Microsoft Graph を使用してMicrosoft Entra ID とネットワーク アクセス機能を管理する
重要
Microsoft Graph の /beta バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。
Microsoft Graph では、ID とネットワーク アクセス機能を管理できます。そのほとんどは、Microsoft Entraを通じて利用できます。 Microsoft Graph の API は、ID とネットワーク アクセス管理タスクを自動化し、任意のアプリケーションと統合するのに役立ち、Microsoft Entra 管理センターなどの管理者ポータルに代わるプログラムによる代替手段です。
Microsoft Entraは、次の製品で使用できる ID とネットワーク アクセス機能のファミリです。 これらの機能はすべて、Microsoft Graph API を通じて利用できます。
- ID とアクセス管理 (IAM) 機能をグループ化するMicrosoft Entra ID。
- Microsoft Entra ID ガバナンス
- Microsoft Entra 外部 ID
- Microsoft Entra Verified ID
- Microsoft Entra Permissions Management
- Microsoft Entra Internet Accessとネットワーク アクセス
ユーザー ID の管理
ユーザーは、任意の ID とアクセス ソリューションのメイン ID です。 Microsoft Graph API を使用して、ゲストやライセンスやグループ メンバーシップなどの権利を含む、organizationのユーザーのライフサイクル全体を管理できます。 詳細については、「 Microsoft Graph でのユーザーの操作」を参照してください。
グループを管理する
グループは、ID の権利をユニットとして効率的に管理できるコンテナーです。 たとえば、グループを使用して、SharePoint サイトなどのリソースへのアクセス権をユーザーに付与できます。 または、サービスを使用するためのライセンスを付与することもできます。 詳細については、「Microsoft Graph でのグループの操作」を参照してください。
アプリケーションの管理
Microsoft Graph API を使用して、アプリケーションをプログラムで登録および管理し、Microsoft の IAM 機能を使用できます。 詳細については、「Microsoft Graph を使用してMicrosoft Entraアプリケーションとサービス プリンシパルを管理する」を参照してください。
テナント管理またはディレクトリ管理
ID とアクセス管理の主要な機能は、テナントの構成、管理ロール、設定を管理することです。 Microsoft Graph には、次のシナリオでMicrosoft Entra テナントを管理するための API が用意されています。
| ユース ケース | API 操作 |
|---|---|
| 次の操作を含む管理単位を管理します。 |
managementUnit リソースの種類 とその関連 API |
| ユーザー、グループ、またはサービス プリンシパルのリソース アプリケーションに対するアプリ ロールの付与、取り消し、取得 | appRoleAssignment リソースの種類 とその関連 API |
| BitLocker 回復キーを取得する | bitlockerRecoveryKey リソースの種類 とその関連 API |
| カスタム セキュリティ属性を管理する | 「Microsoft Graph APIを使用したカスタム セキュリティ属性の概要」を参照してください |
| 削除されたディレクトリ オブジェクトを管理します。 削除されたオブジェクトを "ごみ箱" に格納する機能は、次のオブジェクトでサポートされています。 |
|
| クラウド内のデバイスを管理する | デバイス リソースの種類 とそれに関連付けられている API |
| ローカル 管理 パスワード ソリューション (LAPS) で有効になっているMicrosoft Entra ID内のすべてのデバイス オブジェクトのローカル管理者資格情報を表示します。 この機能はクラウドベースの LAPS ソリューションです | deviceLocalCredentialInfo リソースの種類 とその関連 API |
| ディレクトリ オブジェクトは、ユーザー、グループ、アプリケーションなど、Microsoft Entra IDのコア オブジェクトです。 directoryObject リソースの種類とその関連 API を使用して、ディレクトリ オブジェクトのメンバーシップをチェックしたり、複数のディレクトリ オブジェクトの変更を追跡したり、Microsoft 365 グループの表示名またはメール ニックネームが名前付けポリシーに準拠していることを検証したりできます。 | directoryObject リソースの種類 とその関連 API |
| Microsoft Entra管理者ロールを含む管理者ロールは、テナント内で最も機密性の高いリソースの 1 つです。 カスタム ロールの作成、ロールの割り当て、ロールの割り当ての変更の追跡、ロールからの担当者の削除など、テナントでの割り当てのライフサイクルを管理できます。 |
directoryRole リソースの種類 と directoryRoleTemplate リソースの種類 と関連する API roleManagement リソースの種類 とその関連 API (推奨) これらの API を使用すると、直接ロールの割り当てを行うことができます。 または、Microsoft EntraロールとグループにPrivileged Identity Management API を使用して、永続的にアクティブな割り当てを直接行う代わりに、Just-In-Time ロールと time-bound ロールの割り当てを行うこともできます。 |
