Microsoft Entra ID のカスタム ロールに対するアプリケーションの登録のアクセス許可
この記事では、Microsoft Entra ID のカスタム ロール定義に対して現在利用可能なアプリの登録のアクセス許可について説明します。
ライセンス要件
この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 自分の要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。
シングルテナント アプリケーションを管理するためのアクセス許可
カスタム ロールのアクセス許可を選択する場合は、シングルテナント アプリケーションのみを管理するためのアクセス権を付与するオプションがあります。 シングルテナント アプリケーションは、アプリケーションが登録されている Microsoft Entra 組織内のユーザーのみが利用できます。 シングルテナント アプリケーションは、サポートされているアカウントの種類が "この組織のディレクトリ内のアカウントのみ" に設定されているとして定義されます。Graph API では、シングルテナント アプリケーションの signInAudience プロパティが "AzureADMyOrg" に設定されています。
シングルテナント アプリケーションのみを管理するためのアクセス権を付与するには、サブタイプ applications.myOrganization とともに、以下のアクセス許可を使用します。 たとえば、microsoft.directory/applications.myOrganization/basic/update です。
サブタイプ、アクセス許可、プロパティ セットという一般的な用語の意味については、カスタム ロールの概要に関するページの説明を参照してください。 次の情報は、アプリケーションの登録に固有のものです。
作成と削除
アプリケーションの登録を作成する機能を許可するために使用できるアクセス許可は 2 つあり、それぞれ動作が異なります。
microsoft.directory/applications/createAsOwner
このアクセス許可を割り当てると、作成者は、作成されたアプリの登録の最初の所有者として追加され、作成されたアプリの登録は、その作成者の 250 という作成オブジェクト クォータのカウント対象になります。
microsoft.directory/applications/create
このアクセス許可を割り当てると、作成者は、作成されたアプリの登録の最初の所有者としては追加されず、作成されたアプリの登録は、その作成者の 250 という作成オブジェクト クォータのカウント対象になりません。 担当者がディレクトリ レベルのクォータに達するまでアプリの登録を作成できないようにするものはないため、このアクセス許可は慎重に使用してください。
両方のアクセス許可が割り当てられている場合、/create アクセス許可が優先されます。 /createAsOwner アクセス許可では作成者を最初の所有者として自動的に追加しませんが、Graph API または PowerShell コマンドレットを使用する場合は、アプリの登録の作成時に所有者を指定できます。
作成のアクセス許可は、 [New registration](新規登録) コマンドへのアクセス権を付与します。
アプリの登録を削除する権限を付与するために使用できるアクセス許可には、次の 2 つがあります。
microsoft.directory/applications/delete
サブタイプに関係なく、アプリの登録を削除する権限を付与します。つまり、シングルテナント アプリケーションとマルチテナント アプリケーションの両方です。
microsoft.directory/applications.myOrganization/delete
組織内のアカウントまたはシングルテナント アプリケーションのみがアクセスできるものに限定して、アプリの登録を削除する権限を付与します (myOrganization サブタイプ)。
Note
作成のアクセス許可を含むロールを割り当てるとき、ロールの割り当てはディレクトリ スコープで行う必要があります。 リソース スコープで割り当てられた作成のアクセス許可は、アプリの登録を作成する権限を付与しません。
Read
組織内のすべてのメンバー ユーザーは、既定でアプリ登録情報を読み取ることができます。 一方、ゲスト ユーザーおよびアプリケーション サービス プリンシパルはできません。 ゲスト ユーザーまたはアプリケーションにロールを割り当てる予定の場合は、適切な読み取りアクセス許可を含める必要があります。
microsoft.directory/applications/allProperties/read
資格情報など、いかなる状況でも読み取ることができないプロパティを除き、シングルテナントおよびマルチテナントのアプリケーションのすべてのプロパティを読み取る権限。
microsoft.directory/applications.myOrganization/allProperties/read
microsoft.directory/applications/allProperties/read と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。
microsoft.directory/applications/owners/read
シングルテナントおよびマルチテナント アプリケーションの所有者プロパティを読み取る権限を付与します。 アプリケーション登録の所有者ページのすべてのフィールドへのアクセスを許可します。
microsoft.directory/applications/standard/read
標準アプリケーション登録プロパティの読み取りアクセスを許可します。 これには、アプリケーション登録ページ間のプロパティが含まれます。
microsoft.directory/applications.myOrganization/standard/read
microsoft.directory/applications/standard/read と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。
更新
microsoft.directory/applications/allProperties/update
シングルテナントとマルチテナントのアプリケーションのすべてのプロパティを更新する権限。
microsoft.directory/applications.myOrganization/allProperties/update
microsoft.directory/applications/allProperties/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。
microsoft.directory/applications/audience/update
シングルテナントとマルチテナント上でサポートされているアカウントの種類 (signInAudience) のプロパティを更新する権限。
microsoft.directory/applications.myOrganization/audience/update
microsoft.directory/applications/audience/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。
microsoft.directory/applications/authentication/update
シングルテナントおよびマルチテナント アプリケーションの応答 URL、サインアウト URL、暗黙的なフロー、発行元ドメインの各プロパティを更新する権限。 サポートされているアカウントの種類を除き、アプリケーション登録の認証ページのすべてのフィールドへのアクセスを許可します。
microsoft.directory/applications.myOrganization/authentication/update
microsoft.directory/applications/authentication/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。
microsoft.directory/applications/basic/update
シングルテナントおよびマルチテナント アプリケーションの、名前、ロゴ、ホーム ページ URL、サービス使用条件 URL、プライバシーに関する声明の URL の各プロパティを更新する権限。 アプリケーション登録のブランド化ページのすべてのフィールドへのアクセスを許可します。
microsoft.directory/applications.myOrganization/basic/update
microsoft.directory/applications/basic/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。
microsoft.directory/applications/credentials/update
シングルテナントおよびマルチテナント アプリケーションの、証明書とクライアント シークレットの各プロパティを更新する権限。 アプリケーション登録の証明書およびシークレット ページのすべてのフィールドへのアクセスを許可します。
microsoft.directory/applications.myOrganization/credentials/update
microsoft.directory/applications/credentials/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。
microsoft.directory/applications/owners/update
シングルテナントおよびマルチテナントの所有者プロパティを更新する権限。 アプリケーション登録の所有者ページのすべてのフィールドへのアクセスを許可します。
microsoft.directory/applications.myOrganization/owners/update
microsoft.directory/applications/owners/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。
microsoft.directory/applications/permissions/update
シングルテナントおよびマルチテナント アプリケーションの、委任されたアクセス許可、アプリケーションのアクセス許可、承認されたクライアント アプリケーション、必要なアクセス許可、同意の付与の各プロパティを更新する権限。 同意を実行する権限を付与しません。 アプリケーション登録の [API のアクセス許可] および [API の公開] ページのすべてのフィールドへのアクセスを許可します。
microsoft.directory/applications.myOrganization/permissions/update
microsoft.directory/applications/permissions/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。