Microsoft サービス全体のロール

Microsoft 365 のサービスは、Microsoft Entra ID の管理者ロールで管理できます。 一部のサービスでは、そのサービスに固有の追加のロールも提供されます。 この記事では、Microsoft 365 およびその他のサービスのロールベースのアクセス制御 (RBAC) に関連するコンテンツ、API リファレンス、監査と監視リファレンスを示します。

Microsoft Entra

Microsoft Entra での Microsoft Entra ID と関連サービス。

Microsoft Entra ID

面グラフ コンテンツ
概要 Microsoft Entra ビルトイン ロール
Management API リファレンス Microsoft Entra ロール
Microsoft Graph v1.0 roleManagement API
directory プロバイダーを使用する
• ロールがグループに割り当てられている場合は、Microsoft Graph v1.0 グループ API を使用してグループ メンバーシップを管理します
監査と監視リファレンス Microsoft Entra ロール
Microsoft Entra アクティビティ ログの概要
Microsoft Entra 監査ログへの API アクセス:
Microsoft Graph v1.0 directoryAudit API
RoleManagement カテゴリを使用した監査
• ロールがグループに割り当てられている場合、グループ メンバーシップの変更を監査するには、カテゴリの GroupManagement とアクティビティの Add member to groupRemove member from group を含む監査を参照します。

エンタイトルメント管理

面グラフ コンテンツ
概要 エンタイトルメント管理のロール
Management API リファレンス Microsoft Entra ID でのエンタイトルメント管理に固有のロール
Microsoft Graph v1.0 roleManagement API
directory プロバイダーを使用する
microsoft.directory/entitlementManagement で始まるアクセス許可を持つロールを参照する

エンタイトルメント管理に固有のロール
Microsoft Graph v1.0 roleManagement API
entitlementManagement プロバイダーを使用する
監査と監視リファレンス Microsoft Entra ID でのエンタイトルメント管理に固有のロール
Microsoft Entra アクティビティ ログの概要
Microsoft Entra 監査ログへの API アクセス:
Microsoft Graph v1.0 directoryAudit API
RoleManagement カテゴリを使用した監査

エンタイトルメント管理に固有のロール
Microsoft Entra 監査ログでは、カテゴリ EntitlementManagement とアクティビティは次のいずれかです。
Remove Entitlement Management role assignment
Add Entitlement Management role assignment

Microsoft 365

Microsoft 365 スイートのサービス。

Exchange

面グラフ コンテンツ
概要 Exchange Online のアクセス許可
Management API リファレンス Microsoft Entra ID での Exchange に固有のロール
Microsoft Graph v1.0 roleManagement API
directory プロバイダーを使用する
microsoft.office365.exchange で始まるアクセス許可を持つロール

Exchange に固有のロール
Microsoft Graph Beta roleManagement API
exchange プロバイダーを使用する
監査と監視リファレンス Microsoft Entra ID での Exchange に固有のロール
Microsoft Entra アクティビティ ログの概要
Microsoft Entra 監査ログへの API アクセス:
Microsoft Graph v1.0 directoryAudit API
RoleManagement カテゴリを使用した監査

Exchange に固有のロール
Microsoft Graph Beta Security API (監査ログ クエリ) を使用して、recordType == ExchangeAdmin で Operation が次のいずれかである監査イベントを一覧表示します。
Add-RoleGroupMemberRemove-RoleGroupMemberUpdate-RoleGroupMemberNew-RoleGroupRemove-RoleGroupNew-ManagementRoleRemove-ManagementRoleEntryNew-ManagementRoleAssignment

