Microsoft Graph とアプリ専用認証を使用して Python アプリを構築する

[アーティクル]
Developer (初級)
完了まで 19 分

このチュートリアルでは、Microsoft Graph API を使用してアプリ専用認証を使用してデータにアクセスする Python コンソールアプリを構築する方法について説明します。アプリのみの認証は、組織内のすべてのユーザーのデータにアクセスする必要があるバックグラウンドサービスまたはアプリケーションに適しています。

注:

Microsoft Graph を使用してユーザーの代わりにデータにアクセスする方法については、このユーザー (委任された) 認証チュートリアルを参照してください。

このチュートリアルの内容:

List users

ヒント

このチュートリアルに従う代わりに、 GitHub リポジトリをダウンロードまたは複製し、README の指示に従ってアプリケーションを登録し、プロジェクトを構成できます。

前提条件

このチュートリアルを開始する前に、開発用コンピューターに Python と pip がインストールされている必要があります。

また、グローバル管理者ロールを持つ Microsoft の職場または学校アカウントも必要です。 Microsoft 365 テナントをお持ちでない場合は、 Microsoft 365 開発者プログラムを通じてテナントの資格を得る可能性があります。詳細については、 FAQ を参照してください。または、 1 か月間の無料試用版にサインアップするか、Microsoft 365 プランを購入することもできます。

注:

このチュートリアルは、Python バージョン 3.10.4 と pip バージョン 20.0.2 で記述されました。このガイドの手順は、他のバージョンで動作する可能性がありますが、テストされていません。

ポータルでアプリを登録する

残り 18 分

この演習では、アプリのみの認証を有効にするために、Azure Active Directory に新しいアプリケーションを登録します。アプリケーションは、Microsoft Entra 管理センターを使用するか、 Microsoft Graph PowerShell SDK を使用して登録できます。

アプリケーションをアプリ専用認証に登録する

このセクションでは、クライアント資格情報フローを使用してアプリのみの認証をサポートするアプリケーションを登録します。

Microsoft Entra 管理センター
PowerShell

ブラウザーを開き、 Microsoft Entra 管理センターに移動し、グローバル管理者アカウントを使用してログインします。
左側のナビゲーションで [Microsoft Entra ID] を 選択し、[ ID] を展開し、[ アプリケーション] を展開して、[ アプリの登録] を選択します。
[新規登録] を選択します。アプリケーションの名前 (例: Graph App-Only Auth Tutorial) を入力します。
[ サポートされているアカウントの種類 ] を [この組織のディレクトリ内のアカウントのみ] に設定します。
[リダイレクト URI]を空のままにします。
[登録] を選択します。アプリケーションの [概要 ] ページで、 アプリケーション (クライアント) ID と ディレクトリ (テナント) ID の値をコピーして保存します。次の手順でこれらの値が必要になります。
[管理] で、[API のアクセス許可] を選択します。
行で省略記号 (...) を選択し、[アクセス許可の削除] を選択して、[構成されたアクセス許可] の下にある既定の User.Readアクセス許可を削除します。
[ アクセス許可の追加] を選択し、[ Microsoft Graph] を選択します。
[アプリケーションのアクセス許可] を選択します。
[ User.Read.All] を選択し、[ アクセス許可の追加] を選択します。
[ 管理者の同意を付与する] を選択し、[ はい ] を選択して、選択したアクセス許可に対して管理者の同意を提供します。
[管理] で [証明書とシークレット] を選択し、[新しいクライアントシークレット] を選択します。
説明を入力し、期間を選択し、[ 追加] を選択します。
[値] 列からシークレットをコピーします。次の手順で必要になります。

重要

このクライアントシークレットは今後表示されないため、この段階で必ずコピーするようにしてください。

PowerShell を使用するには、Microsoft Graph PowerShell SDK が必要です。インストール手順については、「 Microsoft Graph PowerShell SDK のインストール」を参照してください。

RegisterAppForAppOnlyAuth.ps1という名前の新しいファイルを作成し、次のコードを追加します。

param(
  [Parameter(Mandatory=$true,
  HelpMessage="The friendly name of the app registration")]
  [String]
  $AppName,

  [Parameter(Mandatory=$true,
  HelpMessage="The application permission scopes to configure on the app registration")]
  [String[]]
  $GraphScopes,

