Microsoft.Graph servicePrincipals
重要
Microsoft Graph の /beta バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、バージョン セレクターを使用します。
アクセス許可
この API の最小特権としてマークされているアクセス許可またはアクセス許可を選択します。 アプリで必要な場合 、より高い特権またはアクセス許可を使用します。 委任されたアクセス許可とアプリケーションのアクセス許可の詳細については、「 Permission の種類」を参照してください。 これらのアクセス許可の詳細については、 アクセス許可のリファレンスを参照してください。
Note
個人の Microsoft アカウントのアクセス許可を使用して、Bicep ファイルで宣言された Microsoft Graph リソースをデプロイすることはできません。
| アクセス許可の種類 | 最小限の特権アクセス許可 | 高い特権のアクセス許可 |
|---|---|---|
| 委任 (勤務先または学校アカウント) | Application.ReadWrite.All | Directory.ReadWrite.All |
| 委任 (個人用 Microsoft アカウント) | サポートされていません。 | サポートされていません。 |
| アプリケーション | Application.ReadWrite.OwnedBy | Application.ReadWrite.All、Directory.ReadWrite.All |
リソース形式
Microsoft.Graph/servicePrincipals リソースを作成するには、次の Bicep をテンプレートに追加します。
resource symbolicname 'Microsoft.Graph/servicePrincipals@beta' = {
accountEnabled: bool
addIns: [
{
id: 'string'
properties: [
{
key: 'string'
value: 'string'
}
]
type: 'string'
}
]
alternativeNames: [
'string'
]
appDescription: 'string'
appDisplayName: 'string'
appId: 'string'
appRoleAssignmentRequired: bool
appRoles: [
{
allowedMemberTypes: [
'string'
]
description: 'string'
displayName: 'string'
id: 'string'
isEnabled: bool
value: 'string'
}
]
description: 'string'
disabledByMicrosoftStatus: 'string'
displayName: 'string'
homepage: 'string'
info: {
marketingUrl: 'string'
privacyStatementUrl: 'string'
supportUrl: 'string'
termsOfServiceUrl: 'string'
}
keyCredentials: [
{
customKeyIdentifier: 'string'
displayName: 'string'
endDateTime: 'string'
key: 'string'
keyId: 'string'
startDateTime: 'string'
type: 'string'
usage: 'string'
}
]
loginUrl: 'string'
logoutUrl: 'string'
notes: 'string'
notificationEmailAddresses: [
'string'
]
passwordCredentials: [
{
displayName: 'string'
endDateTime: 'string'
keyId: 'string'
startDateTime: 'string'
}
]
preferredSingleSignOnMode: 'string'
preferredTokenSigningKeyEndDateTime: 'string'
preferredTokenSigningKeyThumbprint: 'string'
publishedPermissionScopes: [
{
adminConsentDescription: 'string'
adminConsentDisplayName: 'string'
id: 'string'
isEnabled: bool
type: 'string'
userConsentDescription: 'string'
userConsentDisplayName: 'string'
value: 'string'
}
]
publisherName: 'string'
replyUrls: [
'string'
]
samlMetadataUrl: 'string'
samlSingleSignOnSettings: {
relayState: 'string'
}
servicePrincipalNames: [
'string'
]
servicePrincipalType: 'string'
tags: [
'string'
]
tokenEncryptionKeyId: 'string'
verifiedPublisher: {
addedDateTime: 'string'
displayName: 'string'
verifiedPublisherId: 'string'
}
}
プロパティ値
servicePrincipals
| 名前 | Description | Value |
|---|---|---|
| accountEnabled | サービス プリンシパル アカウントが有効な場合は true。それ以外の場合は false。 false に設定すると、ユーザーは割り当てられている場合でも、このアプリにサインインできなくなります。 | [bool] |