SharePoint

SharePoint、OneDrive、Delve、リスト、Project Online、ループが含まれます。

面グラフ コンテンツ
概要 Microsoft 365 での SharePoint 管理者ロールについて
管理者向けの Delve
Microsoft Lists の制御設定
Project Online のアクセス許可管理を変更する
Management API リファレンス Microsoft Entra ID での SharePoint に固有のロール
Microsoft Graph v1.0 roleManagement API
directory プロバイダーを使用する
microsoft.office365.sharepoint で始まるアクセス許可を持つロール
監査と監視リファレンス Microsoft Entra ID での SharePoint に固有のロール
Microsoft Entra アクティビティ ログの概要
Microsoft Entra 監査ログへの API アクセス:
Microsoft Graph v1.0 directoryAudit API
RoleManagement カテゴリを使用した監査

Intune

面グラフ コンテンツ
概要 Microsoft Intune でのロールベースのアクセス制御 (RBAC)
Management API リファレンス Microsoft Entra ID での Intune に固有のロール
Microsoft Graph v1.0 roleManagement API
directory プロバイダーを使用する
microsoft.intune で始まるアクセス許可を持つロール

Intune に固有のロール
Microsoft Graph Beta roleManagement API
deviceManagement プロバイダーを使用する
• または、Intune に固有の Microsoft Graph Beta RBAC 管理 API を使用します
監査と監視リファレンス Microsoft Entra ID での Intune に固有のロール
Microsoft Graph v1.0 directoryAudit API
RoleManagement カテゴリ

Intune に固有のロール
Intune 監査の概要
Intune に固有の監査ログへの API アクセス:
Microsoft Graph Beta getAuditActivityTypes API
• 最初に category=Role のアクティビティの種類を一覧表示し、次に Microsoft Graph Beta auditEvents API を使用して各アクティビティの種類のすべての auditEvent を一覧表示します

Teams

Teams、Bookings、Copilot Studio for Teams、Shifts が含まれます。

面グラフ コンテンツ
概要 Microsoft Teams 管理者ロールを使用して Teams を管理する
Management API リファレンス Microsoft Entra ID での Teams に固有のロール
Microsoft Graph v1.0 roleManagement API
directory プロバイダーを使用する
microsoft.teams で始まるアクセス許可を持つロール
監査と監視リファレンス Microsoft Entra ID での Teams に固有のロール
Microsoft Entra アクティビティ ログの概要
Microsoft Entra 監査ログへの API アクセス:
Microsoft Graph v1.0 directoryAudit API
RoleManagement カテゴリを使用した監査

Purview スイート

Purview スイート、Azure Information Protection、および情報バリアが含まれます。

面グラフ コンテンツ
概要 Microsoft Defender for Office 365 および Microsoft Purview のロールとロール グループ
Management API リファレンス Microsoft Entra ID での Purview に固有のロール
Microsoft Graph v1.0 roleManagement API
directory プロバイダーを使用する
• 次の内容で始まるアクセス許可を持つロールを参照する
microsoft.office365.complianceManager
microsoft.office365.protectionCenter
microsoft.office365.securityComplianceCenter

Purview に固有のロール
PowerShell を使用する: セキュリティとコンプライアンス PowerShell。 具体的なコマンドレットは次のとおりです。
Get-RoleGroup
Get-RoleGroupMember
New-RoleGroup
Add-RoleGroupMember
Update-RoleGroupMember
Remove-RoleGroupMember
Remove-RoleGroup
監査と監視リファレンス Microsoft Entra ID での Purview に固有のロール
Microsoft Entra アクティビティ ログの概要
Microsoft Entra 監査ログへの API アクセス:
Microsoft Graph v1.0 directoryAudit API
RoleManagement カテゴリを使用した監査

Purview に固有のロール
Microsoft Graph Beta Security API (監査ログ クエリ) を使用して、recordType == SecurityComplianceRBAC で Operation が Add-RoleGroupMemberRemove-RoleGroupMemberUpdate-RoleGroupMemberNew-RoleGroupRemove-RoleGroup のいずれかである監査イベントを一覧表示します。

