次の方法で共有


Microsoft Entra ID でタブ アプリを構成する

Microsoft Entra ID を使用すると、アプリ ユーザーの Teams ID に基づいてタブ アプリにアクセスできます。 Teams にサインインしたアプリ ユーザーにタブ アプリへのアクセス権を付与できるように、タブ アプリを Microsoft Entra ID で登録します。

Microsoft Entra ID で SSO を有効にする

タブ アプリを Microsoft Entra ID に登録し、SSO 用に有効にするには、アプリ ID の生成、API スコープの定義、信頼されたアプリケーションのクライアント ID の事前認証などのアプリ構成を行う必要があります。

Teams クライアント アプリにアクセス トークンを送信するように Microsoft Entra ID を構成する

Microsoft Entra ID で新しいアプリ登録を作成し、スコープ (アクセス許可) を使用してその (Web) API を公開します。 Microsoft Entra ID で公開されている API とアプリの間に信頼関係を構成します。 これにより、Teams クライアントは、アプリケーションとログイン ユーザーに代わってアクセス トークンを取得できます。 事前認証する信頼できるモバイル、デスクトップ、および Web アプリケーションのクライアント ID を追加できます。

また、タブ アプリをターゲットにするプラットフォームやデバイスでアプリ ユーザーを認証するなど、その他の詳細を構成する必要がある場合もあります。

メール、プロファイル、offline_access、OpenId など、ユーザー レベルの Graph API のアクセス許可のみがサポートされます。 User.ReadMail.Readなど、他の Graph スコープへのアクセスが必要な場合は、「Graph のアクセス許可を持つアクセス トークンを取得する」を参照してください。

Microsoft Entra 構成では、Teams のタブ アプリの SSO が有効になります。 アプリ ユーザーを検証するためのアクセス トークンで応答します。

アプリを構成する前に

アプリを Microsoft Entra ID に登録するための構成について事前に学習しておくと便利です。 アプリを登録する前に、次の詳細を構成する準備が整っていることを確認します。

  • 単一またはマルチテナント オプション: アプリケーションは、登録されている Microsoft 365 テナントでのみ使用されますか、それとも多くの Microsoft 365 テナントで使用されますか? 1 つのエンタープライズ用に作成されたアプリケーションは、通常、シングルテナントです。 独立系ソフトウェア ベンダーによって作成され、多くの顧客によって使用されるアプリケーションは、各顧客のテナントがアプリケーションにアクセスできるようにマルチテナントである必要があります。
  • アプリケーション ID URI: これは、スコープを介してアプリのアクセスのために公開する Web API を識別するグローバルに一意の URI です。 識別子 URI とも呼ばれます。 アプリケーション ID URI には、アプリ ID と、アプリがホストされているサブドメインが含まれます。 アプリケーションのドメイン名と、Microsoft Entra アプリケーションに登録するドメイン名は同じである必要があります。 アプリごとに複数のドメインはサポートされていません。
  • スコープ: これは、承認されたアプリ ユーザーまたはアプリが API によって公開されているリソースにアクセスするために付与できるアクセス許可です。

注:

  • 組織 (LOB アプリ) 用に構築されたカスタム アプリ: 組織用に構築されたカスタム アプリ (LOB アプリ) は、組織内またはビジネス内で内部または特定のアプリです。 組織は、Microsoft Store を通じてこれらのアプリを利用できるようにします。
  • 顧客が所有するアプリ: SSO は、Azure AD B2C テナント内で顧客が所有するアプリのためにサポートされています。

SSO を有効にするために Microsoft Entra ID でアプリを作成して構成するには:

Microsoft Entra ID でアプリを構成する

Microsoft Entra ID でタブ アプリを構成して、アクセス トークンのスコープとアクセス許可を構成できます。

アプリを Microsoft Entra ID に登録し、テナントとアプリのプラットフォームを構成してから、SSO を有効にします。 Microsoft Entra ID では、注意する必要がある新しいアプリ ID が生成されます。 後でアプリ マニフェスト (以前は Teams アプリ マニフェストと呼ばれる) ファイルで更新する必要があります。

