Microsoft Entra ID でのカスタム ロールに対するエンタープライズ アプリケーションのアクセス許可
この記事には、Microsoft Entra ID のカスタム ロール定義に対して現在使用可能なエンタープライズ アプリケーションのアクセス許可が含まれています。 この記事では、いくつかの一般的なシナリオのアクセス許可リストと、エンタープライズ アプリのアクセス許可の完全な一覧について説明します。
ライセンス要件
この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 要件に適したライセンスを見つけるには、「Microsoft Entra IDの一般公開機能を比較する」を参照してください。
エンタープライズ アプリケーションのアクセス許可
これらのアクセス許可の使用方法の詳細については、「カスタム ロールを割り当ててエンタープライズ アプリの を管理する」を参照してください。
アプリケーションへのユーザーまたはグループの割り当て
SAML ベースのシングル サインオン アプリケーションにアクセスできるユーザーとグループの割り当てを委任する。 必要なアクセス許可
- microsoft.directory/servicePrincipals/appRoleAssignedTo/update
ギャラリー アプリケーションの作成
ServiceNow、F5、Salesforce などの Microsoft Entra Gallery アプリケーションの作成を委任します。 必要なアクセス許可:
- microsoft.directory/applicationTemplates/instantiate
基本的な SAML URL の構成
SAML ベースのシングル サインオン アプリケーションの基本的な SAML 構成の更新と読み取りを委任します。 必要なアクセス許可:
- Microsoft ディレクトリ/サービスプリンシパル/認証/更新
- microsoft.directory/applications.myOrganization/authentication/update
署名証明書の更新または作成
SAML ベースのシングル サインオン アプリケーションの署名証明書の管理を委任する。 権限が必要です。
microsoft.directory/servicePrincipals/credentials/update
期限切れのサインイン証明書通知メール アドレスを更新する
SAML ベースのシングル サインオン アプリケーションの期限切れのサインイン証明書通知電子メール アドレスの更新を委任します。 必要なアクセス許可:
- microsoft.directory/applications.myOrganization/authentication/update
- microsoft.directory/applications.myOrganization/permissions/update
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/servicePrincipals/basic/update
SAML トークン署名とサインイン アルゴリズムを管理する
SAML ベースのシングル サインオン アプリケーションの SAML トークン署名とサインイン アルゴリズムの更新を委任します。 必要なアクセス許可:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
ユーザー属性と要求を管理する
SAML ベースのシングル サインオン アプリケーションのユーザー属性と要求の作成、削除、および更新を委任します。 必要なアクセス許可:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/servicePrincipals/policies/update
アプリプロビジョニングの権限
UI を使用してジョブ、スキーマ、資格情報を管理するなどの書き込み操作を実行するには、プロビジョニング ページを表示するための読み取りアクセス許可も必要です。
スコープをすべてのユーザーとグループ、または割り当てられたユーザーとグループに設定するには、現在、synchronizationJob と synchronizationCredentials の両方のアクセス許可が必要です。
プロビジョニング ジョブを有効または再起動する
プロビジョニング ジョブをオン、オフ、再起動する機能を委任する。 必要なアクセス許可:
- microsoft.directory/servicePrincipals/synchronizationJobs/manage
プロビジョニング スキーマを構成する
属性マッピングに更新を委任します。 必要なアクセス許可:
- マイクロソフト.ディレクトリ/サービスプリンシパル/同期スキーマ/管理
アプリケーション オブジェクトに関連付けられているプロビジョニング設定の読み取り
オブジェクトに関連付けられているプロビジョニング設定を読み取る機能を委任する。 必要なアクセス許可:
- microsoft.directory/applications/synchronization/standard/read
サービス プリンシパルに関連付けられているプロビジョニング設定を読み取る
サービス プリンシパルに関連付けられているプロビジョニング設定を読み取る権限を委任します。 必要なアクセス許可:
- microsoft.directory/servicePrincipals/synchronization/standard/read
プロビジョニング用のアプリケーション アクセスを承認する
プロビジョニングのアプリケーション アクセスを承認する権限を委任する。 Oauth ベアラー トークンの入力例。 必要なアクセス許可:
- microsoft.directory/servicePrincipals/synchronizationCredentials/manage
アプリケーション プロキシ アクセス許可
アプリケーションのアプリケーション プロキシ プロパティに対する書き込み操作を実行するには、アプリケーションの基本プロパティと認証を更新するためのアクセス許可も必要です。
アプリケーションのアプリケーション プロキシ プロパティに対する書き込み操作を読み取って実行するには、コネクタ グループを表示するための読み取りアクセス許可も必要です。これは、ページに表示されるプロパティの一覧の一部であるためです。
アプリケーション プロキシ コネクタの管理を委任する
コネクタ管理の作成、読み取り、更新、削除の各アクションを委任します。 必要なアクセス許可:
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/connectorGroups/allProperties/update