Power Platform

Power Platform、Dynamics 365、Flow、Dataverse for Teams が含まれます。

面グラフ コンテンツ
概要 サービス管理者のロールを使用してテナントを管理する
セキュリティ ロールと権限
Management API リファレンス Microsoft Entra ID での Power Platform に固有のロール
Microsoft Graph v1.0 roleManagement API
directory プロバイダーを使用する
• 次の内容で始まるアクセス許可を持つロールを参照する
microsoft.powerApps
microsoft.dynamics365
microsoft.flow

Dataverse に固有のロール
Web API を使用して演算を実行する
ユーザー (SystemUser) テーブル/エンティティ参照を照会する
• ロールの割り当ては、systemuserroles_association テーブルの一部です
監査と監視リファレンス Microsoft Entra ID での Power Platform に固有のロール
Microsoft Entra アクティビティ ログの概要
Microsoft Entra 監査ログへの API アクセス:
Microsoft Graph v1.0 directoryAudit API
RoleManagement カテゴリを使用した監査

Dataverse に固有のロール
Dataverse 監査の概要
Dataverse に固有の監査ログにアクセスするための API
Dataverse Web API
監査テーブル リファレンス
アクション コードを使用した監査 :
53 – チームへロールを割り当て
54 – チームからロールを削除
55 – ユーザーにロールを割り当て
56 – ユーザーからロールを削除
57 – ロールに特権を追加
58 – ロールから特権を削除
59 – ロールの特権を置き換え

Defender スイート

Defender スイート、セキュア スコア、Cloud App Security、脅威インテリジェンスが含まれます。

面グラフ コンテンツ
概要 Microsoft Defender XDR 統合ロールベースのアクセス制御 (RBAC)
Management API リファレンス Microsoft Entra ID での Defender に固有のロール
Microsoft Graph v1.0 roleManagement API
directory プロバイダーを使用する
• 次のロールにはアクセス許可が付与されています (参照): セキュリティ管理者、セキュリティ オペレーター、セキュリティ閲覧者、グローバル管理者、グローバル閲覧者

Defender に固有のロール
Defender 統合 RBAC を使用するには、ワークロードをアクティブ化する必要があります。 「Microsoft Defender XDR 統合ロールベースのアクセス制御 (RBAC) のアクティブ化」をご覧ください。 Defender 統合 RBAC をアクティブ化すると、個々の Defender ソリューション ロールが無効になります。
• security.microsoft.com ポータル経由でのみ管理できます。
監査と監視リファレンス Microsoft Entra ID での Defender に固有のロール
Microsoft Entra アクティビティ ログの概要
Microsoft Entra 監査ログへの API アクセス:
Microsoft Graph v1.0 directoryAudit API
RoleManagement カテゴリを使用した監査

Viva Engage

面グラフ コンテンツ
概要 Viva Engage で管理者ロールを管理する
Management API リファレンス Microsoft Entra ID での Viva Engage に固有のロール
Microsoft Graph v1.0 roleManagement API
directory プロバイダーを使用する
microsoft.office365.yammer で始まるアクセス許可を持つロールを参照する

Viva Engage に固有のロール
• 検証済みの管理者とネットワーク管理者のロールは、Yammer 管理センターを介して管理できます。
• 企業コミュニケーターのロールは、Viva Engage 管理センターを介して割り当てることができます。
Yammer データ エクスポート API を使用してadmins.csvをエクスポートし、管理者の一覧を読み出すことができます
監査と監視リファレンス Microsoft Entra ID での Viva Engage に固有のロール
Microsoft Entra アクティビティ ログの概要
Microsoft Entra 監査ログへの API アクセス:
Microsoft Graph v1.0 directoryAudit API
RoleManagement カテゴリを使用した監査

Viva Engage に固有のロール
Yammer データ エクスポート API を使用して、管理者一覧の admins.csv を段階的にエクスポートします

Viva Connections

面グラフ コンテンツ
概要 Microsoft Viva での管理者ロールとタスク
Management API リファレンス Microsoft Entra ID での Viva Connections に固有のロール
Microsoft Graph v1.0 roleManagement API
directory プロバイダーを使用する
• 次のロールにはアクセス許可が付与されます: SharePoint 管理者、Teams 管理者、グローバル管理者
監査と監視リファレンス Microsoft Entra ID での Viva Connections に固有のロール
Microsoft Entra アクティビティ ログの概要
Microsoft Entra 監査ログへの API アクセス:
Microsoft Graph v1.0 directoryAudit API
RoleManagement カテゴリを使用した監査

