Azure AD Graph から Microsoft Graph への移行に関する FAQ

  • [アーティクル]

この記事では、Azure Active Directory (Azure AD) Graph から Microsoft Graph への移行に関してよく寄せられる質問に対する回答を示します。

Microsoft Graph と Azure AD Graph の違い、アプリを移行する必要があるのはなぜですか?

Azure AD Graph では、Microsoft Entra ID (旧称 Azure AD) サービスにのみアクセスできます。 Microsoft Graph には、 Microsoft Entra ID とネットワーク アクセス ファミリのサービスと他の Microsoft サービス (Microsoft Teams、Microsoft Exchange、Microsoft Intune など) にアクセスするための 1 つの統合エンドポイントが用意されています。

Microsoft Graph は、Azure AD Graph よりもセキュリティと回復性も高くなります。 このため、Azure AD Graph は現在、すべての投資を Microsoft Graph に移行するため、段階的な廃止サイクルに入っています。 Microsoft Graph に移行して、既存の機能の損失を回避し、新しい機能や機能にアクセスします。

開発者として、Azure AD Graph を使用するアプリを特定するにはどうすればよいですか?

Azure AD Graph に依存するアプリを特定するには、次の手順に従います。

オプション 1: Microsoft Entra の推奨事項を確認する

Microsoft Entra ID の推奨事項を表示するには、必要なアクセス許可とロールを使用して Graph Explorer などの API クライアントにサインインします。 Azure AD Graph を使用するアプリとサービス プリンシパルの一覧を取得するには、List recommendations Microsoft Graph API を実行します。

オプション 2: アプリの appId を使用して API のアクセス許可を識別する

手順 1: アプリケーションのソース コードをスキャンする

アプリケーションのソース コードを所有している場合は、コードで https://graph.windows.net/ URI を検索します。 この値は Azure AD Graph エンドポイントであり、このエンドポイントを呼び出すアプリは Azure AD Graph を使用します。 影響を受けるアプリの appId の値を記録します。

手順 2: "アプリケーションの取得" API を呼び出してアプリの API アクセス許可を読み取る

  1. 少なくとも Application Developer Microsoft Entra ロールを使用して Graph Explorer などの API クライアントにサインインし、Application.Read.All 委任されたアクセス許可を付与します。
  2. 手順 1 で取得した appId を使用して Get アプリケーション API を呼び出し、requiredResourceAccess プロパティを読み取ります。 次のプロパティは、アクセス許可の詳細を示しています。
    • requiredResourceAccess>resourceAppId プロパティには、Azure AD Graph の ID 00000002-0000-0000-c000-000000000000があります。
    • requiredResourceAccess>resourceAccess プロパティには、アプリが使用する Azure AD Graph のアクセス許可の ID と種類が一覧表示されます。 Azure AD Graph と Microsoft Graph マッピング ガイドのアクセス許可の違いを使用して、Azure AD Graph のアクセス許可名を知ることができます。

IT 管理者として、Azure AD Graph を使用するテナント内のアプリを特定するにはどうすればよいですか?

次の 3 つの方法のいずれかを使用して、Azure AD Graph に依存するテナント内のアプリを識別します。

方法 1: ネットワーク プロキシ ログを使用する

https://graph.windows.net/ エンドポイントを呼び出すアプリについて、フィルター プロキシを介してネットワーク サーバーのトラフィック ログを確認します。 これらのアプリでは、Azure AD Graph が使用されます。

方法 2: Microsoft Entra の推奨事項を確認する

  1. Microsoft Entra ID の推奨事項を表示するには、特権を使用して Microsoft Entra 管理センターにサインインします。 この操作では、レポート閲覧者、セキュリティ閲覧者およびグローバル閲覧者の最小特権ロールがサポートされています。
  2. [ ID ] メニューを展開 > [ 概要>[コミット ] タブを選択します。 [Azure AD Graph API から Microsoft Graph に移行する] という名前の推奨事項が一覧表示されている場合は、Azure AD Graph を使用するアプリがあることを意味します。 エントリを選択すると、Azure AD Graph を使用するアプリとサービス プリンシパルの一覧と是正措置が表示されます。

方法 3: Microsoft Entra 管理センターの [アプリの登録] メニューを使用する

  1. Microsoft Entra 管理センターにサインインします。

  2. [ ID ] メニューを展開 > [ アプリケーション>App registrations] を選択します。

  3. [ アプリの登録 ] ウィンドウで、[ すべてのアプリケーション ] タブを選択し、[ フィルターの追加] オプションを選択します。 使用可能なフィルターの一覧から [ 要求された API ] オプションを選択し、[ 適用] を選択します。 要求された API フィルターがポップアップ表示されます。

    要求された API でアプリをフィルター処理します。

  4. [ Microsoft API] を選択します。 [ API を選択してください ] ドロップダウンで、[ Azure Active Directory Graph] を選択します。 [適用] を選択します。 このプロセスにより、Azure AD Graph に依存するすべてのアプリにリストが絞り込まれます。

    Azure AD Graph を使用するアプリをフィルター処理します。

方法 3: PowerShell スクリプトを使用する

この PowerShell スクリプトをダウンロードして実行します。 このメソッドを使用して、テナント内のホーム ディレクトリを持つアプリと、他のテナントのホーム ディレクトリを持つアプリを取得します。

Microsoft から、Azure AD Graph を使用したアプリのアプリ ID の一覧が記載されたメールが送信されました。 所有者を含む各アプリの詳細を確認するにはどうすればよいですか?

