Microsoft Entra ID アプリケーションのセットアップ
認証 API を使用するには、ISV はまず、サポートされる各クラウドの Microsoft Entra ID にアプリケーションを登録し、ビジュアルごとに専用のスコープを使用してその Power BI アプリケーションを事前承認する必要があります。 その後、テナント管理者は同意を付与する必要があります。 この記事では、これらの基本的な手順の概要について説明します。
認証 API は、次のクラウドでサポートされています。
- COM (必須) - 商用クラウド
- CN - 中国クラウド
- GCC - 米国政府機関向けコミュニティ クラウド
- GCCHIGH - 米国政府機関向けコミュニティ クラウド高
- DOD - 米国国防総省クラウド
Microsoft Entra ID にアプリを登録する
ビジュアルがサポート対象のクラウドごとに、次の手順に従います。
それぞれの Azure portal に移動し、[アプリの登録] に移動します。
[+ 新規登録] を選びます
[アプリケーションの登録] ページで、次の操作を行います。
- [名前] セクションに目的のアプリケーション名を入力します。
- [サポートされているアカウントの種類] セクションで、[任意の組織のディレクトリ内のアカウント (任意の Azure AD ディレクトリ - マルチテナント)] を選びます。
- 登録 を選択します。
![Microsoft Entra ID 登録アプリの [アプリの登録] ページのスクリーンショット。](media/entra-id-authentication/register-app.png)
アプリケーションが正常に登録されたら、左側のメニューで [API の公開] を選びます。
![Microsoft Entra ID 登録アプリの [API の公開] ページのスクリーンショット。](media/entra-id-authentication/expose-api.png)
[アプリケーション ID URI] フィールドで、[追加] を選びます。
![アプリケーション ID URI を追加するオプションを含む [API の公開] ページのスクリーンショット。](media/entra-id-authentication/add-app-id-uri.png)
Edit アプリケーション ID URI フィールドに、検証済みカスタム ドメインを入力し、"https://" で始まり、"onmicrosoft.com"が含まれていないことを確認し、保存を選択します。
カスタム ドメインを追加するには:
- Microsoft Entra ID カスタム ドメイン名に移動します。
- カスタム ドメインを追加します。
![[Edit Application ID URI]\(アプリケーション ID URI の編集\) ページが開いている [API の公開] ページのスクリーンショット。](media/entra-id-authentication/edit-app-id-uri.png)
Note
アプリケーション URI は、"identifierUris" 配列の下のアプリケーション マニフェストに手動で追加できます。
[+ スコープの追加] を選びます。
[スコープ名] フィールドに「<visual_guid>_CV_ForPBI」と入力し、必要な情報を追加します。 [管理者の同意] フィールドに入力します。 次に、[スコープの追加] ボタンを選びます。 (スコープの長さは 40 文字という制限がありますが、登録されたアプリケーション マニフェスト内のスコープ名を手動で変更して、この制限を管理できます)。
![スコープ名とその他の情報のフィールドを含む [スコープの編集] ウィンドウのスクリーンショット。](media/entra-id-authentication/edit-scope.png)
Power BI アプリケーションを事前認証するには:
[+ クライアント アプリケーションの追加] を選びます。
![クライアント アプリケーションを追加するためのフィールドを含む [スコープの編集] ウィンドウのスクリーンショット。](media/entra-id-authentication/add-client.png)
右側のウィンドウの Client ID フィールドに、Power BI WFE アプリケーション appId を入力します。
- COM (必須) と CN: "871c010f-5e61-4fb1-83ac-98610a7e9110"。
- GCC、 GCCHIGH、 DOD: "ec04d7d8-0476-4acd-bce4-81f438363d37"。
目的のスコープを選択します。
[アプリケーションの追加] をクリックします。
このプロセスを次を使用して繰り返します。
Power BI Desktop:
- COM (必須) と CN: "7f67af8a-fedc-4b08-8b4e-37c4d127b6cf"。
- GCC、 GCCHIGH、 DOD: "6807062e-abc9-480a-ae93-9f7deee6b470"。
Power BI Mobile:
- COM (必須) および CN: "c0d2a505-13b8-4ae0-aa9e-cddd5eab0b12"。
- GCC、GCCHIGH、DOD: “ce76e270-35f5-4bea-94ff-eab975103dc6"。
![[Edit Application ID URI]\(アプリケーション ID URI の編集\) ページが開いている [API の公開] ページのスクリーンショット。](media/entra-id-authentication/edit-app-id-uri.png#lightbox)
![スコープ名とその他の情報のフィールドを含む [スコープの編集] ウィンドウのスクリーンショット。](media/entra-id-authentication/edit-scope.png#lightbox)
![クライアント アプリケーションを追加するためのフィールドを含む [スコープの編集] ウィンドウのスクリーンショット。](media/entra-id-authentication/add-client.png#lightbox)
ISV の同意
テナント管理者は、ユーザーが自分自身で同意を付与することを許可するかどうかを決定できます。 この同意プロセスは、Power BI の外部で行われます。
ISV バックエンド アプリケーション (https://contoso.com など) は、標準の AAD 規則に従って、Graph API とその他の依存関係 (ユーザーまたはテナント管理者) に同意する必要があります。
ISV アプリケーションがビジュアル コンシューマーのテナントとは異なるテナントで実行されている場合は、次のいずれかの方法で ISV のアプリケーションに同意を付与します。
管理者の事前同意:
「アプリケーションにテナント全体の管理者の同意を付与する」の手順に従います。 テナント全体の管理者の同意 URL を、各クラウドのそれぞれのリンクに置き換えます。
- COM と GCC:
https://login.microsoftonline.com/{organization}/adminconsent?client_id={clientId} - CN:
https://login.partner.microsoftonline.cn/{organization}/adminconsent?client_id={clientId} - GCCHIGH と DOD:
https://login.microsoftonline.us/{organization}/adminconsent?client_id={clientId}
- COM と GCC:
対話型コンソール:
テナント管理者が事前に同意しなかった場合、API をトリガーするビジュアルを使用するすべてのユーザーは、ビジュアルのレンダリング時に 1 回限りの同意プロンプトを受け取ります。 詳細については、アプリケーションの同意エクスペリエンスに関するページを参照してください。