Viva Learning

面グラフ コンテンツ
概要 Teams 管理センターで Microsoft Viva Learning をセットアップする
Management API リファレンス Microsoft Entra ID での Viva Learning に固有のロール
Microsoft Graph v1.0 roleManagement API
directory プロバイダーを使用する
microsoft.office365.knowledge で始まるアクセス許可を持つロールを参照する
監査と監視リファレンス Microsoft Entra ID での Viva Learning に固有のロール
Microsoft Entra アクティビティ ログの概要
Microsoft Entra 監査ログへの API アクセス:
Microsoft Graph v1.0 directoryAudit API
RoleManagement カテゴリを使用した監査

Viva Insights

面グラフ コンテンツ
概要 Viva Insights でのロール
Management API リファレンス Microsoft Entra ID での Viva Insights に固有のロール
Microsoft Graph v1.0 roleManagement API
directory プロバイダーを使用する
microsoft.office365.insights で始まるアクセス許可を持つロールを参照する
監査と監視リファレンス Microsoft Entra ID での Viva Insights に固有のロール
Microsoft Entra アクティビティ ログの概要
Microsoft Entra 監査ログへの API アクセス:
Microsoft Graph v1.0 directoryAudit API
RoleManagement カテゴリを使用した監査
面グラフ コンテンツ
概要 Microsoft Search のセットアップ
Management API リファレンス Microsoft Entra ID での Search に固有のロール
Microsoft Graph v1.0 roleManagement API
directory プロバイダーを使用する
microsoft.office365.search で始まるアクセス許可を持つロールを参照する
監査と監視リファレンス Microsoft Entra ID での Search に固有のロール
Microsoft Entra アクティビティ ログの概要
Microsoft Entra 監査ログへの API アクセス:
Microsoft Graph v1.0 directoryAudit API
RoleManagement カテゴリを使用した監査

ユニバーサル印刷

面グラフ コンテンツ
概要 ユニバーサル プリントの管理者のロール
Management API リファレンス Microsoft Entra ID でのユニバーサル プリントに固有のロール
Microsoft Graph v1.0 roleManagement API
directory プロバイダーを使用する
microsoft.azure.print で始まるアクセス許可を持つロールを参照する
監査と監視リファレンス Microsoft Entra ID でのユニバーサル プリントに固有のロール
Microsoft Entra アクティビティ ログの概要
Microsoft Entra 監査ログへの API アクセス:
Microsoft Graph v1.0 directoryAudit API
RoleManagement カテゴリを使用した監査

Microsoft 365 アプリ スイートの管理

Microsoft 365 アプリ スイートの管理と Forms が含まれています。

面グラフ コンテンツ
概要 Microsoft 365 アプリ管理センターの概要
Microsoft Forms の管理者設定
Management API リファレンス Microsoft Entra ID での Microsoft 365 アプリに固有のロール
Microsoft Graph v1.0 roleManagement API
directory プロバイダーを使用する
• 次のロールにはアクセス許可が付与されています: Office アプリ管理者、セキュリティ管理者、グローバル管理者
監査と監視リファレンス Microsoft Entra ID での Microsoft 365 アプリに固有のロール
Microsoft Entra アクティビティ ログの概要
Microsoft Entra 監査ログへの API アクセス:
Microsoft Graph v1.0 directoryAudit API
RoleManagement カテゴリを使用した監査

