Microsoft Entra ID のカスタム ロールに対するアプリの同意のアクセス許可

この記事では、Microsoft Entra ID のカスタム ロール定義に対して現在利用可能な同意のアクセス許可について説明します。 この記事には、アプリへの同意とアクセス許可に関連したいくつかの一般的なシナリオに必要なアクセス許可が記載されています。

ライセンスの要件

この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 自分の要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。

この記事に記載されている一連のアクセス許可は、アプリへの同意ポリシーの管理に加え、アプリに同意を付与するためのアクセス許可の管理に使用されます。

Note

現在、この記事に記載されているアクセス許可を、Microsoft Entra 管理センターからカスタム ディレクトリ ロールの定義に追加することはできません。 この記事に記載されているアクセス許可を持つカスタム ディレクトリ ロールを作成するには、Microsoft Graph PowerShell を使用する必要があります。

アプリへの同意ポリシーの適用を条件に、自己の代理となることへの同意 (ユーザーの同意) をユーザーがアプリケーションに与えられるようにします。

  • microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}

{id} は、アプリへの同意ポリシーの ID に置き換えてください。このアクセス許可を有効にするために満たすべき条件が、このポリシーによって設定されます。

たとえば、microsoft-user-default-low という ID を持つ、組み込みのアプリへの同意ポリシーが適用されることを条件に、アプリが自己の代理となることへの同意をユーザーが与えられるようにするには、...managePermissionGrantsForSelf.microsoft-user-default-low というアクセス許可を使用することになります。

委任されたアクセス許可とアプリケーションのアクセス許可 (アプリ ロール) の両方について、テナント全体の管理者の同意をアプリに委任します。

  • microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}

{id} は、アプリへの同意ポリシーの ID に置き換えてください。このアクセス許可を有効にするために満たすべき条件が、このポリシーによって設定されます。

たとえば、low-risk-any-app という ID を持つ、カスタムのアプリへの同意ポリシーが適用されることを条件に、ロールを割り当てられたユーザーが、テナント全体の管理者の同意をアプリに付与できるようにするには、microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app というアクセス許可を使用することになります。

アプリへの同意ポリシーの作成、更新、削除を委任します。

  • microsoft.directory/permissionGrantPolicies/create
  • microsoft.directory/permissionGrantPolicies/standard/read
  • microsoft.directory/permissionGrantPolicies/basic/update
  • microsoft.directory/permissionGrantPolicies/delete

アクセス許可の全一覧

権限 説明
microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} 自己の代理となることへの同意 (ユーザーの同意) をアプリに与える権限が、アプリへの同意ポリシー {id} の適用を条件に付与されます。
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} すべてのユーザーの代理となることへの同意 (テナント全体の管理者の同意) をアプリに与える権限が、アプリへの同意ポリシー {id} の適用を条件に付与されます。
microsoft.directory/permissionGrantPolicies/standard/read アクセス許可付与ポリシーの標準プロパティを読み取る
microsoft.directory/permissionGrantPolicies/basic/update アクセス許可付与ポリシーの基本プロパティを更新する
microsoft.directory/permissionGrantPolicies/create アクセス許可付与ポリシーを作成する
microsoft.directory/permissionGrantPolicies/delete アクセス許可付与ポリシーを削除する

次のステップ