  [Parameter(Mandatory=$false)]
  [Switch]
  $StayConnected = $false
)

$graphAppId = "00000003-0000-0000-c000-000000000000"

# Requires an admin
Connect-MgGraph -Scopes "Application.ReadWrite.All AppRoleAssignment.ReadWrite.All User.Read" -UseDeviceAuthentication -ErrorAction Stop

# Get context for access to tenant ID
$context = Get-MgContext -ErrorAction Stop
$authTenant = $context.TenantId

# Create app registration
$appRegistration = New-MgApplication -DisplayName $AppName -SignInAudience "AzureADMyOrg" -ErrorAction Stop
Write-Host -ForegroundColor Cyan "App registration created with app ID" $appRegistration.AppId

# Create corresponding service principal
$appServicePrincipal = New-MgServicePrincipal -AppId $appRegistration.AppId -ErrorAction SilentlyContinue `
  -ErrorVariable SPError
if ($SPError)
{
  Write-Host -ForegroundColor Red "A service principal for the app could not be created."
  Write-Host -ForegroundColor Red $SPError
  Exit
}

Write-Host -ForegroundColor Cyan "Service principal created"

# Lookup available Graph application permissions
$graphServicePrincipal = Get-MgServicePrincipal -Filter ("appId eq '" + $graphAppId + "'") -ErrorAction Stop
$graphAppPermissions = $graphServicePrincipal.AppRoles

$resourceAccess = @()

foreach($scope in $GraphScopes)
{
  $permission = $graphAppPermissions | Where-Object { $_.Value -eq $scope }
  if ($permission)
  {
    $resourceAccess += @{ Id =  $permission.Id; Type = "Role"}
  }
  else
  {
    Write-Host -ForegroundColor Red "Invalid scope:" $scope
    Exit
  }
}

# Add the permissions to required resource access
Update-MgApplication -ApplicationId $appRegistration.Id -RequiredResourceAccess `
 @{ ResourceAppId = $graphAppId; ResourceAccess = $resourceAccess } -ErrorAction Stop
Write-Host -ForegroundColor Cyan "Added application permissions to app registration"

# Add admin consent
foreach ($appRole in $resourceAccess)
{
  New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $appServicePrincipal.Id `
   -PrincipalId $appServicePrincipal.Id -ResourceId $graphServicePrincipal.Id `
   -AppRoleId $appRole.Id -ErrorAction SilentlyContinue -ErrorVariable SPError | Out-Null
  if ($SPError)
  {
    Write-Host -ForegroundColor Red "Admin consent for one of the requested scopes could not be added."
    Write-Host -ForegroundColor Red $SPError
    Exit
  }
}
Write-Host -ForegroundColor Cyan "Added admin consent"

# Add a client secret
$clientSecret = Add-MgApplicationPassword -ApplicationId $appRegistration.Id -PasswordCredential `
 @{ DisplayName = "Added by PowerShell" } -ErrorAction Stop

Write-Host
Write-Host -ForegroundColor Green "SUCCESS"
Write-Host -ForegroundColor Cyan -NoNewline "Client ID: "
Write-Host -ForegroundColor Yellow $appRegistration.AppId
Write-Host -ForegroundColor Cyan -NoNewline "Tenant ID: "
Write-Host -ForegroundColor Yellow $authTenant
Write-Host -ForegroundColor Cyan -NoNewline "Client secret: "
Write-Host -ForegroundColor Yellow $clientSecret.SecretText
Write-Host -ForegroundColor Cyan -NoNewline "Secret expires: "
Write-Host -ForegroundColor Yellow $clientSecret.EndDateTime

if ($StayConnected -eq $false)
{
  Disconnect-MgGraph | Out-Null
  Write-Host "Disconnected from Microsoft Graph"
}
else
{
  Write-Host
  Write-Host -ForegroundColor Yellow `
   "The connection to Microsoft Graph is still active. To disconnect, use Disconnect-MgGraph"
}

ファイルを保存します。
PowerShell を開き、現在のディレクトリを RegisterAppForAppOnlyAuth.ps1の場所に変更します。

次のコマンドを実行します。

.\RegisterAppForAppOnlyAuth.ps1 -AppName "Graph App-Only Auth Tutorial" -GraphScopes "User.Read.All"