| addIns | 使用するサービスが特定のコンテキストでアプリの呼び出しに使用できるカスタム動作を定義します。 たとえば、ファイル ストリームをレンダリングできるアプリケーションでは、'FileHandler' 機能の addIns プロパティを設定できます。 これにより、Microsoft 365 などのサービスは、ユーザーが作業しているドキュメントのコンテキストでアプリケーションを呼び出すことができます。 | MicrosoftGraphAddIn[] |
| alternativeNames | サブスクリプション別にサービス プリンシパルを取得し、マネージド ID のリソース グループと完全なリソース ID を識別するために使用されます | string[] |
| apiVersion | リソース API のバージョン | 'beta' (ReadOnly) |
| appDescription | 関連付けられているアプリケーションによって公開される説明。 | string |
| appDisplayName | 関連付けられているアプリケーションによって公開される表示名。 | string |
| appId | 関連付けられているアプリケーションの一意識別子 (その appId プロパティ)。 代替キー | string (必須) |
| applicationTemplateId | applicationTemplate の一意識別子。 読み取り専用です。 アプリケーション テンプレートからアプリが作成されていない場合は null。 | string (ReadOnly) |
| appOwnerOrganizationId | アプリケーションが登録されているテナント ID を格納します。 これは、アプリケーションによってサポートされるサービス プリンシパルにのみ適用されます | string (ReadOnly) 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| appRoleAssignmentRequired | ユーザーがサインインする前に、またはアプリがトークンを取得する前に、ユーザーまたは他のサービス プリンシパルにこのサービス プリンシパルのアプリ ロールの割り当てを付与する必要があるかどうかを指定します。 既定値は false です。 NULL 値は許可されません | [bool] |
| appRoles | アプリケーションによって公開されるロール。このサービス プリンシパルが表します。 詳細については、アプリケーション エンティティの appRoles プロパティ定義を参照してください。 NULL 値は許可されません。 | MicrosoftGraphAppRole[] |
| deletedDateTime | このオブジェクトが削除された日時。 オブジェクトが削除されていない場合は常に null。 | string (ReadOnly) |
| description | サービス プリンシパルの内部エンド ユーザー向けの説明を提供するフリー テキスト フィールド。 MyApps などのエンド ユーザー ポータルでは、このフィールドにアプリケーションの説明が表示されます。 最大許容サイズは 1,024 文字です | string |
| disabledByMicrosoftStatus | Microsoft が登録済みアプリケーションを無効にしたかどうかを指定します。 使用可能な値は、null (既定値)、NotDisabled、DisabledDueToViolationOfServicesAgreement (疑わしい、虐待的、悪意のあるアクティビティ、または Microsoft サービス契約違反が含まれる可能性がある理由) です。 | string |
| displayName | サービス プリンシパルの表示名 | string |
| homepage | アプリケーションのホーム ページまたはランディング ページ。 | string |
| ID | エンティティの一意識別子。 読み取り専用です。 | string (ReadOnly) |
| info | アプリのマーケティング、サポート、サービス利用規約、プライバシーに関する声明の URL など、取得したアプリケーションの基本的なプロファイル情報。 サービス利用規約とプライバシーに関する声明は、ユーザーの同意エクスペリエンスからユーザーに提示されます。 詳細については、「方法: 登録済みの Microsoft Entra アプリのサービス利用規約とプライバシーに関する声明を追加する」を参照してください | MicrosoftGraphInformationalUrl |
| keyCredentials | サービス プリンシパルに関連付けられているキー資格情報のコレクション。 NULL 値は許可されません | MicrosoftGraphKeyCredential[] |
| loginUrl | サービス プロバイダーがユーザーを Microsoft Entra ID にリダイレクトして認証する URL を指定します。 Microsoft Entra ID は、URL を使用して、Microsoft 365 または Microsoft Entra マイ アプリからアプリケーションを起動します。 空白の場合、Microsoft Entra ID は、SAML ベースのシングル サインオンで構成されたアプリケーションに対して IdP によって開始されるサインオンを実行します。 ユーザーは、Microsoft 365、Microsoft Entra マイ アプリ、または Microsoft Entra SSO URL からアプリケーションを起動します。 | string |
| logoutUrl | OpenId Connect フロント チャネル、バックチャネル、または SAML サインアウト プロトコルを使用してユーザーをサインアウトするために Microsoft の承認サービスが使用する URL を指定します。 | string |
| 注 | 通常は運用目的で使用される、サービス プリンシパルに関する情報をキャプチャするフリー テキスト フィールド。 最大許容サイズは 1,024 文字です。 | string |
| notificationEmailAddresses | アクティブな証明書が有効期限に近い場合に Microsoft Entra ID が通知を送信する電子メール アドレスの一覧を指定します。 これは、Microsoft Entra Gallery アプリケーションに対して発行された SAML トークンの署名に使用される証明書に対してのみ行われます。 | string[] |