注:

Microsoft Teams Toolkit は、SSO プロジェクトに Microsoft Entra アプリケーションを登録します。 Teams Toolkit を使用してアプリを作成した場合は、このセクションをスキップできます。 ただし、アクセス許可とスコープを構成し、クライアント アプリケーションを信頼する必要があります。

Microsoft Entra ID でアプリを登録する方法について説明します

Microsoft Entra ID で新しいアプリを登録するには

  1. Web ブラウザーで Azure portal を開きます。

  2. [アプリの登録] アイコンを選択します。

    Microsoft Entra 管理センター ページ。

    [アプリの登録] ページが表示されます。

  3. [+ 新しい登録] アイコンを選択します。

    Microsoft Entra 管理センターの [新しい登録] ページ。

    [アプリケーション登録] ページが表示されます。

  4. アプリ ユーザーに表示するアプリの名前を入力します。 必要に応じて、後の段階で名前を変更できます。

    Microsoft Entra 管理センターのアプリ登録ページ。

  5. アプリにアクセスできるユーザー アカウントの種類を選択します。 組織のディレクトリ内の単一または複数テナントのオプションから選択することも、個人の Microsoft アカウントにのみアクセスを制限することもできます。

    サポートされているアカウントの種類のオプション
    オプション これを以下に選択します...
    この組織のディレクトリ内のアカウントのみ (Microsoft のみ - シングル テナント) テナント内のユーザー (またはゲスト) のみが使用するアプリケーションをビルドします。
    組織 (LOB アプリ) 用に構築されたカスタム アプリと呼ばれることがよくあります。このアプリは、Microsoft ID プラットフォームのシングルテナント アプリケーションです。
    任意の組織ディレクトリ内のアカウント (任意の Microsoft Entra ID テナント - Multitenant) Microsoft Entra テナントのユーザーがアプリケーションを使用できるようにします。 このオプションは、たとえば、SaaS アプリケーションを構築していて、複数の組織で使用できるようにする場合に適しています。
    この種類のアプリは、Microsoft ID プラットフォームのマルチテナント アプリケーションと呼ばれます。
    任意の組織ディレクトリ内のアカウント (任意の Microsoft Entra ID テナント - マルチテナント) と個人用 Microsoft アカウント (Skype、Xbox など) 最も幅広い顧客のセットをターゲットにします。
    このオプションを選択すると、個人用 Microsoft アカウントを持つアプリ ユーザーをサポートできるマルチテナント アプリケーションを登録します。
    個人用 Microsoft アカウントのみ 個人の Microsoft アカウントを持つユーザー専用のアプリケーションをビルドします。

    注:

    タブ アプリの SSO を有効にするために 「リダイレクト URI」 と入力する必要はありません。

  6. [登録] を選択します。 アプリが作成されたことを示すメッセージがブラウザーに表示されます。

    Microsoft Entra 管理センターでアプリを登録します。

    アプリ ID とその他の構成を含むページが表示されます。

    アプリの登録が成功しました。

  7. アプリケーション (クライアント) ID からアプリ ID をメモして保存し、アプリ マニフェストを後で更新します。

    アプリは Microsoft Entra ID に登録されています。 これで、タブ アプリのアプリ ID が作成されました。

アクセス トークンのスコープを構成する

新しいアプリ登録を作成したら、Teams クライアントにアクセス トークンを送信し、信頼されたクライアント アプリケーションを承認して SSO を有効にするためのスコープ (アクセス許可) オプションを構成します。

スコープを構成し、信頼されたクライアント アプリケーションを承認するには、次のものが必要です。

  • API を公開するには: アプリのスコープ (アクセス許可) オプションを構成します。 Web API を公開し、アプリケーション ID URI を構成します。
  • API スコープを構成するには: API のスコープと、スコープに同意できるユーザーを定義します。 管理者のみが、より高い特権を持つアクセス許可に対する同意を提供できます。
  • 承認されたクライアント アプリケーションを構成するには: 事前認証するアプリケーションの承認されたクライアント ID を作成します。 これにより、アプリ ユーザーは、追加の同意を必要とせずに、構成したアプリ スコープ (アクセス許可) にアクセスできます。 アプリ ユーザーは同意を拒否する機会がないため、信頼できるクライアント アプリケーションのみを事前認証します。

