アプリケーション リソースの種類
名前空間: microsoft.graph
これはアプリケーションを表すものです。 Microsoft Entra ID に認証をアウトソーシングするアプリケーションは、Microsoft ID プラットフォームに登録する必要があります。 アプリケーションの登録には、アプリケーションの場所の URL、認証後に応答を送信する URL、アプリケーションを識別するための URI など、アプリケーションに関する Microsoft Entra ID の通知が含まれます。
directoryObject から継承します。
このリソースは、他のプロパティを渡すことができるオープン型です。
このリソースは以下をサポートしています。
- 拡張機能として、カスタム プロパティに独自のデータを追加します。
- デルタ関数を提供することにより、デルタ クエリを使用して、増分の追加、削除、更新を追跡します。
- 代替キー構文。
appIdプロパティは、サポートされている代替キーです。 詳細については、「アプリケーションの 取得」を参照してください。
メソッド
| メソッド | 戻り値の型 | 説明 |
|---|---|---|
| List | application コレクション | 組織内のアプリケーションの一覧を取得します。 |
| Create | application | 新しいアプリケーションを作成 (登録) します。 |
| Get | application | application オブジェクトのプロパティと関係を読み取ります。 |
| Update | なし | アプリケーション オブジェクトを更新します。 |
| Upsert | application | 新しいアプリケーションが存在しない場合は作成するか、既存のアプリケーションのプロパティを更新します。 |
| Delete | なし | アプリケーション オブジェクトを削除します。 |
| 差分を取得する | application | リソース コレクション全体を完全に読み取ることなく、新しく作成、更新、または削除されたアプリケーションを取得します。 |
| 削除済みアイテム | ||
| List | directoryObject コレクション | 最近削除したアプリケーションの一覧を取得します。 |
| Get | directoryObject | 最近削除したアプリケーションのプロパティを取得します。 |
| 復元 | directoryObject | 最近削除したアプリケーションを復元します。 |
| 完全に削除 | なし | アプリケーションを完全に削除します。 |
| ユーザーによって所有されている削除済みアイテムを一覧表示する | directoryObject コレクション | 過去 30 日間にテナントで削除され、ユーザーによって所有されているアプリケーションを取得します。 |
| 証明書とシークレット | ||
| パスワードを追加する | passwordCredential | アプリケーションに強力なパスワードを追加します。 |
| パスワードを削除する | passwordCredential | アプリケーションからパスワードを削除します。 |
| キーの追加 | keyCredential | アプリケーションにキーの資格情報を追加します。 |
| キーの削除 | なし | アプリケーションからキーの資格情報を削除します。 |
| 所有者 | ||
| List | directoryObject コレクション | アプリケーションの所有者を取得します。 |
| 追加する | directoryObject | アプリケーションに所有者を割り当てます。 アプリケーションの所有者は、ユーザーまたはサービス プリンシパルにすることができます。 |
| Remove | なし | アプリケーションから所有者を削除します。 推奨されるベスト プラクティスとして、アプリには少なくとも 2 人の所有者が必要です。 |
| 認証済発行元 | ||
| Set | なし | アプリケーションの認証済みの発行元を設定する。 |
| 設定解除する | なし | アプリケーションの認証済み発行元を解除します。 |
プロパティ
重要
$filter および $search クエリ パラメーターの具体的な使用方法は、ConsistencyLevel ヘッダーの設定を eventual と $count に使用する場合にのみサポートされます。 詳細については、「ディレクトリ オブジェクトの詳細クエリ機能」を参照してください。
| プロパティ | 型 | 説明 |
|---|---|---|
| addIns | addIn コレクション | 特定のコンテキストで利用者サービスがアプリを呼び出すために使用できるカスタムの動作を定義します。 たとえば、ファイル ストリームをレンダリングできるアプリケーションでは、"FileHandler" 機能の addIns プロパティを設定できます 。 これにより、Microsoft 365 などのサービスは、ユーザーが作業しているドキュメントのコンテキストでアプリケーションを呼び出すことができます。 |
| api | apiApplication | Web API を実装するアプリケーションの設定を指定します。 |
| appId | String | Microsoft Entra ID によってアプリケーションに割り当てられるアプリケーションの一意識別子。 null 許容ではありません。 読み取り専用です。 代替キー。
$filter (eq)をサポートしています。 |
| applicationTemplateId | String |
applicationTemplate の一意識別子。
