Microsoft Entra ID のカスタム ロールに対するアプリの同意権限

この記事には、Microsoft Entra ID のカスタム ロール定義に対して現在使用可能なアプリの同意アクセス許可が含まれています。 この記事では、アプリの同意とアクセス許可に関連するいくつかの一般的なシナリオに必要なアクセス許可について説明します。

ライセンス要件

この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 要件に適したライセンスを見つけるには、「Microsoft Entra IDの一般公開機能を比較する」を参照してください。

アプリへの同意のアクセス許可

この記事に記載されているアクセス許可を使用して、アプリの同意ポリシーと、アプリに同意を付与するアクセス許可を管理します。

手記

Microsoft Entra 管理センターでは、この記事に記載されているアクセス許可をカスタム ロール定義に追加することはまだサポートされていません。 Microsoft Graph PowerShell 使用して、この記事に記載されているアクセス許可を持つカスタム ロール を作成する必要があります。

自己に代わって委任されたアクセス許可をアプリに付与する (ユーザーの同意)

ユーザーが自分に代わってアプリケーションに同意を付与 (ユーザーの同意) できるようにするには、アプリの同意ポリシーに従います。

• microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}

ここで、 は、このアクセス許可をアクティブにするために満たす必要がある条件を設定する アプリの同意ポリシーの ID に置き換えられます。

たとえば、ID microsoft-user-default-lowを持つ組み込みのアプリ同意ポリシーに従って、ユーザーが自分の代わりに同意を付与できるようにするには、アクセス許可 ...managePermissionGrantsForSelf.microsoft-user-default-lowを使用します。

すべてのユーザーに代わってアプリにアクセス許可を付与する (管理者の同意)

委任されたアクセス許可とアプリケーションのアクセス許可 (アプリ ロール) の両方について、テナント全体の管理者の同意をアプリに委任するには:

• microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}

ここで、 は、このアクセス許可を使用するために満たす必要がある条件を設定する アプリの同意ポリシーの ID に置き換えられます。

たとえば、ロールの割り当てユーザーが ID low-risk-any-appを持つカスタム アプリ同意ポリシー の対象となるアプリにテナント全体の管理者の同意を付与できるようにするには、アクセス許可 microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-appを使用します。

アプリの同意ポリシーの管理

アプリ同意ポリシーの作成、更新、削除を委任します。

• microsoft.directory/permissionGrantPolicies/create
• microsoft.directory/permissionGrantPolicies/standard/read
• microsoft.directory/permissionGrantPolicies/basic/update
• microsoft.directory/permissionGrantPolicies/delete

アクセス許可の完全な一覧

許可	説明
microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}	アプリの同意ポリシー {id}に従って、自己 (ユーザーの同意) に代わってアプリに同意する権限を付与します。
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}	アプリの同意ポリシーの {id}に従って、すべてのアプリに代わってアプリに同意するアクセス許可を付与します (テナント全体の管理者の同意)。
microsoft.directory/permissionGrantPolicies/standard/read	アクセス許可付与ポリシーの標準プロパティの読み取り
microsoft.directory/permissionGrantPolicies/basic/update	アクセス許可付与ポリシーの基本プロパティを更新する
microsoft.directory/permissionGrantPolicies/create	アクセス許可付与ポリシーを作成する
microsoft.directory/permissionGrantPolicies/delete	アクセス許可付与ポリシーを削除する

次の手順

• Microsoft Entra ID でカスタム ロールを作成する
• Microsoft Entra ロールの割り当てを一覧表示する