プロンプトに従ってブラウザーで https://microsoft.com/devicelogin を開き、指定されたコードを入力し、認証プロセスを完了します。
スクリプト出力から クライアント ID、 テナント ID、 クライアントシークレット の値をコピーします。これらの値は、次の手順で必要になります。
```
SUCCESS
Client ID: ae2386e6-799e-4f75-b191-855d7e691c75
Tenant ID: 5927c10a-91bd-4408-9c70-c50bce922b71
Client secret: ...
Secret expires: 10/28/2024 5:01:45 PM
```

注:

ユーザー認証に登録する手順とは異なり、このセクションではアプリの登録に対する Microsoft Graph のアクセス許可を構成したことに注意してください。これは、アプリのみの認証でクライアント資格情報フローが使用されるため、アプリの登録でアクセス許可を構成する必要があるためです。詳細については、「.default スコープ」を参照してください。

Python コンソールアプリを作成する

残り 15 分

まず、新しい Python ファイルを作成します。

main.py という名前の新しいファイルを作成し、次のコードを追加します。
```
print ('Hello world!')
```
ファイルを保存し、次のコマンドを使用してファイルを実行します。
```
python3 main.py
```
動作する場合、アプリは Hello world!を出力する必要があります。

依存関係のインストール

次に進む前に、後で使用するいくつかの依存関係を追加します。

ユーザーを認証し、アクセストークンを取得するための Python 用の Azure Identity クライアントライブラリ。
Microsoft Graph SDK for Python (プレビュー) を使用して Microsoft Graph を呼び出します。

CLI で次のコマンドを実行して、依存関係をインストールします。

python3 -m pip install azure-identity
python3 -m pip install msgraph-sdk

アプリケーション設定を読み込む

このセクションでは、アプリ登録の詳細をプロジェクトに追加します。

config.cfg という名前 main.py 同じディレクトリにファイルを作成し、次のコードを追加します。
```
[azure]
clientId = YOUR_CLIENT_ID_HERE
clientSecret = YOUR_CLIENT_SECRET_HERE
tenantId = YOUR_TENANT_ID_HERE
```
次の表に従って値を更新します。

設定値

clientId アプリ登録のクライアント ID

clientSecret アプリ登録のクライアントシークレット

tenantId 組織のテナント ID

ヒント

必要に応じて、 config.dev.cfg という名前の別のファイルでこれらの値を設定できます。

設定	値
`clientId`	アプリ登録のクライアント ID
`clientSecret`	アプリ登録のクライアントシークレット
`tenantId`	組織のテナント ID

アプリを設計する

このセクションでは、簡単なコンソールベースのメニューを作成します。

graph.py という名前の新しいファイルを作成し、そのファイルに次のコードを追加します。
```
# Temporary placeholder
class Graph:
    def __init__(self, config):
        self.settings = config
```
このコードはプレースホルダーです。次のセクションでは、 Graph クラスを実装します。

main.py を開き、その内容全体を次のコードに置き換えます。

import asyncio
import configparser
from msgraph.generated.models.o_data_errors.o_data_error import ODataError
from graph import Graph

async def main():
    print('Python Graph App-Only Tutorial\n')

    # Load settings
    config = configparser.ConfigParser()
    config.read(['config.cfg', 'config.dev.cfg'])
    azure_settings = config['azure']

    graph: Graph = Graph(azure_settings)

    choice = -1

    while choice != 0:
        print('Please choose one of the following options:')
        print('0. Exit')
        print('1. Display access token')
        print('2. List users')
        print('3. Make a Graph call')

        try:
            choice = int(input())
        except ValueError:
            choice = -1

        try:
            if choice == 0:
                print('Goodbye...')
            elif choice == 1:
                await display_access_token(graph)
            elif choice == 2:
                await list_users(graph)
            elif choice == 3:
                await make_graph_call(graph)
            else:
                print('Invalid choice!\n')
        except ODataError as odata_error:
            print('Error:')
            if odata_error.error:
                print(odata_error.error.code, odata_error.error.message)