Azure

Azure コントロール プレーンとサブスクリプション情報用の Azure ロールベースのアクセス制御 (Azure RBAC)。

Azure

Azure と Sentinel が含まれます。

面グラフ コンテンツ
概要 Azure ロールベースのアクセス制御 (Azure RBAC) とは
Microsoft Sentinel のロールとアクセス許可
Management API リファレンス Azure での Azure サービスに固有のロール
Azure Resource Manager 認可 API
• ロールの割り当て: リスト作成/更新削除
• ロールの定義: リスト作成/更新削除

従来の管理者と呼ばれる Azure リソースへのアクセスを許可する従来の方法があります。 従来の管理者は、Azure RBAC での所有者ロールと同等です。 従来の管理者は 2024 年 8 月に廃止されます。
• Microsoft Entra グローバル管理者は、アクセス権の昇格により、Azure への一方的なアクセス権を取得できます。
監査と監視リファレンス Azure での Azure サービスに固有のロール
Azure アクティビティ ログで Azure RBAC の変更を監視する
Azure アクティビティ ログ API
• イベント カテゴリの Administrative と操作の Create role assignmentDelete role assignmentCreate or update custom role definitionDelete custom role definition での監査。

テナント レベルの Azure アクティビティ ログでアクセス権の昇格ログを表示する
Azure アクティビティ ログ API – テナント アクティビティ ログ
• イベント カテゴリの Administrative で文字列 elevateAccess を含む監査。
• テナント レベルのアクティビティ ログにアクセスするには、アクセス権の昇格を使用して少なくとも 1 回はテナント レベルのアクセス権を取得する必要があります。

Commerce

購入と請求に関連するサービス。

Cost Management and Billing – エンタープライズ契約

面グラフ コンテンツ
概要 Azure におけるマイクロソフト エンタープライズ契約のロールの管理
Management API リファレンス Microsoft Entra ID でのエンタープライズ契約に固有のロール
エンタープライズ契約では、Microsoft Entra ロールはサポートされていません。

エンタープライズ契約に固有のロール
課金ロールの割り当て API
• エンタープライズ管理者 (ロール ID: 9f1983cb-2574-400c-87e9-34cf8e2280db)
• エンタープライズ管理者 (読み取り専用) (ロール ID: 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e)
• EA 購入者 (ロール ID: da6647fb-7651-49ee-be91-c43c4877f0c4)
登録部署のロールの割り当て API
• 部署管理者 (ロール ID: fb2cf67f-be5b-42e7-8025-4683c668f840)
• 部署閲覧者 (ロール ID: db609904-a47f-4794-9be8-9bd86fbffd8a)
登録アカウント ロールの割り当て API
• アカウント オーナー (ロール ID: c15c22c0-9faf-424c-9b7e-bd91c06a240b)
監査と監視リファレンス エンタープライズ契約に固有のロール
Azure アクティビティ ログ API – テナント アクティビティ ログ
• テナント レベルのアクティビティ ログにアクセスするには、アクセス権の昇格を使用して少なくとも 1 回はテナント レベルのアクセス権を取得する必要があります。
• resourceProvider == Microsoft.Billing で operationName に billingRoleAssignments または EnrollmentAccount が含まれる場合の監査

Cost Management and Billing – Microsoft 顧客契約

面グラフ コンテンツ
概要 Azure での Microsoft 顧客契約の管理ロールを理解する
Microsoft ビジネス課金アカウントについて
Management API リファレンス Microsoft Entra ID でのMicrosoft 顧客契約に固有のロール
Microsoft Graph v1.0 roleManagement API
directory プロバイダーを使用する
• 次のロールにはアクセス許可が付与されています: 課金管理者、グローバル管理者。

Microsoft 顧客契約に固有のロール
• デフォルトでは、Microsoft Entra グローバル管理者ロールと課金管理者ロールには、Microsoft 顧客契約に固有の RBAC での課金アカウント所有者ロールが自動的に割り当てられます。
課金ロールの割り当て API
監査と監視リファレンス Microsoft Entra ID でのMicrosoft 顧客契約に固有のロール
Microsoft Entra アクティビティ ログの概要
Microsoft Entra 監査ログへの API アクセス:
Microsoft Graph v1.0 directoryAudit API
RoleManagement カテゴリを使用した監査