  1. 少なくとも既定のユーザー アクセス許可を使用して Microsoft Entra 管理センターにサインインして、アプリケーションの詳細を読み取る。

  2. [ ID ] メニューを展開 > [ アプリケーション>App registrations] を選択します。

  3. [ アプリの登録 ] ウィンドウで、[ すべてのアプリケーション ] タブを選択し、[ フィルターの追加] オプションを選択します。 使用可能なフィルターの一覧から [ アプリケーション (クライアント) ID ] オプションを選択し、[適用] を選択 します。 フィルターがポップアップ表示されます。

  4. テキスト ボックスにアプリ ID を入力し、[ 適用] を選択します。 リストは、指定したアプリに絞り込まれます。

    アプリ ID でアプリでフィルター処理します。

  5. アプリを選択します。 これにより、アプリのメニューが表示されます。 ウィンドウの左側のウィンドウで、[ 所有者] などのメニュー オプションを使用すると、アプリの詳細を取得できます。

Microsoft から、Azure AD Graph を使用したアプリのアプリ ID の一覧が記載されたメールが送信されました。 これらはすべて影響を受けるアプリですか?

この一覧では、過去 28 日以内に使用され、Azure AD Graph エンドポイントと呼ばれるアプリのみがキャプチャされます。 季節に応じて使用されるアプリの場合、アプリ ID は 1 か月の一覧にキャプチャされる可能性がありますが、別のアプリではキャプチャされません。 影響を受けるアプリの完全な一覧を取得するには、前述の 3 つの方法 のいずれかに従うことをお勧めします。

私はサブスクリプション所有者であり、Microsoft からアプリ ID の一覧を含む Azure AD Graph の非推奨に関するメールが送信されました。 どうすればよいですか?

受信するメールには、アプリ ID にリンクされているテナント ID が含まれます。 特定のテナントの技術的な連絡先の詳細を取得するには、次の手順に従います。

  1. Microsoft Entra 管理センターにサインインします。

  2. 複数の Microsoft Entra テナントのサブスクリプション所有者である場合は、まず関連するテナントまたはディレクトリに切り替えます。

    1. ウィンドウの右上にあるプロファイル アイコンを選択し、[ ディレクトリの切り替え] を選択します。 これにより、ポータルの設定が表示されます 。 |[ディレクトリとサブスクリプション ] ウィンドウ。
    2. 一覧から [ 切り替え ] タブを使用して、ディレクトリ ID がメールで受信したテナント ID と一致するディレクトリに切り替えます。 Active Directory は [現在] とマークされています。
    3. ウィンドウを閉じます。

  3. 関連するディレクトリで、[ ID ] メニューを展開 > [ 概要] を選択します。

  4. [ 概要 ] ウィンドウで、[ プロパティ] を選択します。

  5. [ テナントのプロパティ ] ウィンドウで、最初に [テナント ID] の値がメールで受信したテナント ID と一致するかどうかを確認します。 非推奨を認識できるように、テナントに問い合わせる 技術連絡先 の詳細を取得します。

    テナントの技術連絡先を見つける

Azure AD Graph を使用しているアプリを知っている。 Microsoft Graph に移行するにはどうすればよいですか?

Azure AD Graph から Microsoft Graph にアプリを移行するには、 アプリ移行計画のチェックリストに従います。

テナントにアプリを所有していませんが、Azure AD Graph を使用しています。 このようなアプリの所有者を見つけることができますか?

まず、テナントまたはテナントに統合されたサードパーティアプリケーションが所有するアプリの完全な一覧を確認します。

  1. Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。

  2. [ID] メニューを展開> [アプリケーション] を選択します

  3. アプリがテナントに登録されている場合は、[アプリの 登録] を選択します。 アプリがテナントで同意したマルチテナント アプリで、別のテナントに所属している場合は、[ エンタープライズ アプリケーション] を選択します。

  4. [ すべてのアプリケーション ] タブを選択します。

  5. アプリを選択してメニューを表示します。

  6. ウィンドウの左側のウィンドウの [ 管理 ] グループで、[ 所有者 ] メニューを選択します。

    アプリの所有者を検索します。

組織が Azure Stack Hub を実行しています。 どのようなアクションを実行する必要がありますか?

組織が Azure Stack Hub を実行する場合、最も重要なアクションは 、Azure Stack Hub サービス ポリシーに従う方法です。

移行するには、お客様に Azure Stack Hub 管理ポータルを通じて通知を受け取り、自宅とゲストのテナント ディレクトリを更新します。 Microsoft Graph への移行は、統合されたシステム更新エクスペリエンスを通じて管理されます。

アプリに新しい Azure AD Graph アクセス許可を追加する必要がありますが、アプリの登録に必要なアクセス許可として [Azure AD Graph] を選択できません。 Azure AD Graph のアクセス許可を追加するにはどうすればよいですか?

まず、 アプリ移行計画チェックリスト に従って、アプリを Microsoft Graph API に移行することをお勧めします。

Microsoft Graph が Azure AD Graph で利用可能な機能をサポートしていないギャップを特定した場合は、タグ azure-ad-graph-deprecation を使用して Microsoft Q&A を通じてお知らせください。

アプリケーションの Azure AD Graph アクセス許可をまだ構成する必要がある場合は、次のいずれかの回避策を使用します。

一覧表示されている回避策の使用例については、「Microsoft Graph を使用してアプリの登録に必要な Azure AD Graph のアクセス許可を構成する」を参照してください。

注:

これらの回避策を使用して Azure AD Graph のアクセス許可を追加することは、Azure AD Graph の廃止後はサポートされません。 Azure AD Graph を使用しているアプリは、廃止後も機能しなくなります。

関連コンテンツ