Microsoft Entra ID でアプリ登録のアクセス許可を委任する
この記事では、Microsoft Entra ID のカスタム ロールによって付与されたアクセス許可を使用して、アプリケーション管理のニーズに対応する方法について説明します。 Microsoft Entra ID では、アプリケーションの作成と管理のアクセス許可を次の方法で委任できます。
- アプリケーションを作成できるユーザーを制限し、作成されたアプリケーションを管理できるユーザーを制限する。 Microsoft Entra ID の既定では、すべてのユーザーがアプリケーションを登録し、作成されたアプリケーションのすべての側面を管理できます。 この権限は、選択されたユーザーのみがそのアクセス許可を持つように制限できます。
- アプリケーションに 1 人以上の所有者を割り当てる。 これは、特定のアプリケーションについての Microsoft Entra 構成のすべての側面を管理する能力を一部のユーザーに付与するための簡単な方法です。
- すべてのアプリケーションに対する Microsoft Entra ID での構成を管理するためのアクセス権を付与する、組み込みの管理ロールを割り当てる。 これは、IT エキスパートに、幅広いアプリケーション構成を管理するためのアクセス権を付与しつつ、アプリケーション構成に関連しない Microsoft Entra の他の部分を管理するためのアクセス権を付与しないようにするための推奨される方法です。
- 非常に限定されたアクセス許可を定義するカスタム ロールを作成し、それを一部のユーザーに、限定された所有者として 1 つのアプリケーションのスコープに対して割り当てるか、または制限付き管理者としてディレクトリ スコープ (すべてのアプリケーション) で割り当てます。
上記の方法のいずれかを使用してアクセス権を付与することを検討することは、2 つの理由から重要です。 まず、管理タスクを実行する機能を委任すると、高い特権を持つ管理者のオーバーヘッドが削減されます。 2 番目の理由として、制限付きアクセス許可を使用することでセキュリティ体制が改善され、未承認アクセスの可能性が減少します。 ロール セキュリティの計画のガイドラインについては、「Microsoft Entra ID でのハイブリッドおよびクラウド デプロイ用の特権アクセスをセキュリティで保護する」を参照してください。
アプリケーションを作成できるユーザーを制限する
Microsoft Entra ID の既定では、すべてのユーザーがアプリケーションを登録し、作成されたアプリケーションのすべての側面を管理できます。 また、すべてのユーザーは、アプリがユーザーの代わりに会社のデータにアクセスすることに同意することができます。 グローバル スイッチを [いいえ] に設定し、選択したユーザーをアプリケーション開発者ロールに追加することで、これらのアクセス許可を選択的に付与することができます。
アプリケーション登録またはアプリケーションへの同意を作成する既定の機能を無効にするには
アプリケーションの登録またはアプリケーションへの同意を作成する既定の機能を無効にするには、次の手順に従って、組織にこれらの設定の一方または両方を設定してください。
Microsoft Entra 管理センターにグローバル管理者としてサインインします。
[Identity] (ID)>[ユーザー]>[ユーザー設定] の順に移動します。
[ユーザーはアプリケーションを登録できます] の設定を [いいえ] に設定してください。
これにより、ユーザーがアプリケーション登録を作成する既定の機能が無効になります。
[ID]>[エンタープライズ アプリケーション]>[同意とアクセス許可] の順に参照してください。
[ユーザーの同意を許可しない] オプションを選択してください。
これにより、アプリケーションがユーザーの代わりに会社のデータにアクセスすることにユーザーが同意する既定の機能が無効になります。
既定の機能が無効になっている場合にアプリケーションを作成して同意するための個々のアクセス許可を付与する
[ユーザーはアプリケーションを登録できる] 設定が [いいえ] に設定されている場合に、アプリケーション登録を作成できる能力を付与するためのアプリケーション開発者ロールを割り当てます。 さらにこのロールでは、 [ユーザーはアプリが自身の代わりに会社のデータにアクセスすることを許可できます] 設定が [いいえ] に設定されている場合に、代わりに同意する権限を付与します。
アプリケーションの所有者を割り当てる
所有者を割り当てることは、特定のアプリケーション登録またはエンタープライズ アプリケーションについての Microsoft Entra 構成のすべての側面を管理する能力を付与するための簡単な方法です。 詳細については、「エンタープライズ アプリケーション所有者を割り当てる」をご覧ください。
組み込みのアプリケーション管理者ロールを割り当てる
Microsoft Entra ID には、すべてのアプリケーションに対する Microsoft Entra ID での構成を管理するためのアクセス権を付与する、一連の組み込みの管理者ロールがあります。 これらのロールは、IT エキスパートに、幅広いアプリケーション構成を管理するためのアクセス権を付与しつつ、アプリケーション構成に関連しない Microsoft Entra の他の部分を管理するためのアクセス権を付与しないようにするために推奨される方法です。