Microsoft 顧客契約に固有のロール
Azure アクティビティ ログ API – テナント アクティビティ ログ
• テナント レベルのアクティビティ ログにアクセスするには、アクセス権の昇格を使用して少なくとも 1 回はテナント レベルのアクセス権を取得する必要があります。
• resourceProvider == Microsoft.Billing で operationName が次のいずれか (すべて Microsoft.Billing で始まる) である場合の監査。
/permissionRequests/write
/billingAccounts/createBillingRoleAssignment/action
/billingAccounts/billingProfiles/createBillingRoleAssignment/action
/billingAccounts/billingProfiles/invoiceSections/createBillingRoleAssignment/action
/billingAccounts/customers/createBillingRoleAssignment/action
/billingAccounts/billingRoleAssignments/write
/billingAccounts/billingRoleAssignments/delete
/billingAccounts/billingProfiles/billingRoleAssignments/delete
/billingAccounts/billingProfiles/customers/createBillingRoleAssignment/action
/billingAccounts/billingProfiles/invoiceSections/billingRoleAssignments/delete
/billingAccounts/departments/billingRoleAssignments/write
/billingAccounts/departments/billingRoleAssignments/delete
/billingAccounts/enrollmentAccounts/transferBillingSubscriptions/action
/billingAccounts/enrollmentAccounts/billingRoleAssignments/write
/billingAccounts/enrollmentAccounts/billingRoleAssignments/delete
/billingAccounts/billingProfiles/invoiceSections/billingSubscriptions/transfer/action
/billingAccounts/billingProfiles/invoiceSections/initiateTransfer/action
/billingAccounts/billingProfiles/invoiceSections/transfers/delete
/billingAccounts/billingProfiles/invoiceSections/transfers/cancel/action
/billingAccounts/billingProfiles/invoiceSections/transfers/write
/transfers/acceptTransfer/action
/transfers/accept/action
/transfers/decline/action
/transfers/declineTransfer/action
/billingAccounts/customers/initiateTransfer/action
/billingAccounts/customers/transfers/delete
/billingAccounts/customers/transfers/cancel/action
/billingAccounts/customers/transfers/write
/billingAccounts/billingProfiles/invoiceSections/products/transfer/action
/billingAccounts/billingSubscriptions/elevateRole/action

ビジネス サブスクリプションと課金 – ボリューム ライセンス

面グラフ コンテンツ
概要 ボリューム ライセンス ユーザー ロールの管理に関するよく寄せられる質問
Management API リファレンス Microsoft Entra ID でのボリューム ライセンスに固有のロール
ボリューム ライセンスでは、Microsoft Entra ロールはサポートされていません。

ボリューム ライセンスに固有のロール
ボリューム ライセンス ユーザーとロールは M365 管理センターで管理されます。

パートナー センター

面グラフ コンテンツ
概要 ユーザーのロール、アクセス許可、ワークスペース アクセス
Management API リファレンス Microsoft Entra ID でのパートナー センターに固有のロール
Microsoft Graph v1.0 roleManagement API
directory プロバイダーを使用する
• 次のロールにはアクセス許可が付与されています: グローバル管理者、ユーザー管理者。

パートナー センターに固有のロール
パートナー センターに固有のロールはパートナー センターを介してのみ管理できます。
監査と監視リファレンス Microsoft Entra ID でのパートナー センターに固有のロール
Microsoft Entra アクティビティ ログの概要
Microsoft Entra 監査ログへの API アクセス:
Microsoft Graph v1.0 directoryAudit API
RoleManagement カテゴリを使用した監査

その他のサービス

Azure DevOps

面グラフ コンテンツ
概要 アクセス許可とセキュリティ グループについて
Management API リファレンス Microsoft Entra ID での Azure DevOps に固有のロール
Microsoft Graph v1.0 roleManagement API
directory プロバイダーを使用する
microsoft.azure.devOps で始まるアクセス許可を持つロールを参照する。