| テナント全体およびオブジェクト固有の制限と許可される動作をカスタマイズするために使用できる次の構成を定義します。 |
groupSetting リソースの種類 と groupSettingTemplate リソースの種類 と関連する API 詳細については、「 グループ設定の概要」を参照してください。 |
| 次のようなドメイン管理操作: |
ドメイン リソースの種類 とその関連 API |
| 特定のMicrosoft Entra ID機能の段階的なロールアウトを構成および管理する | featureRolloutPolicy リソースの種類 とその関連 API |
| テナントのライセンスとサブスクリプションを監視する | |
| 誤った削除の防止やグループのライトバックの管理など、Microsoft Entra Cloud Sync で使用できるオプションを構成する | onPremisesDirectorySynchronization リソースの種類 とその関連 API |
| Microsoft Entra テナントの基本設定を管理する | organizationリソースの種類とその関連 API |
| オンプレミスのディレクトリまたはExchange Onlineから同期される可能性がある組織の連絡先を取得します。 | orgContact リソースの種類 とそれに関連付けられている API |
| テナント ID またはドメイン名を使用してクエリを実行して、他のMicrosoft Entraテナントの基本的な詳細を確認する | tenantInformation リソースの種類 とその関連 API |
| 委任されたアクセス許可とそのテナント内のサービス プリンシパルへの割り当てを管理する | oAuth2PermissionGrant リソースの種類 とそれに関連付けられている API |
ID とサインイン
| ユース ケース | API 操作 |
|---|---|
| カスタム ロジックをトリガーまたは呼び出す必要があるイベント (通常は外部で定義される) を監視するリスナー Microsoft Entra ID | authenticationEventListener リソースの種類 とそれに関連付けられている API |
| Microsoft Entra IDでサポートされている認証方法を管理する | 「Microsoft Entra認証方法 API の概要」と「Microsoft Entra認証方法ポリシー API の概要」を参照してください |
| 条件付きアクセスで許可制御として適用できる認証方法または認証方法の組み合わせを管理Microsoft Entra | Microsoft Entra認証強度 API の概要を参照してください |
| 次のようなテナント全体の承認ポリシーを管理します。 |
authorizationPolicy リソースの種類 とその関連 API |
| テナントで証明書ベースの認証のポリシーを管理する | certificateBasedAuthConfiguration リソースの種類 とそれに関連付けられている API |
| 条件付きアクセス ポリシー Microsoft Entra管理する | conditionalAccessRoot リソースの種類 とそれに関連付けられている API |
| テナント間アクセス設定を管理し、マルチテナント組織のユーザーの送信制限、受信制限、テナント制限、テナント間同期を管理する | 「テナント間アクセス設定 API の概要」を参照してください |
| ユーザー認証セッション中にMicrosoft Entra IDと対話する方法と外部システムを構成する | customAuthenticationExtension リソースの種類 とその関連 API |
| 個人データのエクスポートなど、organization内のユーザー データに対する要求を管理する | dataPolicyOperation リソースの種類 とその関連 API |
| 自動設定サインインを強制してユーザー名入力画面をスキップし、フェデレーション サインイン エンドポイントにユーザーを自動的に転送する | homeRealmDiscoveryPolicy リソースの種類 のリソースの種類とその関連付けられている API |
| Microsoft Entra ID 保護を使用して ID ベースのリスクを検出、調査、修復し、セキュリティ情報とイベント管理 (SIEM) ツールにデータをフィードして、さらなる調査と相関関係を実現する | 「Microsoft Graph ID 保護 API を使用する」を参照してください |
| Microsoft Entra ID、Microsoft Entra 外部 ID、Azure AD B2C テナントの ID プロバイダーを管理します。 次の操作を実行できます。 |
identityProviderBase リソースの種類 とその関連 API |
| organizationに属するテナントのグループを定義し、organizationテナント間コラボレーションを合理化する | 「マルチテナント organization API の概要」を参照してください |
| ブラウザー言語に基づくブランド化の適用など、会社のブランドに合わせてサインイン UI をカスタマイズする | organizationalBranding リソースの種類 とその関連 API |
| 従業員テナントのMicrosoft Entra 外部 IDのユーザー フロー | 次のリソースの種類と関連する API: |
| 外部テナントのMicrosoft Entra 外部 IDのユーザー フロー | 次のリソースの種類と関連する API: |