ファイルの末尾に次のプレースホルダーメソッドを追加します。後の手順で実装します。

async def display_access_token(graph: Graph):
    # TODO
    return

async def list_users(graph: Graph):
    # TODO
    return

async def make_graph_call(graph: Graph):
    # TODO
    return

次の行を追加して、ファイルの末尾に main を呼び出します。
```
# Run main
asyncio.run(main())
```

これにより、基本的なメニューが実装され、コマンドラインからユーザーの選択が読み取ります。

アプリ専用認証を追加する

残り 10 分

このセクションでは、アプリケーションにアプリのみの認証を追加します。これは、Microsoft Graph を呼び出すために必要な OAuth アクセストークンを取得するために必要です。この手順では、 Python 用 Azure Identity クライアントライブラリをアプリケーションに統合し、 Microsoft Graph SDK for Python (プレビュー) の認証を構成します。

Azure Identity ライブラリには、OAuth2 トークンフローを実装する多数の TokenCredential クラスが用意されています。 Microsoft Graph SDK では、これらのクラスを使用して Microsoft Graph への呼び出しを認証します。

アプリ専用認証用に Graph クライアントを構成する

このセクションでは、 ClientSecretCredential クラスを使用して、クライアント資格情報フローを使用してアクセストークンを要求します。

graph.py を開き、その内容全体を次のコードに置き換えます。

from configparser import SectionProxy
from azure.identity.aio import ClientSecretCredential
from msgraph import GraphServiceClient
from msgraph.generated.users.users_request_builder import UsersRequestBuilder

class Graph:
    settings: SectionProxy
    client_credential: ClientSecretCredential
    app_client: GraphServiceClient

    def __init__(self, config: SectionProxy):
        self.settings = config
        client_id = self.settings['clientId']
        tenant_id = self.settings['tenantId']
        client_secret = self.settings['clientSecret']

        self.client_credential = ClientSecretCredential(tenant_id, client_id, client_secret)
        self.app_client = GraphServiceClient(self.client_credential) # type: ignore

このコードでは、 ClientSecretCredential オブジェクトと GraphServiceClient オブジェクトの 2 つのプライベートプロパティを宣言します。 __init__関数は、ClientSecretCredentialの新しいインスタンスを作成し、そのインスタンスを使用してGraphServiceClientの新しいインスタンスを作成します。 app_clientを介して Microsoft Graph に API 呼び出しが行われるたびに、提供された資格情報を使用してアクセストークンを取得します。

次の関数を graph.py に追加します。

async def get_app_only_token(self):
    graph_scope = 'https://graph.microsoft.com/.default'
    access_token = await self.client_credential.get_token(graph_scope)
    return access_token.token

main.py の空の display_access_token 関数を次のように置き換えます。

async def display_access_token(graph: Graph):
    token = await graph.get_app_only_token()
    print('App-only token:', token, '\n')

アプリをビルドして実行します。オプションの入力を求められたら、「 1 」と入力します。アプリケーションにアクセストークンが表示されます。
```
Python Graph App-Only Tutorial

Please choose one of the following options:
0. Exit
1. Display access token
2. List users
3. Make a Graph call
1
App-only token: eyJ0eXAiOiJKV1QiLCJub25jZSI6IlVDTzRYOWtKYlNLVjVkRzJGenJqd2xvVUcwWS...
```
ヒント

検証とデバッグ のみを目的として、 https://jwt.msで Microsoft のオンライントークンパーサーを使用してアプリ専用アクセストークンをデコードできます。これは、Microsoft Graph を呼び出すときにトークンエラーが発生した場合に役立ちます。たとえば、トークン内の role 要求に、想定される Microsoft Graph アクセス許可スコープが含まれていることを確認します。

ユーザーを一覧表示する

残り 7 分

このセクションでは、アプリのみの認証を使用して、Azure Active Directory 内のすべてのユーザーを一覧表示する機能を追加します。

次の関数を graph.py に追加します。

async def get_users(self):
    query_params = UsersRequestBuilder.UsersRequestBuilderGetQueryParameters(
        # Only request specific properties
        select = ['displayName', 'id', 'mail'],
        # Get at most 25 results
        top = 25,
        # Sort by display name
        orderby= ['displayName']
    )
    request_config = UsersRequestBuilder.UsersRequestBuilderGetRequestConfiguration(
        query_parameters=query_params
    )

    users = await self.app_client.users.get(request_configuration=request_config)
    return users

main.py の空の list_users 関数を次のように置き換えます。

async def list_users(graph: Graph):
    users_page = await graph.get_users()