$filter (eq、not、ne) をサポートします。 読み取り専用です。
null アプリがアプリケーション テンプレートから作成されていない場合は。 |
| appRoles | appRole コレクション | アプリケーションに対して定義されているロールのコレクション。 アプリ ロールの割り当てを使用して、ユーザー、グループ、または他のアプリケーションのサービス プリンシパルにロールを割り当てることができます。 null 許容ではありません。 |
| 認定 | 認定 | アプリケーションの認定ステータスを指定します。 |
| createdDateTime | DateTimeOffset | アプリケーションが登録された日付と時刻です。 DateTimeOffset 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。 読み取り専用です。 $filter (eq、ne、not、ge、le、in、および eq の null値)、および $orderby をサポートします。 |
| deletedDateTime | DateTimeOffset | アプリケーションが削除された日付と時刻です。 DateTimeOffset 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。 読み取り専用です。 |
| 説明 | String | アプリケーション オブジェクトの説明をエンド ユーザーに提供するフリー テキスト フィールド。 許可される最大サイズは 1,024 文字です。
$filter (eq、ne、not、ge、le、startsWith、$search) をサポートします。 |
| disabledByMicrosoftStatus | String | Microsoft で登録済みアプリケーションを無効にしたかどうかを指定します。 使用可能な値は、 null (既定値)、 NotDisabled、および DisabledDueToViolationOfServicesAgreement です (疑わしい、虐待的、または悪意のあるアクティビティ、または Microsoft サービス契約違反が含まれる理由)。 $filter (eq、ne、not) をサポートします。 |
| displayName | String | アプリケーションの表示名。
$filter (eq、ne、not、ge、le、in、startsWith、および eq の null値)、$search、および $orderby をサポートします。 |
| groupMembershipClaims | String | アプリケーションが期待する、ユーザーまたは OAuth 2.0 アクセス トークンで発行される groups 要求を構成します。 この属性を設定するには、次のいずれかの有効な文字列値を使用します。 None、 SecurityGroup (セキュリティ グループと Microsoft Entra ロールの場合)、 All (サインインしているユーザーがメンバーであるセキュリティ グループ、配布グループ、Microsoft Entra ディレクトリ ロールをすべて取得します)。 |
| id | String | アプリケーション オブジェクトの一意な識別子。 このプロパティは、Microsoft Entra 管理センターの オブジェクト ID と呼ばれます。
directoryObject から継承されます。 キー。 null 許容ではありません。 読み取り専用です。
$filter (eq、ne、not、in) をサポートします。 |
| identifierUris | String collection | アプリ ID URI とも呼ばれるこの値は、アプリケーションがリソース アプリとして使用される場合に設定されます。 identifierUris は API のコードで参照するスコープのプレフィックスとして機能し、グローバルに一意である必要があります。 指定されたフォーム内の既定値を使用するかapi://<appId>、次のような読み取り可能な URI を指定できます https://contoso.com/api。 有効な identifierUris パターンとベスト プラクティスの詳細については、「 Microsoft Entra アプリケーション登録セキュリティのベスト プラクティス」を参照してください。 null 許容ではありません。 $filter (eq、ne、ge、le、startsWith) をサポートしています。 |
| info | informationalUrl | アプリのマーケティング、サポート、サービス条件、プライバシーに関する声明の URL など、アプリケーションの基本的なプロファイル情報。 サービス利用規約とプライバシーに関する声明は、ユーザーの同意エクスペリエンスからユーザーに提示されます。 詳細については、「方法: 登録済みの Microsoft Entra アプリのサービス条件とプライバシーに関する声明を追加する」を参照してください。 $filter (eq、ne、not、ge、le、および< eqの null値)をサポートします。 |
| isDeviceOnlyAuthSupported | Boolean | このアプリケーションがユーザーなしのデバイス認証をサポートするかどうかを指定します。 既定値は false です。 |
