所有者プロパティを読み取る権限を付与します。 アプリケーション登録の所有者ページのすべてのフィールドへのアクセスを許可します。
microsoft.directory/applications/standard/read
標準アプリケーション登録プロパティの読み取りアクセスを許可します。 これには、アプリケーション登録ページ間のプロパティが含まれます。
microsoft.directory/applications.myOrganization/standard/read
microsoft.directory/applications/standard/read と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。
更新する
Microsoft Entra ID の "更新" アクセス許可により、管理者はアプリケーション登録のさまざまなプロパティを変更できます。 これらのアクセス許可は、シングルテナントおよびマルチテナント アプリケーションの両方を保守、管理するために不可欠です。 付与された特定のアクセス許可に応じて、管理者はサポートされているアカウントの種類、認証設定、ブランドの詳細などのプロパティを更新できます。 利用可能な更新プログラムのアクセス許可とその特定の機能の詳細な一覧を次に示します。
microsoft.directory/applications/allProperties/update
シングルテナントおよびマルチテナント アプリケーションのすべてのプロパティを更新できるようにします。
microsoft.directory/applications.myOrganization/allProperties/update
microsoft.directory/applications/allProperties/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。
microsoft.directory/applications/audience/update
シングルテナントおよびマルチテナント アプリケーションでサポートされているアカウントの種類 (signInAudience) プロパティを更新できるようにします。
microsoft.directory/applications.myOrganization/audience/update
microsoft.directory/applications/audience/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。
microsoft.directory/applications/authentication/update
シングルテナントおよびマルチテナント アプリケーションで応答 URL、サインアウト URL、暗黙的フロー、発行元ドメインのプロパティを更新できるようにします。 サポートされているアカウントの種類を除き、アプリケーション登録の認証ページのすべてのフィールドへのアクセスを許可します。
microsoft.directory/applications.myOrganization/authentication/update
microsoft.directory/applications/authentication/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。
microsoft.directory/applications/basic/update
シングルテナントおよびマルチテナント アプリケーションの名前、ロゴ、ホームページ URL、サービス使用条件 URL、プライバシーに関する声明 URL プロパティを更新できるようにします。 アプリケーション登録のブランド化ページのすべてのフィールドへのアクセスを許可します。
microsoft.directory/applications.myOrganization/basic/update
microsoft.directory/applications/basic/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。
microsoft.directory/applications/credentials/update
シングルテナントおよびマルチテナント アプリケーションの証明書とクライアント シークレットのプロパティを更新できるようにします。 アプリケーション登録の証明書およびシークレット ページのすべてのフィールドへのアクセスを許可します。
microsoft.directory/applications.myOrganization/credentials/update
microsoft.directory/applications/credentials/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。
microsoft.directory/applications/owners/update
シングルテナントおよびマルチテナントの所有者プロパティを更新できるようにします。 アプリケーション登録の所有者ページのすべてのフィールドへのアクセスを許可します。
microsoft.directory/applications.myOrganization/owners/update
microsoft.directory/applications/owners/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。
microsoft.directory/applications/permissions/update
このアクセス許可により、委任されたアクセス許可、アプリケーションのアクセス許可、認可済みクライアント アプリケーション、必要なアクセス許可、同意のプロパティなど、シングルテナントおよびマルチテナント アプリケーションのさまざまなプロパティを更新できます。 同意を実行する機能は付与されません。 アプリケーション登録の [API のアクセス許可] および [API の公開] ページのすべてのフィールドへのアクセスを許可します。
microsoft.directory/applications.myOrganization/permissions/update
microsoft.directory/applications/permissions/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。