API を公開するには

  1. 左側のウィンドウで [管理]>[API の公開] を選択します。

    API メニュー オプションを公開します。

    [API の公開] ページが表示されます。

  2. [ 追加] を選択して、 api://{AppID}の形式でアプリケーション ID URI を生成します。

    アプリ ID URI を設定する

    アプリケーション ID URI を設定するためのセクションが表示されます。

  3. ここで説明する形式でアプリケーション ID URI を入力します。

    アプリケーション ID

    • アプリケーション ID URI には、api://{AppID}形式のアプリ ID (GUID) が事前に入力されています。
    • アプリケーション ID URI 形式は、 api://fully-qualified-domain-name.com/{AppID}である必要があります。
    • fully-qualified-domain-name.comapi://{AppID} (つまり GUID) の間に挿入します。 たとえば、api://example.com/{AppID} です。

    ここで、

    • fully-qualified-domain-name.com は、アプリを提供する人間が判読できるドメイン名です。 アプリケーションのドメイン名と、Microsoft Entra アプリケーションに登録するドメイン名は同じである必要があります。

      ngrok などのトンネリング サービスを使用している場合は、ngrok サブドメインが変更される度にこの値を更新する必要があります。

    • AppID は、アプリを登録したときに生成されたアプリ ID (GUID) です。 [概要] セクションで表示できます。

    重要

    • 機密情報: アプリケーション ID URI は認証プロセスの一部としてログに記録され、機密情報を含めることはできません。

    • 複数の機能を持つアプリのアプリケーション ID URI: ボット、メッセージング拡張機能、タブを使用してアプリを構築する場合は、アプリケーション ID URI を api://fully-qualified-domain-name.com/botid-{YourClientId}として入力します。{YourClientId} はボット アプリ ID です。

    • ドメイン名の形式: ドメイン名には小文字を使用します。 大文字を使用しないでください。

      たとえば、リソース名を持つアプリ サービスまたは Web アプリを作成するには、次の demoapplication

      使用される基本リソース名以下の場合 URL は次のようになります... 形式は以下でサポートされています...
      demoapplication https://demoapplication.example.net すべてのプラットフォーム。
      DemoApplication https://DemoApplication.example.net デスクトップ、Web、および iOS のみ。 Android ではサポートされていません。

      基本リソース名として小文字のオプション demoapplication を使用します。

  4. [保存] を選択します。

    アプリケーション ID URI が更新されたことを示すメッセージがブラウザーに表示されます。

    アプリケーション ID URI メッセージ

    アプリケーション ID URI がページに表示されます。

    アプリケーション ID URI が更新されました

  5. アプリケーション ID URI をメモして保存して、アプリ マニフェストを後で更新します。

API スコープを構成するには

  1. [この API で定義されたスコープ] セクションで [+ スコープの追加] を選択します。

    [スコープの追加]

    [スコープの追加] ページが表示されます。

  2. スコープを構成するための詳細を入力します。

    このスクリーンショットは、Azure でスコープの詳細を追加する方法を示しています。

    1. スコープ名を入力します。 このフィールドは必須です。
    2. このスコープに同意できるユーザーを選択します。 既定のオプションは [管理者のみ] です。
    3. 管理同意表示名を入力します。 このフィールドは必須です。
    4. 管理者の同意の説明を入力します。 このフィールドは必須です。
    5. [ユーザーの同意表示名] を入力します。
    6. ユーザー同意の説明を入力します。
    7. 状態の [有効] オプションを選択します。
    8. [スコープの追加] を選択します。

