次の方法で共有


Microsoft Entra ID のカスタム ロールに対するアプリケーションの登録のアクセス許可

この記事では、Microsoft Entra ID のカスタム ロール定義で使用できるアプリ登録アクセス許可の概要について説明します。 これらのアクセス許可により、管理者は特定のアクセス レベルでアプリケーションの登録を管理できるようになり、組織内のアプリケーションの安全かつ効率的な管理が保証されます。

ライセンスの要件

この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 自分の要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。

シングルテナント アプリケーションを管理するためのアクセス許可

カスタム ロールのアクセス許可を選択するときに、シングルテナント アプリケーションのみを管理するためのアクセス権を付与できます。 シングルテナント アプリケーションは、アプリケーションが登録されている Microsoft Entra 組織内のユーザーのみが利用できます。

シングルテナント アプリケーションは、[Supported account types]\(サポートされているアカウントの種類\) が "Accounts in this organizational directory only" (この組織のディレクトリ内のアカウントのみ) に設定されているものとして定義されます。Graph API では、シングルテナント アプリケーションは signInAudience プロパティが "AzureADMyOrg" に設定されています。

シングルテナント アプリケーションのみを管理するためのアクセス権を付与するには、サブタイプ applications.myOrganization と共に、次のように示されているアクセス許可を使用します。 たとえば、microsoft.directory/applications.myOrganization/basic/update です。

サブタイプ、アクセス許可、プロパティ セットという用語の説明については、カスタム ロールの概要に関するページを参照してください。 次の情報は、アプリケーションの登録に固有のものです。

作成と削除

アプリケーションの登録を作成する機能を許可するために使用できるアクセス許可は 2 つあり、それぞれ動作が異なります。

microsoft.directory/applications/createAsOwner

このアクセス許可を割り当てると、作成されたアプリ登録の最初の所有者として作成者が追加されます。 作成されたアプリの登録は、作成者の 250 個の作成済みオブジェクト クォータにカウントされます。

microsoft.directory/applications/create

このアクセス許可を付与すると、作成者がアプリ登録の最初の所有者として追加されなくなり、作成者の 250 オブジェクト クォータからアプリ登録が除外されます。 ディレクトリ レベルのクォータに達するまで、担当者がアプリの登録を作成するのを防ぐものはないため、このアクセス許可は慎重に使用してください。

両方のアクセス許可が割り当てられている場合は、/create アクセス許可が優先されます。 /createAsOwner アクセス許可では作成者を最初の所有者として自動的に追加しませんが、Graph API または PowerShell コマンドレットを使用する場合は、アプリの登録の作成時に所有者を指定できます。

作成のアクセス許可は、 [New registration](新規登録) コマンドへのアクセス権を付与します。

これらのアクセス許可は [New Registration] (新規登録) ポータル コマンドへのアクセス権を付与します

アプリの登録を削除する権限を付与するために使用できるアクセス許可には、次の 2 つがあります。

microsoft.directory/applications/delete

サブタイプに関係なく、シングルテナントおよびマルチテナント アプリケーションの両方を含むアプリの登録を削除する権限を付与します。

microsoft.directory/applications.myOrganization/delete

組織内のアカウントまたはシングルテナント アプリケーションのみがアクセスできるものに限定して、アプリの登録を削除する権限を付与します (myOrganization サブタイプ)。

これらのアクセス許可は [Delete app registration] (アプリの登録の削除) コマンドへのアクセス権を付与する

注意

作成のアクセス許可を含むロールを割り当てるとき、ロールの割り当てはディレクトリ スコープで行う必要があります。 リソース スコープで割り当てられた作成アクセス許可では、アプリの登録を作成する権限は付与されません。

既読

組織内のすべてのメンバー ユーザーは、既定でアプリ登録情報を読み取ることができます。 一方、ゲスト ユーザーおよびアプリケーション サービス プリンシパルはできません。 ゲスト ユーザーまたはアプリケーションにロールを割り当てる予定の場合は、適切な読み取りアクセス許可を含める必要があります。

microsoft.directory/applications/allProperties/read

資格情報など、いかなる状況でも読み取ることができないプロパティを除いて、シングルテナントおよびマルチテナント アプリケーションのすべてのプロパティを読み取る権限を付与します。

microsoft.directory/applications.myOrganization/allProperties/read

microsoft.directory/applications/allProperties/read と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。

microsoft.directory/applications/owners/read

シングルテナントおよびマルチテナント アプリケーションの所有者プロパティを読み取る権限を付与します。 アプリケーション登録の所有者ページのすべてのフィールドへのアクセスを許可します。