    # Output each users's details
    if users_page and users_page.value:
        for user in users_page.value:
            print('User:', user.display_name)
            print('  ID:', user.id)
            print('  Email:', user.mail)

        # If @odata.nextLink is present
        more_available = users_page.odata_next_link is not None
        print('\nMore users available?', more_available, '\n')

アプリを実行し、オプション 2 を選択してユーザーを一覧表示します。

Please choose one of the following options:
0. Exit
1. Display access token
2. List users
3. Make a Graph call
2
User: Adele Vance
  ID: 05fb57bf-2653-4396-846d-2f210a91d9cf
  Email: AdeleV@contoso.com
User: Alex Wilber
  ID: a36fe267-a437-4d24-b39e-7344774d606c
  Email: AlexW@contoso.com
User: Allan Deyoung
  ID: 54cebbaa-2c56-47ec-b878-c8ff309746b0
  Email: AllanD@contoso.com
User: Bianca Pisani
  ID: 9a7dcbd0-72f0-48a9-a9fa-03cd46641d49
  Email: None
User: Brian Johnson (TAILSPIN)
  ID: a8989e40-be57-4c2e-bf0b-7cdc471e9cc4
  Email: BrianJ@contoso.com

...

More users available? True

コードの説明

get_users関数のコードについて考えてみましょう。

ユーザーのコレクションを取得します
$selectを使用して特定のプロパティを要求します
$topを使用して、返されるユーザーの数を制限します
$orderByを使用して応答を並べ替える

省略可能: 独自のコードを追加する

残り 5 分

このセクションでは、独自の Microsoft Graph 機能をアプリケーションに追加します。これは、Microsoft Graph ドキュメントまたは Graph エクスプローラーのコードスニペット、または作成したコードです。このセクションは省略可能です。

アプリを更新する

次の関数を graph.py に追加します。

async def make_graph_call(self):
    # INSERT YOUR CODE HERE
    return

main.py の空の list_inbox 関数を次のように置き換えます。

async def make_graph_call(graph: Graph):
    await graph.make_graph_call()

API を選択する

試したい API を Microsoft Graph で見つけます。たとえば、 Create イベント API です。 API ドキュメントの例のいずれかを使用するか、独自の API 要求を作成できます。

アクセス許可を構成する

選択した API のリファレンスドキュメントの [アクセス許可] セクションを確認して、サポートされている認証方法を確認します。たとえば、一部の API では、アプリ専用アカウントや個人用 Microsoft アカウントがサポートされていません。

ユーザー認証を使用して API を呼び出すには (API でユーザー (委任された) 認証がサポートされている場合)、ユーザー (委任された) 認証のチュートリアルを参照してください。
アプリ専用認証を使用して API を呼び出すには (API でサポートされている場合)、Azure AD 管理センターに必要なアクセス許可スコープを追加します。

コードを追加する

コードを graph.py の make_graph_call関数にコピーします。

次の方法で共有

Microsoft Graph とアプリ専用認証を使用して Python アプリを構築する

前提条件

ポータルでアプリを登録する

アプリケーションをアプリ専用認証に登録する

Python コンソールアプリを作成する

依存関係のインストール

アプリケーション設定を読み込む

アプリを設計する

アプリ専用認証を追加する

アプリ専用認証用に Graph クライアントを構成する

ユーザーを一覧表示する

コードの説明

省略可能: 独自のコードを追加する

アプリを更新する

API を選択する

アクセス許可を構成する

コードを追加する

おめでとうございます。

Python サンプル

次の方法で共有

Microsoft Graph とアプリ専用認証を使用して Python アプリを構築する

前提条件

ポータルでアプリを登録する

アプリケーションをアプリ専用認証に登録する

Python コンソール アプリを作成する

依存関係のインストール

アプリケーション設定を読み込む

アプリを設計する

アプリ専用認証を追加する

アプリ専用認証用に Graph クライアントを構成する

ユーザーを一覧表示する

コードの説明

省略可能: 独自のコードを追加する

アプリを更新する

API を選択する

アクセス許可を構成する

コードを追加する

おめでとうございます。

Python サンプル

Python コンソールアプリを作成する