| アプリの同意ポリシーと条件セットを管理する | permissionGrantPolicy リソースの種類 |
| Microsoft Entra IDでセキュリティの既定値を有効または無効にする | identitySecurityDefaultsEnforcementPolicy リソースの種類 |
ID ガバナンス
詳細については、「Microsoft Graph を使用したMicrosoft Entra ID ガバナンスの概要」を参照してください。
外部テナントのMicrosoft Entra 外部 ID
次の API ユース ケースは、ユーザーが顧客向けアプリケーションと対話する方法をカスタマイズするためにサポートされています。 管理者の場合、Microsoft Entra IDで使用できるほとんどの機能と、外部テナントのMicrosoft Entra 外部 IDでもサポートされています。 たとえば、ドメイン管理、アプリケーション管理、条件付きアクセスなどです。
| ユース ケース | API 操作 |
|---|---|
| 外部テナントとセルフサービス サインアップ エクスペリエンスでのMicrosoft Entra 外部 IDのユーザー フロー | authenticationEventsFlow リソースの種類 とそれに関連付けられている API |
| Microsoft Entra 外部 IDの ID プロバイダーを管理します。 テナントでサポートまたは構成されている ID プロバイダーを特定できます | identityProviderBase リソースの種類とそれに関連付けられている API に関するページを参照してください |
| 外部テナントのMicrosoft Entra 外部 IDでのカスタム URL ドメインの構成 |
ドメイン リソースの種類とその関連 API の supportedServices プロパティのCustomUrlDomain値 |
| ブラウザー言語に基づくブランド化の適用など、会社のブランドに合わせてサインイン UI をカスタマイズする | organizationalBranding リソースの種類 とその関連 API |
| ソーシャル ID など、Microsoft Entra 外部 IDの ID プロバイダーを管理する | identityProviderBase resoruce 型 とその関連 API |
| 顧客のMicrosoft Entra 外部 IDでユーザー プロファイルを管理する | 詳細については、「顧客テナントの既定のユーザーアクセス許可」を参照してください。 |
| 認証エクスペリエンスに独自のビジネス ロジックを追加するには、外部のシステムと統合Microsoft Entra ID | authenticationEventListener リソースの種類 と customAuthenticationExtension リソースの種類 と関連する API |
パートナー テナント管理
また、Microsoft Graph には、クラウド ソリューション プロバイダー (CSP)、付加価値リセラー (VAR)、または Advisor プログラムの Microsoft パートナーが顧客のテナントを管理するのに役立つ次の ID とアクセス機能も用意されています。
| ユース ケース | API 操作 |
|---|---|
| パートナーの顧客との契約を管理する | コントラクト リソースの種類 とそれに関連付けられている API |
| Microsoft パートナーは、パートナーが顧客のテナントに最小限の特権でアクセスできるように、お客様に権限を与えることができます。 この機能により、Microsoft リセラーからサポートを受けることができるようにしながら、セキュリティ体制を顧客に追加で制御できます | 詳細な委任された管理者特権 (GDAP) API の概要に関するページを参照してください |
ID とアクセス レポート
Microsoft Entraは、テナント内のすべてのアクティビティを記録し、監視、コンプライアンス、トラブルシューティングのために分析できるレポートと監査ログを生成します。 これらのアクティビティのレコードは、Microsoft Graph のレポートおよび監査ログ API を通じて入手することもできます。これにより、Azure Monitor ログと Log Analytics を使用してアクティビティを分析したり、サード パーティの SIEM ツールにストリーミングしてさらに調査したりできます。 詳細については、「 ID レポートとアクセス レポート API の概要」を参照してください。
ゼロ トラスト
この機能は、組織がテナントを ゼロ トラスト アーキテクチャの 3 つの基本原則に合わせるのに役立ちます。
- 明確に確認する
- 最小特権を使用する
- 侵害を想定する
ゼロ トラストとその他の方法の詳細については、organizationをガイド原則に合わせる方法については、ゼロ トラスト ガイダンス センターを参照してください。
ライセンス
Microsoft Entraライセンスには、Microsoft Entra ID Free、P1、P2、および Governance が含まれます。Microsoft Entra Permissions ManagementとMicrosoft Entra ワークロード ID 。
さまざまな機能のライセンスの詳細については、「Microsoft Entra ID ライセンス」を参照してください。
関連コンテンツ
- Microsoft Entra IDを使用して ID 標準を実装する
- 独立系ソフトウェア開発者向けのMicrosoft Entra ID ガイド
- Microsoft Entraの一連の機能をデプロイするための計画を構築するのに役立つMicrosoft Entra展開計画を確認します。