| passwordCredentials | サービス プリンシパルに関連付けられているパスワード資格情報のコレクション。 NULL 値は許可されません。 | MicrosoftGraphPasswordCredential[] |
| preferredSingleSignOnMode | このアプリケーション用に構成されたシングル サインオン モードを指定します。 Microsoft Entra ID は、優先シングル サインオン モードを使用して、Microsoft 365 または Microsoft Entra マイ アプリからアプリケーションを起動します。 サポートされている値は、パスワード、saml、notSupported、oidc です。 | string |
| preferredTokenSigningKeyEndDateTime | preferredTokenSigningKeyThumbprint でマークされたトークン署名に使用される keyCredential の有効期限を指定します。 この属性の更新は現在サポートされていません。 詳細については、ServicePrincipal プロパティの違いを参照してください。 | string |
| preferredTokenSigningKeyThumbprint | このプロパティは、SAML アプリケーション (preferredSingleSignOnMode が saml に設定されているアプリ) で使用して、SAML 応答の署名に使用される証明書を制御できます。 SAML ではないアプリケーションの場合は、このプロパティを書き込んだり、このプロパティに依存したりしないでください。 | string |
| publishedPermissionScopes | アプリケーションによって公開される委任されたアクセス許可。 詳細については、アプリケーション エンティティの api プロパティの oauth2PermissionScopes プロパティを参照してください。 NULL 値は許可されません。 注: このプロパティは、v1.0 の oauth2PermissionScopes という名前です。 | MicrosoftGraphPermissionScope[] |
| publisherName | アプリケーションを発行した Microsoft Entra テナントの名前。 | string |
| replyUrls | 関連付けられたアプリケーションでサインインするためにユーザー トークンが送信される URL、または関連付けられているアプリケーションに対して OAuth 2.0 承認コードとアクセス トークンが送信されるリダイレクト URI。 NULL 値は許可されません。 | string[] |
| samlMetadataUrl | サービスがフェデレーション用の SAML メタデータを公開する URL。 | string |
| samlSingleSignOnSettings | saml シングル サインオンに関連する設定のコレクション。 | MicrosoftGraphSamlSingleSignOnSettings |
| servicePrincipalNames | 関連付けられたアプリケーションからコピーされた identifiersUris の一覧を格納します。 ハイブリッド アプリケーションには、さらに多くの値を追加できます。 これらの値を使用して、Microsoft Entra ID 内でこのアプリによって公開されるアクセス許可を識別できます。 たとえば、クライアント アプリでは、このプロパティの値に基づくリソース URI を指定して、アクセス トークン ("aud" 要求で返される URI) を取得できます。複数値プロパティのフィルター式には、任意の演算子が必要です。 NULL 値は許可されません | string[] |
| servicePrincipalType | サービス プリンシパルがアプリケーションまたはマネージド ID を表すかどうかを識別します。 これは、Microsoft Entra ID によって内部的に設定されます。 アプリケーションを表すサービス プリンシパルの場合、これはアプリケーションとして設定されます。 マネージド ID を表すサービス プリンシパルの場合、これは ManagedIdentity として設定されます。 SocialIdp 型は内部使用用です。 | string |
| signInAudience | 現在のアプリケーションでサポートされている Microsoft アカウントを指定します。 読み取り専用です。 サポートされている値は:AzureADMyOrg: 組織の Microsoft Entra テナント (シングルテナント) に Microsoft の職場または学校アカウントを持つユーザーです。AzureADMultipleOrgs: 任意の組織の Microsoft Entra テナント (マルチテナント) で Microsoft の職場または学校アカウントを持つユーザー。AzureADandPersonalMicrosoftAccount: 個人の Microsoft アカウントを持つユーザー、または組織の Microsoft Entra テナント内の職場または学校アカウントを持つユーザー。PersonalMicrosoftAccount: 個人用 Microsoft アカウントのみを持つユーザー。 | string (ReadOnly) |
| tags | サービス プリンシパルの分類と識別に使用できるカスタム文字列。 NULL 値は許可されません | string[] |
| tokenEncryptionKeyId | keyCredentials コレクションの公開キーの keyId を指定します。 構成すると、Microsoft Entra ID は、このプロパティで指定されたキーを使用して暗号化されたこのアプリケーションのトークンを発行します。 暗号化されたトークンを受け取るアプリケーション コードでは、対応する秘密キーを使用してトークンを復号化する必要があります。その後で、現在サインインしているユーザー用にトークンを使用できるようになります。 | string 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| type | リソースの種類 | 'Microsoft.Graph/servicePrincipals' (ReadOnly) |