    スコープが追加されたことを示すメッセージがブラウザーに表示されます。

    スコープが追加されたメッセージ

    定義した新しいスコープがページに表示されます。

    追加および表示されるスコープ

承認されたクライアント アプリケーションを構成するには

  1. [API の公開] ページを [承認済みクライアント アプリケーション] セクションに移動し、[+ クライアント アプリケーションの追加] を選択します。

    承認されたクライアント アプリケーション

    [クライアント アプリケーションの追加] ページが表示されます。

  2. アプリの Web アプリケーションに対して承認するアプリケーションに適した Microsoft 365 クライアント ID を入力します。

    クライアント アプリケーションを追加する

    注:

    • Teams、Microsoft 365 アプリ、Outlook 用のモバイル、デスクトップ、および Web アプリケーション用の Microsoft 365 クライアント ID は、追加する必要がある実際の ID です。
    • Teams タブ アプリの場合は、Teams にモバイルまたはデスクトップ クライアント アプリケーションを使用できないため、Web または SPA が必要です。
    1. 次のいずれかのクライアント ID を選択します。

      Microsoft 365 クライアント アプリケーション クライアント ID
      Teams デスクトップ、モバイル 1fec8e78-bce4-4aaf-ab1b-5451cc387264
      Teams Web 5e3ce6c0-2b1f-4285-8d4b-75ee78787346
      Microsoft 365 Web 4765445b-32c6-49b0-83e6-1d93765276ca
      Microsoft 365 デスクトップ 0ec893e0-5785-4de6-99da-4ed124e5296c
      Microsoft 365 mobile d3590ed6-52b3-4102-aeff-aad2292ab01c
      Outlook デスクトップ d3590ed6-52b3-4102-aeff-aad2292ab01c
      Outlook Web bc59ab01-8403-45c6-8796-ac3ef710b3e3
      Outlook モバイル 27922004-5251-4030-b22d-91ecd9a37ea4

      注:

      一部の Microsoft 365 クライアント アプリケーションでは、クライアント ID が共有されます。

    2. 公開した Web API にスコープを追加するには、[承認されたスコープ] でアプリ用に作成したアプリケーション ID URI を選択します。

    3. [アプリケーションの追加] を選択します。

      承認されたクライアント アプリが追加されたことを示すメッセージがブラウザーに表示されます。

      クライアント アプリケーションがメッセージを追加しました

      承認されたアプリのクライアント ID がページに表示されます。

      クライアント アプリの追加と表示

注:

複数のクライアント アプリケーションを承認できます。 承認された別のクライアント アプリケーションを構成するには、この手順の手順を繰り返します。

アプリのスコープ、アクセス許可、およびクライアント アプリケーションが正常に構成されました。 アプリケーション ID URI をメモして保存してください。 次に、アクセス トークンのバージョンを構成します。

アクセス トークンのバージョンを構成する

アプリのアクセス トークンのバージョンを定義する必要があります。 この構成は、Microsoft Entra アプリケーション アプリ マニフェストで行われます。

アクセス トークンのバージョンを定義するには

  1. 左側のウィンドウで [管理]>[マニフェスト] の順に選択します。

    Microsoft Entra 管理センター マニフェスト

    Microsoft Entra アプリケーション アプリ マニフェストが表示されます。

  2. accessTokenAcceptedVersion プロパティの値として 2 を入力します。

    注:

    アプリの登録中に [個人用 Microsoft アカウントのみ ] または 任意の組織ディレクトリ (任意の Microsoft Entra ディレクトリ - マルチテナント) と個人用 Microsoft アカウント (Skype や Xbox など) を選択した場合は、 accessTokenAcceptedVersion プロパティの値を 2 として更新します。

    承認済みアクセス トークンバージョンの値

  3. [保存] を選びます。

    アプリ マニフェストが正常に更新されたことを示すメッセージがブラウザーに表示されます。

    マニフェスト更新メッセージ

おめでとうございます! タブ アプリの SSO を有効にするために必要な Microsoft Entra ID のアプリ構成が完了しました。

次のステップ

関連項目