- microsoft.directory/connectorGroups/create
- microsoft.directory/connectorGroups/delete
- microsoft.directory/connectors/allProperties/read
- microsoft.directory/connectors/create
アプリケーション プロキシ設定の管理を委任する
アプリのアプリケーション プロキシ プロパティの作成、読み取り、更新、および削除アクションを委任する。 必要なアクセス許可:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/applications/applicationProxy/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
- microsoft.directory/applications/basic/update
- microsoft.directory/applications/authentication/update
- microsoft.directory/connectorGroups/allProperties/read
アプリのプロキシ設定の読み取り
アプリのアプリケーション プロキシ プロパティの読み取りアクセス許可を委任する。 必要なアクセス許可:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
アプリの URL 構成アプリケーション プロキシ設定を更新する
アプリケーション プロキシの外部 URL、内部 URL、SSL 証明書のプロパティを更新するための作成、読み取り、更新、削除 (CRUD) アクセス許可を委任します。 必要なアクセス許可:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/applications/basic/update
- Microsoftのディレクトリ/アプリケーション/認証/更新
- microsoft.ディレクトリ/アプリケーション/アプリケーションプロキシ認証/更新
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
アクセス許可の完全な一覧
| 許可 | 説明 |
|---|---|
| microsoft.directory/applicationPolicies/allProperties/read | アプリケーション ポリシーのすべてのプロパティ (特権プロパティを含む) の読み取り |
| microsoft.directory/applicationPolicies/allProperties/update | アプリケーション ポリシーのすべてのプロパティ (特権プロパティを含む) を更新する |
| microsoft.directory/applicationPolicies/basic/update | アプリケーション ポリシーの標準プロパティを更新する |
| microsoft.directory/applicationPolicies/create | アプリケーション ポリシーを作成する |
| microsoft.directory/applicationPolicies/createAsOwner | アプリケーション ポリシーを作成し、作成者を最初の所有者として追加する |
| microsoft.directory/applicationPolicies/delete | アプリケーション ポリシーを削除する |
| microsoft.directory/applicationPolicies/owners/read | アプリケーション ポリシーの所有者を読み取る |
| microsoft.directory/applicationPolicies/owners/update | アプリケーション ポリシーの所有者プロパティを更新する |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | オブジェクトの一覧に適用されるアプリケーション ポリシーの読み取り |
| microsoft.directory/applicationPolicies/standard/read | アプリケーション ポリシーの標準プロパティの読み取り |
| microsoft.directory/servicePrincipals/allProperties/allTasks | サービス プリンシパルの作成と削除、およびすべてのプロパティの読み取りと更新 |
| microsoft.directory/servicePrincipals/allProperties/read | servicePrincipals のすべてのプロパティ (特権プロパティを含む) を読み取ります |
| microsoft.directory/servicePrincipals/allProperties/update | servicePrincipals のすべてのプロパティ (特権プロパティを含む) を更新する |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | サービス プリンシパルのロールの割り当てを読み取る |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | サービス プリンシパル ロールの割り当てを更新する |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | サービス プリンシパルに割り当てられたロールの割り当てを読み取る |
| microsoft.directory/servicePrincipals/audience/update | サービス プリンシパルで対象ユーザー プロパティを更新する |
| microsoft.directory/servicePrincipals/authentication/update | サービス プリンシパルの認証プロパティを更新する |
| microsoft.directory/servicePrincipals/basic/update | サービス プリンシパルの基本プロパティを更新する |
| microsoft.directory/servicePrincipals/create | サービス プリンシパルを作成する |
| microsoft.directory/servicePrincipals/createAsOwner | 作成者を最初の所有者として使用してサービス プリンシパルを作成する |
| microsoft.directory/servicePrincipals/credentials/update | サービス プリンシパルの資格情報を更新する |