- アプリケーション管理者:このロールのユーザーは、エンタープライズ アプリケーション、アプリケーション登録、アプリケーション プロキシの設定の全側面を作成して管理できます。 さらに、このロールは、委任されたアクセス許可とアプリケーション アクセス許可 (Microsoft Graph を除く) に同意する権限を付与します。 このロールに割り当てられたユーザーは、新しいアプリケーション登録またはエンタープライズ アプリケーションを作成する際に、所有者として追加されません。
- クラウド アプリケーション管理者:このロールのユーザーは、(アプリケーション プロキシを管理する権限を除き) アプリケーション管理者ロールと同じアクセス許可を持ちます。 このロールに割り当てられたユーザーは、新しいアプリケーション登録またはエンタープライズ アプリケーションを作成する際に、所有者として追加されません。
詳細およびこれらのロールの説明については、「Microsoft Entra の組み込みロール」を参照してください。
Microsoft Entra ID を使用してユーザーにロールを割り当てることに関するハウツーガイドに記載されている手順に従って、アプリケーション管理者またはクラウド アプリケーション管理者のロールを割り当てます。
重要
アプリケーション管理者およびクラウド アプリケーション管理者は、アプリケーションに資格情報を追加し、その資格情報を使用してアプリケーションの ID を偽装することができます。 アプリケーションは、管理者ロールのアクセス許可を上回る特権の昇格となるアクセス許可を持つことができます。 このロールの管理者は、アプリケーションのアクセス許可に応じて、アプリケーションの偽装中にユーザーや他のオブジェクトを作成または更新する可能性があります。 いずれのロールでも、条件付きアクセスの設定の管理権限は付与されません。
カスタム ロールの作成と割り当て (プレビュー)
カスタム ロールの作成とカスタム ロールの割り当ては別々の手順です。
- カスタムのロール定義を作成し、あらかじめ設定されている一覧からアクセス許可をその定義に追加します。 これらは、組み込みロールで使用されるものと同じアクセス許可です。
- ロールの割り当てを作成し、カスタム ロールを割り当てます。
この分離により、1 つのロール定義を作成し、それを異なるスコープで何度も割り当てることができます。 カスタム ロールは、組織全体のスコープで割り当てることも、単一の Microsoft Entra オブジェクトの場合はそのスコープで割り当てることもできます。 オブジェクト スコープの例としては、単一のアプリ登録があります。 異なるスコープを使用すると、組織内のすべてのアプリ登録に対して同じロール定義を Sally に割り当て、次に Contoso Expense Reports アプリ登録に対してのみ Naveen に割り当てることができます。
アプリケーション管理の委任のためにカスタム ロールを作成して使用する場合のヒント:
- カスタム役割は、Microsoft Entra 管理センターの最新の [アプリ登録] ペインでのみアクセス権を付与します。 レガシ アプリ登録ブレードではアクセス権は付与されません。
- [Microsoft Entra 管理ポータルへのアクセスを制限する] ユーザー設定が [はい] に設定されている場合、カスタム役割は、Microsoft Entra 管理センターへのアクセス権を付与しません。
- ロールの割り当てを使用してユーザーがアクセス権を持っているアプリ登録は、アプリの登録ページの [すべてのアプリケーション] タブにのみ表示されます。 これらは [所有しているアプリケーション] タブには表示されません。
カスタム ロールの基本の詳細については、カスタム ロールの概要に関するページと、カスタム ロールの作成方法とロールの割り当て方法に関するページを参照してください。
トラブルシューティング
症状 - アプリケーションを登録しようとするとアクセスが拒否される
Microsoft Entra ID にアプリケーションを登録しようとすると、次のようなメッセージが表示されます。
Access denied
You do not have access
You don't have permission to register applications in the <directoryName> directory. To request access, contact your administrator.
原因
アプリケーションをディレクトリに登録できないのは、ディレクトリ管理者がアプリケーションを作成できる人を制限しているためです。
ソリューション
管理者に連絡して次のいずれかを行ってもらってください。
- あなたにアプリケーション開発者ロールを割り当てることで、アプリケーションを作成して同意するためのアクセス許可を付与してもらう。
- アプリケーション登録をあなたの代わりに作成してあなたをアプリケーション所有者として割り当ててもらう。