Azure DevOps に固有のロール
Roleassignments API を使用して付与されたアクセス許可の作成/読み取り/更新/削除
Roledefinitions API を使用してロールのアクセス許可を表示する
アクセス許可のリファレンス トピック
• Azure DevOps グループ (注: Microsoft Entra グループとは異なる) がロールに割り当てられている場合は、Memberships API を使用してグループ メンバーシップを作成、読み取り、更新、削除します
監査と監視リファレンス Microsoft Entra ID での Azure DevOps に固有のロール
Microsoft Entra アクティビティ ログの概要
Microsoft Entra 監査ログへの API アクセス:
Microsoft Graph v1.0 directoryAudit API
RoleManagement カテゴリを使用した監査

Azure DevOps に固有のロール
AzureDevOps 監査ログへのアクセス
監査 API リファレンス
AuditId リファレンス
• ActionId Security.ModifyPermissionSecurity.RemovePermission を使用した監査。
• ロールに割り当てられたグループへの変更については、ActionId Group.UpdateGroupMembershipGroup.UpdateGroupMembership.AddGroup.UpdateGroupMembership.Remove を使用した監査

Fabric

Fabric と Power BI が含まれます。

面グラフ コンテンツ
概要 Microsoft Fabric 管理者ロールを理解する
Management API リファレンス Microsoft Entra ID での Fabric に固有のロール
Microsoft Graph v1.0 roleManagement API
directory プロバイダーを使用する
microsoft.powerApps.powerBI で始まるアクセス許可を持つロールを参照する。
監査と監視リファレンス Microsoft Entra ID での Fabric に固有のロール
Microsoft Entra アクティビティ ログの概要
Microsoft Entra 監査ログへの API アクセス:
Microsoft Graph v1.0 directoryAudit API
RoleManagement カテゴリを使用した監査

カスタマー サポート ケースを管理するための統合サポート ポータル

統合サポート ポータルとサービス ハブが含まれます。

面グラフ コンテンツ
概要 サービス ハブのロールとアクセス許可
Management API リファレンス これらのロールをサービス ハブ ポータル https://serviceshub.microsoft.com で管理します。

Microsoft Graph アプリケーション アクセス許可

前述の RBAC システムに加えて、アプリケーションのアクセス許可を使用して、Microsoft Entra アプリケーションの登録とサービス プリンシパルに昇格されたアクセス許可を付与できます。 たとえば、非対話型の非人間型アプリケーション ID には、テナント内のすべてのメールを読み取る機能 ( Mail.Read アプリケーションのアクセス許可) を付与できます。 アプリケーションのアクセス許可を管理および監視する方法を次の表に示します。

面グラフ コンテンツ
概要 Microsoft Graph のアクセス許可の概要
Management API リファレンス Microsoft Entra ID での Microsoft Graph に固有のロール
Microsoft Graph v1.0 servicePrincipal API
• テナント内の各 servicePrincipalappRoleAssignments を列挙します。
• appRoleAssignment ごとに、appRoleAssignment の resourceId と appRoleId によって参照される servicePrincipal オブジェクトの appRole プロパティを読み取って、割り当てによって付与されたアクセス許可に関する情報を取得します。
• 特に重要なのは、Microsoft Graph (appID == "00000003-0000-0000-c000-000000000000") に対するアプリのアクセス許可であり、Exchange、SharePoint、Teams などのアクセス許可を付与します。 Microsoft Graph のアクセス許可のリファレンスを次に示します。
アプリケーションのための Microsoft Entra セキュリティ オペレーションもご覧ください。
監査と監視リファレンス Microsoft Entra ID での Microsoft Graph に固有のロール
Microsoft Entra アクティビティ ログの概要
Microsoft Entra 監査ログへの API アクセス:
Microsoft Graph v1.0 directoryAudit API
• カテゴリ ApplicationManagement とアクティビティ名 Add app role assignment to service principal を使用した監査

次のステップ