| マイクロソフトディレクトリ/サービスプリンシパル/削除 | サービス プリンシパルを削除する |
| microsoft.directory/servicePrincipals/disable | サービス プリンシパルを無効にする |
| microsoft.directory/servicePrincipals/enable | サービス プリンシパルを有効にする |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | サービス プリンシパルのパスワード シングル サインオン資格情報を読み取る |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | サービス プリンシパルでパスワード シングル サインオン資格情報を管理する |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | サービス プリンシパルの委任されたアクセス許可付与を読み取る |
| microsoft.directory/servicePrincipals/owners/read | サービス プリンシパルの所有者を読み取る |
| microsoft.directory/servicePrincipals/owners/update | サービス プリンシパルの所有者を更新する |
| microsoft.directory/servicePrincipals/permissions/update | サービス プリンシパルのアクセス許可を更新する |
| microsoft.directory/servicePrincipals/policies/read | サービス プリンシパルのポリシーを読み取る |
| microsoft.directory/servicePrincipals/policies/update | サービス プリンシパルのポリシーを更新する |
| microsoft.directory/servicePrincipals/standard/read | サービス プリンシパルの基本プロパティを読み取る |
| microsoft.directory/servicePrincipals/synchronization/standard/read | サービス プリンシパルに関連付けられているプロビジョニング設定を読み取る |
| microsoft.directory/servicePrincipals/tag/update | サービス プリンシパルのタグ プロパティを更新する |
| microsoft.directory/applicationTemplates/instantiate | アプリケーション テンプレートからギャラリー アプリケーションをインスタンス化する |
| microsoft.directory/auditLogs/allProperties/read | 特権プロパティを含め、監査ログのすべてのプロパティを読み取ります |
| microsoft.directory/signInReports/allProperties/read | 特権プロパティを含め、サインイン レポートのすべてのプロパティを読み取る |
| microsoft.directory/applications/applicationProxy/read | すべてのアプリケーション プロキシ プロパティの読み取り |
| microsoft.directory/applications/applicationProxy/update | すべてのアプリケーション プロキシ プロパティを更新する |
| microsoft.directory/applications/applicationProxyAuthentication/update | すべての種類のアプリケーションで認証を更新する |
| microsoft.directory/applications/applicationProxyUrlSettings/update | アプリケーション プロキシの URL 設定を更新する |
| microsoft.directory/applications/applicationProxySslCertificate/update | アプリケーション プロキシの SSL 証明書設定を更新する |
| microsoft.directory/applications/synchronization/standard/read | アプリケーション オブジェクトに関連付けられているプロビジョニング設定の読み取り |
| microsoft.directory/connectorGroups/create | プライベート ネットワーク コネクタ グループを作成する |
| microsoft.directory/connectorGroups/delete | プライベート ネットワーク コネクタ グループを削除する |
| microsoft.directory/connectorGroups/allProperties/read | プライベート ネットワーク コネクタ グループのすべてのプロパティを読み取る |
| microsoft.directory/connectorGroups/allProperties/update | プライベート ネットワーク コネクタ グループのすべてのプロパティを更新する |
| microsoft.directory/connectors/create | プライベート ネットワーク コネクタを作成する |
| microsoft.directory/connectors/allProperties/read | プライベート ネットワーク コネクタのすべてのプロパティの読み取り |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | アプリケーション プロビジョニング同期ジョブを開始、再起動、および一時停止する |
| microsoft.directory/servicePrincipals/synchronization/standard/read | サービス プリンシパルに関連付けられているプロビジョニング設定を読み取る |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | アプリケーション プロビジョニング同期ジョブとスキーマを作成および管理する |
| microsoft.directory/provisioningLogs/allProperties/read | プロビジョニング ログのすべてのプロパティの読み取り |
次の手順
- Microsoft Entra ID でカスタム ロールを作成して割り当てる
- ロールの割り当てを一覧表示する