| isFallbackPublicClient | Boolean | モバイル デバイスで実行するインストール済みアプリケーションなど、フォールバック アプリケーションの種類をパブリック クライアントとして指定します。 既定値は falseです。つまり、フォールバック アプリケーションの種類は Web アプリなどの機密クライアントです。 Microsoft Entra ID でクライアント アプリケーションの種類を特定できないシナリオがあります。 たとえば、リダイレクト URI を指定せずに構成されている ROPC フローです。 このような場合、Microsoft Entra ID は、このプロパティの値に基づいてアプリケーションの種類を解釈します。 |
| keyCredentials | keyCredential コレクション | アプリケーションに関連付けられているキー資格情報のコレクションです。 null 許容ではありません。
$filter (eq、not、ge、le) をサポートします。 |
| logo | Stream | アプリケーションのメイン ロゴです。 null 許容ではありません。 |
| nativeAuthenticationApisEnabled | nativeAuthenticationApisEnabled | アプリケーションに対してネイティブ認証 API を有効にするかどうかを指定します。 使用可能な値は、 none と allです。 既定値は none です。 詳細については、「 ネイティブ認証」を参照してください。 |
| notes | String | アプリケーションの管理に関連するメモです。 |
| oauth2RequiredPostResponse | ブール値 | OAuth 2.0 トークン要求の一部として、Microsoft Entra ID で GET 要求ではなく POST 要求を許可するかどうかを指定します。 既定値はfalseです。これは、GET 要求のみが許可されるよう指定します。 |
| optionalClaims | optionalClaims | アプリケーション開発者は、Microsoft Entra アプリケーションでオプションの要求を構成して、Microsoft セキュリティ トークン サービスによってアプリケーションに送信される要求を指定できます。 詳細については、「方法: アプリにオプションの要求を提供する」を参照してください。 |
| parentalControlSettings | parentalControlSettings | アプリケーションにおける、保護者による制限設定を指定します。 |
| passwordCredentials | passwordCredential コレクション | アプリケーションに関連付けられているパスワード資格情報のコレクションです。 null 許容型ではありません。 |
| publicClient | publicClientApplication | デスクトップやモバイル デバイスなど、インストールされているクライアントの設定を指定します。 |
| publisherDomain | String | アプリケーションの確認済み発行元のドメインです。 読み取り専用です。 詳細については、「方法: アプリケーションの発行元ドメインを構成する」を参照してください。
$filter (eq、ne、ge、le、startsWith) をサポートします。 |
| requestSignatureVerification | requestSignatureVerification | このアプリケーションで、署名された認証要求を確認するために Microsoft Entra ID が必要かどうかを指定します。 |
| requiredResourceAccess | requiredResourceAccess コレクション | アプリケーションがアクセスする必要があるリソースを指定します。 このプロパティでは、各リソースに必要な委任されたアクセス許可とアプリケーション ロールのセットも指定します。 必要なリソースへのアクセスに対するこの構成によって、同意エクスペリエンスが促進されます。 50 を超えるリソース サービス (API) を構成できます。 2021 年 10 月中旬以降は、必要なアクセス許可の合計が 400 を超えることはできません。 詳細については、「 アプリごとの要求されたアクセス許可の制限」を参照してください。 null 許容ではありません。 $filter (eq、not、ge、le) をサポートします。 |
| samlMetadataUrl | String | サービスによりフェデレーション用の SAML メタデータが公開されている URL。 このプロパティは、シングルテナント アプリケーションに対してのみ有効です。 Null 許容型。 |
| serviceManagementReference | String | サービスまたは資産管理データベースからアプリケーションまたはサービスの連絡先情報を参照します。 Null 許容型。 |
| servicePrincipalLockConfiguration | servicePrincipalLockConfiguration | テナントでアプリケーションをプロビジョニングした後に、マルチテナント アプリケーションの機密性の高いプロパティを編集用にロックするかどうかを指定します。 Null 許容型です。 既定では null です。 |
| signInAudience | String | 現在のアプリケーションでサポートされている Microsoft アカウントを指定します。 使用可能な値は、 AzureADMyOrg (既定値)、 AzureADMultipleOrgs、 AzureADandPersonalMicrosoftAccount、 PersonalMicrosoftAccountです。 詳細については、 表を参照してください。 このオブジェクトの値は、アプリが要求できるアクセス許可の数も制限します。 詳細については、「 アプリごとの要求されたアクセス許可の制限」を参照してください。 このプロパティの値は、他のアプリ オブジェクト プロパティに影響します。 その結果、このプロパティを変更する場合は、最初に他のプロパティを変更する必要があります。 詳細については、「 signInAudience の検証の違い」を参照してください。 $filter (eq、ne、not) をサポートしています。 |
