次の方法で共有


Microsoft Graph を使用して Microsoft Entra ID とネットワーク アクセス機能を管理する

重要

Microsoft Graph の /beta バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。

Microsoft Graph を使用すると、ID とネットワーク アクセス機能を管理できます。そのほとんどは Microsoft Entra を通じて利用できます。 Microsoft Graph の API は、ID とネットワーク アクセス管理タスクを自動化し、任意のアプリケーションと統合するのに役立ち、Microsoft Entra 管理センターなどの管理者ポータルに代わるプログラムによる代替手段です。

Microsoft Entra は、次の製品で利用できる ID とネットワーク アクセス機能のファミリです。 これらの機能はすべて、Microsoft Graph API を通じて利用できます。

  • ID とアクセス管理 (IAM) 機能をグループ化する Microsoft Entra ID。
  • Microsoft Entra ID ガバナンス
  • Microsoft Entra 外部 ID
  • Microsoft Entra 検証済み ID
  • Microsoft Entra Permissions Management
  • Microsoft Entra インターネット アクセスとネットワーク アクセス

ユーザー ID の管理

ユーザーは、任意の ID とアクセス ソリューションの主要な ID です。 Microsoft Graph API を使用して、組織内のユーザーのライフサイクル全体と、ライセンスやグループ メンバーシップなどの権利を管理できます。 詳細については、「 Microsoft Graph でのユーザーの操作」を参照してください。

グループを管理する

グループは、ID の権利をユニットとして効率的に管理できるコンテナーです。 たとえば、グループを使用して、SharePoint サイトなどのリソースへのアクセス権をユーザーに付与できます。 または、サービスを使用するためのライセンスを付与することもできます。 詳細については、「Microsoft Graph でのグループの操作」を参照してください。

アプリケーションの管理

Microsoft Graph API を使用して、アプリケーションをプログラムで登録および管理し、Microsoft の IAM 機能を使用できます。 詳細については、「 Microsoft Graph を使用して Microsoft Entra アプリケーションとサービス プリンシパルを管理する」を参照してください。


テナント管理またはディレクトリ管理

ID とアクセス管理の主要な機能は、テナントの構成、管理ロール、設定を管理することです。 Microsoft Graph には、次のシナリオで Microsoft Entra テナントを管理するための API が用意されています。

ユース ケース API 操作
次の操作を含む管理単位を管理します。
  • 管理単位を作成する
  • 管理単位のメンバーとメンバーシップ ルールを作成および管理する
  • 管理単位をスコープとする管理者ロールを割り当てる
  • managementUnit リソースの種類 とその関連 API
    BitLocker 回復キーを取得する bitlockerRecoveryKey リソースの種類 とその関連 API
    テナントのライセンスとサブスクリプションを監視する
  • companySubscription リソースの種類 とそれに関連付けられている API
  • subscribedSku リソースの種類 とそれに関連付けられている API
  • カスタム セキュリティ属性を管理する 「Microsoft Graph API を使用したカスタム セキュリティ属性の概要」を参照してください
    削除されたディレクトリ オブジェクトを管理します。 削除されたオブジェクトを "ごみ箱" に格納する機能は、次のオブジェクトでサポートされています。
  • 管理単位
  • アプリケーション
  • 外部ユーザー プロファイル
  • グループ
  • 保留中の外部ユーザー プロファイル
  • サービス プリンシパル
  • ユーザー
  • 削除されたオブジェクトを取得または一覧表示する
  • 削除されたオブジェクトを完全に削除する
  • 削除されたアイテムを復元する
  • ユーザーによって所有されている削除済みアイテムを一覧表示する
  • クラウド内のデバイスを管理する デバイス リソースの種類 とそれに関連付けられている API
    ローカル管理者パスワード ソリューション (LAPS) で有効になっている Microsoft Entra ID 内のすべてのデバイス オブジェクトのローカル管理者資格情報を表示します。 この機能はクラウドベースの LAPS ソリューションです deviceLocalCredentialInfo リソースの種類 とその関連 API
    ディレクトリ オブジェクトは、ユーザー、グループ、アプリケーションなど、Microsoft Entra ID のコア オブジェクトです。 directoryObject リソースの種類とその関連 API を使用して、ディレクトリ オブジェクトのメンバーシップを確認したり、複数のディレクトリ オブジェクトの変更を追跡したり、Microsoft 365 グループの表示名またはメール ニックネームが名前付けポリシーに準拠していることを検証したりできます。 directoryObject リソースの種類 とその関連 API
    Microsoft Entra 管理者ロールを含む管理者ロールは、テナント内で最も機密性の高いリソースの 1 つです。 カスタム ロールの作成、ロールの割り当て、ロールの割り当ての変更の追跡、ロールからの担当者の削除など、テナントでの割り当てのライフサイクルを管理できます。 directoryRole リソースの種類directoryRoleTemplate リソースの種類と関連する API

