Microsoft Entra ID のカスタム ロールに対するアプリの同意のアクセス許可

この記事では、Microsoft Entra ID のカスタム ロール定義に対して現在利用可能な同意のアクセス許可について説明します。 この記事には、アプリへの同意とアクセス許可に関連したいくつかの一般的なシナリオに必要なアクセス許可が記載されています。

ライセンスの要件

この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 自分の要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。

アプリへの同意のアクセス許可

この記事に記載されている一連のアクセス許可は、アプリへの同意ポリシーの管理に加え、アプリに同意を付与するためのアクセス許可の管理に使用されます。

自己の代理となるアプリに、委任されたアクセス許可を付与する (ユーザーの同意)

アプリへの同意ポリシーの適用を条件に、自己の代理となることへの同意 (ユーザーの同意) をユーザーがアプリケーションに与えられるようにします。

• microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}

{id} は、アプリへの同意ポリシーの ID に置き換えてください。このアクセス許可を有効にするために満たすべき条件が、このポリシーによって設定されます。

たとえば、microsoft-user-default-low という ID を持つ、組み込みのアプリへの同意ポリシーが適用されることを条件に、アプリが自己の代理となることへの同意をユーザーが与えられるようにするには、...managePermissionGrantsForSelf.microsoft-user-default-low というアクセス許可を使用することになります。

すべてのユーザーの代理となるアプリにアクセス許可を付与する (管理者の同意)

委任されたアクセス許可とアプリケーションのアクセス許可 (アプリ ロール) の両方について、テナント全体の管理者の同意をアプリに委任します。

• microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}

{id} は、アプリへの同意ポリシーの ID に置き換えてください。このアクセス許可を有効にするために満たすべき条件が、このポリシーによって設定されます。

たとえば、low-risk-any-app という ID を持つ、カスタムのアプリへの同意ポリシーが適用されることを条件に、ロールを割り当てられたユーザーが、テナント全体の管理者の同意をアプリに付与できるようにするには、microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app というアクセス許可を使用することになります。

アプリへの同意ポリシーを管理する

アプリへの同意ポリシーの作成、更新、削除を委任します。

• microsoft.directory/permissionGrantPolicies/create
• microsoft.directory/permissionGrantPolicies/standard/read
• microsoft.directory/permissionGrantPolicies/basic/update
• microsoft.directory/permissionGrantPolicies/delete

アクセス許可の全一覧

次のステップ

• Microsoft Entra ID でカスタム ロールを作成して割り当てる
• カスタム ロールの割り当てを表示する