| SPA | spaApplication | サイン アウト URL、認証コードとアクセス トークンのリダイレクト URI など、シングルページ アプリケーションの設定を指定します。 |
| tags | String コレクション | アプリケーションを分類および識別するために使用できるカスタム文字列です。 null 許容ではありません。 ここで追加された文字列は、関連付けられているサービス プリンシパルの tags プロパティにも表示されます。$filter (eq、not、ge、le、startsWith) と$searchをサポートします。 |
| tokenEncryptionKeyId | String | keyCredentials コレクションにある公開キーの keyId を指定します。 構成すると、Microsoft Entra ID は、このプロパティが指すキーを使用して、出力されるすべてのトークンを暗号化します。 暗号化されたトークンを受け取るアプリケーション コードでは、一致する秘密キーを使用してトークンを複合化してから、サインインしているユーザーのトークンとして使用する必要があります。 |
| uniqueName | String | アプリケーションに割り当て、代替キーとして使用できる一意の識別子。 不変です。 読み取り専用です。 |
| verifiedPublisher | verifiedPublisher | アプリケーションの検証済み発行元を指定します。 発行元の確認がアプリケーションのセキュリティ、信頼性、コンプライアンスをサポートする方法の詳細については、「発行元の確認」 を参照してください。 |
| Web | webApplication | Web アプリケーションの設定を指定します。 |
signInAudience 値
| 値 | 説明 |
|---|---|
| AzureADMyOrg | 組織の Microsoft Entra テナント (シングル テナント) に Microsoft 職場または学校アカウントを持つユーザー。 これは、signInAudience プロパティの既定値です。 |
| AzureADMultipleOrgs | 任意の組織の Microsoft Entra テナント (マルチテナント) で Microsoft の職場または学校アカウントを持つユーザー。 |
| AzureADandPersonalMicrosoftAccount | 個人の Microsoft アカウントを持つユーザー、または任意の組織の Microsoft Entra テナント内の職場または学校アカウントを持つユーザー。 Azure AD B2C ユーザー フローを使用してユーザーを認証する場合は、 AzureADandPersonalMicrosoftAccount を使用します。 この値は、Microsoft、Facebook、Google、Twitter、または OpenID Connect プロバイダーから提供されるローカル アカウントやユーザー ID など、広範囲のユーザーIDで使用できます。 |
| PersonalMicrosoftAccount | 個人の Microsoft アカウントを持つユーザーのみ。 |
アプリごとの要求されたアクセス許可の制限
Microsoft Entra ID は、クライアント アプリによって要求および同意できるアクセス許可の数を制限します。 これらの制限は、アプリのマニフェストに表示されるアプリのsignInAudience値によって異なります。
| signInAudience | 許可されたユーザー | アプリが要求できるアクセス許可の最大数 | アプリが要求できる Microsoft Graph アクセス許可の最大数 | 1 つの要求で同意できるアクセス許可の最大数 |
|---|---|---|---|---|
| AzureADMyOrg | アプリが登録されている組織のユーザー | 400 | 400 | 約 155 の委任されたアクセス許可と約 300 のアプリケーションのアクセス許可 |
| AzureADMultipleOrgs | 任意の Microsoft Entra 組織のユーザー | 400 | 400 | 約 155 の委任されたアクセス許可と約 300 のアプリケーションのアクセス許可 |
| PersonalMicrosoftAccount | コンシューマー ユーザー (Outlook.com、Live.com アカウントなど) | 30 | 30 | 30 |
| AzureADandPersonalMicrosoftAccount | Microsoft Entra 組織のコンシューマー ユーザーとユーザー | 30 | 30 | 30 |
リレーションシップ
重要
$filter クエリ パラメーターの具体的な使用方法は、ConsistencyLevel ヘッダーを eventual および $count に設定した場合にのみサポートされます。 詳細については、「ディレクトリ オブジェクトの詳細クエリ機能」を参照してください。
| リレーションシップ | 型 | 説明 |
|---|---|---|
| appManagementPolicies | appManagementPolicy コレクション | このアプリケーションに適用される appManagementPolicy。 |