    roleManagement リソースの種類 とその関連 API

    これらの API を使用すると、直接ロールの割り当てを行うことができます。 または、 Microsoft Entra ロールグループ の Privileged Identity Management API を使用して、永続的にアクティブな割り当てを直接行う代わりに、Just-In-Time ロールと Time-Bound ロールの割り当てを行うこともできます。
    テナント全体およびオブジェクト固有の制限と許可される動作をカスタマイズするために使用できる次の構成を定義します。
  • ゲスト ユーザー アクセス、分類、名前付けポリシーなどの Microsoft 365 グループの設定
  • 禁止されたパスワード リストやロックアウト期間などのパスワード ルール設定
  • アプリケーション、予約語、および商標違反の禁止名
  • カスタム条件付きアクセス ポリシー URL
  • ユーザーの同意要求、グループ固有の同意、危険なアプリの同意などの同意ポリシー
  • groupSetting リソースの種類groupSettingTemplate リソースの種類 と関連する API

    詳細については、「 グループ設定の概要」を参照してください。
    次のようなドメイン管理操作:
  • ドメインをテナントに関連付ける
  • DNS レコードの取得
  • ドメイン所有権の確認
  • 特定のサービスを特定のドメインに関連付けます
  • ドメインの削除
  • ドメイン リソースの種類 とその関連 API
    特定の Microsoft Entra ID 機能の段階的ロールアウトを構成および管理する featureRolloutPolicy リソースの種類 とその関連 API
    Microsoft Entra Cloud Sync で使用できるオプション (誤った削除の防止やグループライトバックの管理など) を構成する onPremisesDirectorySynchronization リソースの種類 とその関連 API
    Microsoft Entra テナントの基本設定を管理する 組織のリソースの種類 とそれに関連付けられている API
    オンプレミスのディレクトリまたは Exchange Online から同期される可能性がある組織の連絡先を取得する orgContact リソースの種類 とそれに関連付けられている API
    テナント ID またはドメイン名を使用してクエリを実行して、他の Microsoft Entra テナントの基本的な詳細を確認する tenantInformation リソースの種類 とその関連 API
    委任されたアクセス許可とそのテナント内のサービス プリンシパルへの割り当てを管理する oAuth2PermissionGrant リソースの種類 とそれに関連付けられている API

    ID とサインイン

    ユース ケース API 操作
    カスタム ロジックをトリガーまたは呼び出す必要があるイベント (通常は Microsoft Entra ID の外部で定義される) を監視するリスナーを構成する authenticationEventListener リソースの種類 とそれに関連付けられている API
    Microsoft Entra ID でサポートされている認証方法を管理する 「Microsoft Entra 認証方法 API の概要」「Microsoft Entra 認証方法ポリシー API の概要」を参照してください
    Microsoft Entra 条件付きアクセスで許可制御として適用できる認証方法または認証方法の組み合わせを管理する 「Microsoft Entra 認証強度 API の概要」を参照してください
    次のようなテナント全体の承認ポリシーを管理します。
  • 管理者アカウントの SSPR を有効にする
  • ゲストのセルフサービス参加を有効にする
  • ゲストを招待できるユーザーを制限する
  • ユーザーが危険なアプリに同意できるかどうか
  • MSOL の使用をブロックする
  • 既定のユーザーアクセス許可をカスタマイズする
  • ID プライベート プレビュー機能が有効
  • ユーザー、ゲスト ユーザー、制限付きゲスト ユーザーの間でゲスト ユーザーのアクセス許可をカスタマイズする
  • authorizationPolicy リソースの種類 とその関連 API
    テナントで証明書ベースの認証のポリシーを管理する certificateBasedAuthConfiguration リソースの種類 とそれに関連付けられている API
    Microsoft Entra 条件付きアクセス ポリシーを管理する conditionalAccessRoot リソースの種類 とそれに関連付けられている API
    テナント間アクセス設定を管理し、マルチテナント組織のユーザーの送信制限、受信制限、テナント制限、テナント間同期を管理する 「テナント間アクセス設定 API の概要」を参照してください
    ユーザー認証セッション中に Microsoft Entra ID と対話する方法と外部システムを構成する customAuthenticationExtension リソースの種類 とその関連 API
    個人データのエクスポートなど、組織内のユーザー データに対する要求を管理する dataPolicyOperation リソースの種類 とその関連 API
    自動設定サインインを強制してユーザー名入力画面をスキップし、フェデレーション サインイン エンドポイントにユーザーを自動的に転送する homeRealmDiscoveryPolicy リソースの種類 のリソースの種類とその関連付けられている API
    Microsoft Entra ID Protection を使用して ID ベースのリスクを検出、調査、修復し、セキュリティ情報とイベント管理 (SIEM) ツールにデータをフィードして、さらなる調査と相関関係を実現する 「Microsoft Graph ID 保護 API を使用する」を参照してください
    Microsoft Entra ID、Microsoft Entra External ID、Azure AD B2C テナントの ID プロバイダーを管理します。 次の操作を実行できます。
  • ソーシャル ID プロバイダー、OIDC、Apple、SAML/WS-Fed、組み込みプロバイダーなど、外部 ID の ID プロバイダーを管理する
  • フェデレーション ドメインとトークン検証の構成を管理する
  • identityProviderBase リソースの種類 とその関連 API
    Microsoft Entra 外部 ID を使用して外部ユーザーをテナントと共同作業するよう招待する 招待リソースの種類 とそれに関連付けられている API
    組織に属するテナントのグループを定義し、組織間のテナント間コラボレーションを合理化する 「マルチテナント組織 API の概要」を参照してください
    ブラウザー言語に基づくブランド化の適用など、会社のブランドに合わせてサインイン UI をカスタマイズする organizationalBranding リソースの種類 とその関連 API
    従業員テナントの Microsoft Entra 外部 ID のユーザー フロー 次のリソースの種類と関連する API:
  • b2xIdentityUserFlow を使用して、ベース ユーザー フローとそのプロパティ (ID プロバイダーなど) を構成する
  • 組み込みユーザー フロー属性とカスタム ユーザー フロー属性を管理する identityUserFlowAttribute
  • ユーザー フロー属性の割り当てを管理するための identityUserFlowAttributeAssignment
  • ユーザー フローのカスタム言語を構成するための userFlowLanguageConfiguration リソースの種類
  • 外部テナントでの Microsoft Entra 外部 ID のユーザー フロー 次のリソースの種類と関連する API:
  • authenticationEventsFlow リソースの種類 とそれに関連付けられている API
  • 組み込みユーザー フロー属性とカスタム ユーザー フロー属性を管理する identityUserFlowAttribute
  • アプリの同意ポリシーと条件セットを管理する permissionGrantPolicy リソースの種類
    Microsoft Entra ID でセキュリティの既定値を有効または無効にする identitySecurityDefaultsEnforcementPolicy リソースの種類

