Microsoft Graph を使用してMicrosoft Entraアプリケーションとサービス プリンシパルを管理する
Microsoft Entra IDは、ID とアクセス管理 (IAM) システムです。 その機能の中核となる部分は、登録されたアプリケーションの認証と承認サービスを提供するMicrosoft ID プラットフォームです。 Microsoft Graph API を使用すると、アプリケーションをプログラムで登録および管理できるため、Microsoft の IAM 機能を使用できます。
アプリケーションとサービス プリンシパル
Microsoft Entraでは、アプリケーションはアプリケーション オブジェクトとサービス プリンシパル オブジェクトによって定義されます。 アプリケーションのアプリケーション オブジェクトはMicrosoft Entra全体に 1 つだけですが、アプリケーションに複数のサービス プリンシパル オブジェクトを指定できます。
アプリケーション オブジェクトは、アプリが登録されたテナントにあります。 サービス プリンシパルは、アプリがインストールされ、使用されるすべてのテナント (アプリが登録されているテナントを含む) に作成されます。 詳細については、「Microsoft Entra IDのアプリケーション および サービス プリンシパル オブジェクト」を参照してください。
Microsoft Graph では、アプリケーションは アプリケーション リソースの種類 で表され、サービス プリンシパルは servicePrincipal リソースの種類で表されます。 2 つのオブジェクトの詳細には、それぞれ [IdentityApplicationsアプリの登録 と Identity>>Applications>>Enterprise アプリケーション] メニューからMicrosoft Entra 管理センターでアクセスできます。
アプリケーションを管理するための API ユース ケース
次の API ユース ケースは、Microsoft Graph のアプリケーション リソースの種類 を使用してアプリケーションを管理するためにサポートされています。
| ユース ケース | API 操作 |
|---|---|
| アプリケーションを登録し、その基本的なプロパティを構成する | アプリケーションを作成する |
| 次のような登録済みアプリケーションのプロパティを構成します。 |
アプリケーションを更新する |
| アプリケーションを削除する | アプリケーションを削除する |
| 削除されたアプリケーションを管理する | |
| アプリケーションのパスワード資格情報を管理する | |
| アプリケーションのフェデレーション ID 資格情報を管理する | Microsoft Graph を使用してフェデレーション ID 資格情報の管理を開始する |
| アプリケーションの証明書ベースの資格情報を管理する | |
| アプリケーションのディレクトリ拡張機能を管理する | |
| アプリケーションの変更を追跡する | ..?$filter=isof('microsoft.graph.application') |
| 所有者の管理 | |
| 発行元の検証を管理する |
サービス プリンシパルを管理するための API ユース ケース
次の API ユース ケースは、Microsoft Graph の servicePrincipal リソースの種類 を使用してサービス プリンシパルを管理するためにサポートされています。
| ユース ケース | API 操作 |
|---|---|
| サービス プリンシパルを登録する | servicePrincipal を作成する |
| 次のようなサービス プリンシパルのプロパティを構成します。 |
servicePrincipalを更新する |
| サービス プリンシパルを削除する | servicePrincipalを削除する |
| 削除されたサービス プリンシパルの管理 (ビュー、復元、または完全削除) | |
| サービス プリンシパルのパスワード資格情報を管理する | |
| サービス プリンシパルの証明書ベースの資格情報を管理する | |
| SAML トークン署名証明書を追加する | |
| サービス プリンシパルへの変更を追跡する | ..?$filter=isof('microsoft.graph.servicePrincipal') |
| 所有者の管理 |
アプリケーション テンプレート
アプリケーション テンプレートは、Microsoft Entra アプリ ギャラリーで使用できるアプリです。 applicationTemplate リソースの種類とそれに関連付けられているメソッドを使用して、次の手順を実行します。
- アプリケーション ギャラリーからアプリを識別する
- サポートされている SSO モードでアプリを識別する
- アプリケーション ギャラリーからアプリとサービス プリンシパルをインスタンス化する
アプリケーションとサービス プリンシパルに適用されるポリシー
| ポリシーの説明 | API 操作 | 適用対象 |
|---|---|---|
| リモート デスクトップ サービス (RDS) 認証プロトコルMicrosoft Entra ID管理する | remoteDesktopSecurityConfiguration リソースの種類とそれに関連付けられているメソッド | サービス プリンシパル |
| SAML トークン ポリシーを構成する | tokenIssuancePolicy リソースの種類とその関連するメソッド | アプリケーション サービス プリンシパル |
| アクセス トークン、SAML トークン、ID トークンのポリシーを構成する | トークンの有効期間ポリシー - tokenLifetimePolicy リソースの種類とそれに関連付けられているメソッド トークン発行ポリシー - tokenIssuancePolicy リソースの種類とそれに関連付けられているメソッド |
アプリケーション サービス プリンシパル |
| すべてのデバイスの種類について、Microsoft 365 Web アプリのアイドル セッション タイムアウトを管理する メモ: 非管理対象デバイスに対してのみポリシーをトリガーするには、条件付きアクセス ポリシーも追加する必要があります。 |
activityBasedTimeoutPolicy リソースの種類とその関連するメソッド | Microsoft 365 Web アプリ |
| organizationで証明書とパスワード シークレットを使用する方法に関するポリシーを管理します。 パスワード シークレットまたは対称キーの使用のブロックや有効期間の制限、信頼された証明機関の強制など、テナント全体のポリシーまたはアプリ固有のポリシーを作成する | アプリケーション認証方法ポリシー | アプリケーション |
| WS-Fed、SAML、OAuth 2.0、OpenID Connect プロトコルの要求マッピング ポリシーと、ポリシーが適用されるアプリケーションを管理する | claimsMappingPolicy リソースの種類とその関連するメソッド | サービス プリンシパル |
| テナントのホーム領域検出 (HRD) とサービス プリンシパルへのポリシーの割り当てを管理する | homeRealmDiscoveryPolicy リソースの種類とその関連するメソッド | サービス プリンシパル |
ID 同期 (プロビジョニング)
Microsoft Graph のプロビジョニング API を使用すると、次のシナリオで ID のプロビジョニングとプロビジョニング解除を自動化および管理できます。
- オンプレミスの Active DirectoryからMicrosoft Entra IDへ
- 他のクラウド ディレクトリからMicrosoft Entra ID
- Microsoft Entra IDから Dropbox、Salesforce、ServiceNow などのクラウド アプリケーションまで
詳細については、「Microsoft Entra同期 API の概要」を参照してください。