| createdOnBehalfOf | directoryObject |
$filter (/$count eq 0、/$count ne 0) をサポートします。 読み取り専用です。 |
| extensionProperties | extensionProperty コレクション | 読み取り専用。 Null 許容型。
$expandと$filter (/$count eq 0、/$count ne 0) をサポートします。 |
| federatedIdentityCredentials | federatedIdentityCredential のコレクション | アプリケーションのフェデレーション ID。
$expandと$filter (startsWith、/$count eq 0、/$count ne 0) をサポートします。 |
| owners | directoryObject コレクション | アプリケーションの所有者であるディレクトリ オブジェクトです。 読み取り専用です。 Null 許容型。
$expandで入れ子になった$expand、$filter (/$count eq 0、/$count ne 0、/$count eq 1、/$count ne 1)、$selectをサポートします。 |
| 同期 | 同期 | Microsoft Graph API を使用した Microsoft Entra ID 同期の機能を表します。 |
JSON 表記
次の JSON 表現は、リソースの種類を示しています。
{
"addIns": [{"@odata.type": "microsoft.graph.addIn"}],
"api": {"@odata.type": "microsoft.graph.apiApplication"},
"appId": "String",
"applicationTemplateId": "String",
"appRoles": [{"@odata.type": "microsoft.graph.appRole"}],
"certification": {"@odata.type": "microsoft.graph.certification"},
"createdDateTime": "String (timestamp)",
"deletedDateTime": "String (timestamp)",
"disabledByMicrosoftStatus": "String",
"displayName": "String",
"groupMembershipClaims": "String",
"id": "String (identifier)",
"identifierUris": ["String"],
"info": {"@odata.type": "microsoft.graph.informationalUrl"},
"isDeviceOnlyAuthSupported": false,
"isFallbackPublicClient": false,
"keyCredentials": [{"@odata.type": "microsoft.graph.keyCredential"}],
"logo": "Stream",
"nativeAuthenticationApisEnabled": "String",
"notes": "String",
"oauth2RequiredPostResponse": false,
"optionalClaims": {"@odata.type": "microsoft.graph.optionalClaims"},
"parentalControlSettings": {"@odata.type": "microsoft.graph.parentalControlSettings"},
"passwordCredentials": [{"@odata.type": "microsoft.graph.passwordCredential"}],
"publicClient": {"@odata.type": "microsoft.graph.publicClientApplication"},
"publisherDomain": "String",
"requestSignatureVerification": {"@odata.type": "microsoft.graph.requestSignatureVerification"},
"requiredResourceAccess": [{"@odata.type": "microsoft.graph.requiredResourceAccess"}],
"servicePrincipalLockConfiguration": {"@odata.type": "microsoft.graph.servicePrincipalLockConfiguration"},
"serviceManagementReference": "String",
"signInAudience": "String",
"spa": {"@odata.type": "microsoft.graph.spaApplication"},
"tags": ["String"],
"tokenEncryptionKeyId": "String",
"uniqueName": "String",
"verifiedPublisher": {"@odata.type": "microsoft.graph.verifiedPublisher"},
"web": {"@odata.type": "microsoft.graph.webApplication"}
}