    ID ガバナンス

    詳細については、「 Microsoft Graph を使用した Microsoft Entra ID ガバナンスの概要」を参照してください。

    外部テナントの Microsoft Entra 外部 ID

    次の API ユース ケースは、ユーザーが顧客向けアプリケーションと対話する方法をカスタマイズするためにサポートされています。 管理者の場合、Microsoft Entra ID で使用できるほとんどの機能と、外部テナントの Microsoft Entra External ID でもサポートされています。 たとえば、ドメイン管理、アプリケーション管理、条件付きアクセスなどです。

    ユース ケース API 操作
    外部テナントとセルフサービス サインアップ エクスペリエンスでの Microsoft Entra 外部 ID のユーザー フロー authenticationEventsFlow リソースの種類 とそれに関連付けられている API
    Microsoft Entra External ID の ID プロバイダーを管理します。 テナントでサポートまたは構成されている ID プロバイダーを特定できます identityProviderBase リソースの種類とそれに関連付けられている API に関するページを参照してください
    外部テナントでの Microsoft Entra 外部 ID でのカスタム URL ドメインの構成 ドメイン リソースの種類とその関連 API の supportedServices プロパティのCustomUrlDomain
    ブラウザー言語に基づくブランド化の適用など、会社のブランドに合わせてサインイン UI をカスタマイズする organizationalBranding リソースの種類 とその関連 API
    ソーシャル ID など、Microsoft Entra 外部 ID の ID プロバイダーを管理する identityProviderBase resoruce 型 とその関連 API
    顧客の Microsoft Entra 外部 ID でユーザー プロファイルを管理する 詳細については、「顧客テナントの既定のユーザーアクセス許可」を参照してください。
    Microsoft Entra ID の外部にあるシステムと統合することで、独自のビジネス ロジックを認証エクスペリエンスに追加する authenticationEventListener リソースの種類customAuthenticationExtension リソースの種類 と関連する API

    パートナー テナント管理

    また、Microsoft Graph には、クラウド ソリューション プロバイダー (CSP)、付加価値リセラー (VAR)、または Advisor プログラムの Microsoft パートナーが顧客のテナントを管理するのに役立つ次の ID とアクセス機能も用意されています。

    ユース ケース API 操作
    パートナーの顧客との契約を管理する コントラクト リソースの種類 とそれに関連付けられている API
    Microsoft パートナーは、パートナーが顧客のテナントに最小限の特権でアクセスできるように、お客様に権限を与えることができます。 この機能により、Microsoft リセラーからサポートを受けることができるようにしながら、セキュリティ体制を顧客に追加で制御できます 詳細な委任された管理者特権 (GDAP) API の概要に関するページを参照してください

    ライセンス

    Microsoft Entra ライセンスには、Microsoft Entra ID Free、P1、P2、およびガバナンスが含まれます。Microsoft Entra Permissions Management;と Microsoft Entra ワークロード ID。

    さまざまな機能のライセンスの詳細については、「 Microsoft Entra ID ライセンス」を参照してください。