このアクセス許可はアプリ登録の所有者ページへのアクセスを許可します

microsoft.directory/applications/standard/read

標準アプリケーション登録プロパティの読み取りアクセスを許可します。 これには、アプリケーション登録ページ間のプロパティが含まれます。

microsoft.directory/applications.myOrganization/standard/read

microsoft.directory/applications/standard/read と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。

更新する

Microsoft Entra ID の "更新" アクセス許可により、管理者はアプリケーション登録のさまざまなプロパティを変更できます。 これらのアクセス許可は、シングルテナントおよびマルチテナント アプリケーションの両方を保守、管理するために不可欠です。 付与された特定のアクセス許可に応じて、管理者はサポートされているアカウントの種類、認証設定、ブランドの詳細などのプロパティを更新できます。 利用可能な更新プログラムのアクセス許可とその特定の機能の詳細な一覧を次に示します。

microsoft.directory/applications/allProperties/update

シングルテナントおよびマルチテナント アプリケーションのすべてのプロパティを更新できるようにします。

microsoft.directory/applications.myOrganization/allProperties/update

microsoft.directory/applications/allProperties/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。

microsoft.directory/applications/audience/update

シングルテナントおよびマルチテナント アプリケーションでサポートされているアカウントの種類 (signInAudience) プロパティを更新できるようにします。

このアクセス許可では、認証ページでアプリ登録がサポートされているアカウントの種類のプロパティへのアクセスが許可されます。

microsoft.directory/applications.myOrganization/audience/update

microsoft.directory/applications/audience/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。

microsoft.directory/applications/authentication/update

シングルテナントおよびマルチテナント アプリケーションで応答 URL、サインアウト URL、暗黙的フロー、発行元ドメインのプロパティを更新できるようにします。 サポートされているアカウントの種類を除き、アプリケーション登録の認証ページのすべてのフィールドへのアクセスを許可します。

サポートされているアカウントの種類を除き、アプリ登録認証へのアクセスを許可する

microsoft.directory/applications.myOrganization/authentication/update

microsoft.directory/applications/authentication/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。

microsoft.directory/applications/basic/update

シングルテナントおよびマルチテナント アプリケーションの名前、ロゴ、ホームページ URL、サービス使用条件 URL、プライバシーに関する声明 URL プロパティを更新できるようにします。 アプリケーション登録のブランド化ページのすべてのフィールドへのアクセスを許可します。

このアクセス許可はアプリ登録のブランド化ページへのアクセスを許可します

microsoft.directory/applications.myOrganization/basic/update

microsoft.directory/applications/basic/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。

microsoft.directory/applications/credentials/update

シングルテナントおよびマルチテナント アプリケーションの証明書とクライアント シークレットのプロパティを更新できるようにします。 アプリケーション登録の証明書およびシークレット ページのすべてのフィールドへのアクセスを許可します。

このアクセス許可はアプリ登録の証明書およびシークレット ページへのアクセスを許可します

microsoft.directory/applications.myOrganization/credentials/update

microsoft.directory/applications/credentials/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。

microsoft.directory/applications/owners/update

シングルテナントおよびマルチテナントの所有者プロパティを更新できるようにします。 アプリケーション登録の所有者ページのすべてのフィールドへのアクセスを許可します。

このアクセス許可はアプリ登録の所有者ページへのアクセスを許可します

microsoft.directory/applications.myOrganization/owners/update

microsoft.directory/applications/owners/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。

microsoft.directory/applications/permissions/update

このアクセス許可により、委任されたアクセス許可、アプリケーションのアクセス許可、認可済みクライアント アプリケーション、必要なアクセス許可、同意のプロパティなど、シングルテナントおよびマルチテナント アプリケーションのさまざまなプロパティを更新できます。 同意を実行する機能は付与されません。 アプリケーション登録の [API のアクセス許可] および [API の公開] ページのすべてのフィールドへのアクセスを許可します。

このアクセス許可はアプリ登録の [API のアクセス許可] ページへのアクセスを許可します

このアクセス許可はアプリ登録の [API の公開] ページへのアクセスを許可します

microsoft.directory/applications.myOrganization/permissions/update

microsoft.directory/applications/permissions/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。

次のステップ