| verifiedPublisher | このサービス プリンシパルにリンクされているアプリケーションの検証済み発行元を指定します。 | MicrosoftGraphVerifiedPublisher |
MicrosoftGraphKeyValue
| 名前 | Description | Value |
|---|---|---|
| キー | 値が関連付けられているフィールドの名前を格納します。 | string |
| 値 | 指定したキーの対応する値を格納します。 | string |
MicrosoftGraphAddIn
| 名前 | Description | Value |
|---|---|---|
| ID | addIn オブジェクトの一意識別子。 | string 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| properties | 使用するサービスが使用または呼び出すことができるパラメーターを定義するキーと値のペアのコレクション。 addIns コレクションに対して POST または PATCH 操作を実行する場合は、このプロパティを指定する必要があります。 必須。 | MicrosoftGraphKeyValue[] |
| type | アプリによって公開される機能の一意の名前。 | string |
MicrosoftGraphAppRole
| 名前 | Description | Value |
|---|---|---|
| allowedMemberTypes | このアプリ ロールをユーザーとグループに割り当て (['User']に設定)、他のアプリケーションに割り当てることができるかどうかを指定します (['Application']、またはその両方を (['User', 'Application'] に設定します)。 他のアプリケーションのサービス プリンシパルへの割り当てをサポートするアプリ ロールは、アプリケーションのアクセス許可とも呼ばれます。 "Application" 値は、アプリケーション エンティティで定義されているアプリ ロールでのみサポートされます。 | string[] |
| description | アプリ ロールの説明。 これは、アプリ ロールが割り当てられているときに表示され、アプリ ロールがアプリケーションのアクセス許可として機能する場合は、同意エクスペリエンス中に表示されます。 | string |
| displayName | アプリ ロールの割り当てと同意エクスペリエンスに表示されるアクセス許可の表示名。 | string |
| ID | appRoles コレクション内の一意のロール識別子。 新しいアプリ ロールを作成するときは、新しい GUID 識別子を指定する必要があります。 | string 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| IsEnabled | アプリ ロールを作成または更新するときは、これを true (既定値) に設定する必要があります。 ロールを削除するには、最初に false に設定する必要があります。 その時点で、後続の呼び出しでは、このロールが削除される可能性があります。 | [bool] |
| 配信元 | アプリ ロールがアプリケーション オブジェクトまたは servicePrincipal エンティティで定義されているかどうかを指定します。 POST または PATCH 要求には含めてはなりません。 読み取り専用です。 | string (ReadOnly) |
| 値 | 割り当てられたユーザーまたはサービス プリンシパルを認証する ID トークンとアクセス トークンのロール要求に含める値を指定します。 長さは 120 文字以下にする必要があります。 使用できる文字は次のとおりです。 # $ % & ' ( ) * + , -. / : ;= ? @ [ ] ^ + _ { } ~、および 0 ~ 9、A ~ Z、a ~ z の範囲の文字。 スペース文字を含む他の文字は使用できません。 で始めないようにしてください。 | string |
MicrosoftGraphInformationalUrl
| 名前 | Description | Value |
|---|---|---|
| logoUrl | アプリケーションのロゴへの CDN URL(読み取り専用)。 | string (ReadOnly) |
| marketingUrl | アプリケーションのマーケティング ページにリンクします。 たとえば、https://www.contoso.com/app/marketing のように指定します。 | string |
| privacyStatementUrl | アプリケーションのプライバシーに関する声明へのリンク。 たとえば、https://www.contoso.com/app/privacy のように指定します。 | string |
| supportUrl | アプリケーションのサポート ページにリンクします。 たとえば、https://www.contoso.com/app/support のように指定します。 | string |
| termsOfServiceUrl | アプリケーションのサービス条件ステートメントにリンクします。 たとえば、https://www.contoso.com/app/termsofservice のように指定します。 | string |
MicrosoftGraphKeyCredential
| 名前 | Description | Value |
|---|---|---|
| customKeyIdentifier | 資格情報を識別するために使用できる 40 文字のバイナリ型。 省略可能。 ペイロードで指定しない場合、既定では証明書の拇印が使用されます。 | string |
| displayName | キーのフレンドリ名。 省略可能。 | string |
| endDateTime | 資格情報の有効期限が切れる日時。 DateTimeOffset 型は日時の情報を表し、ISO 8601 形式を使用して、常に UTC 時間を示します。 たとえば、2014 年 1 月 1 日の午前 0 時 (UTC) は 2014-01-01T00:00:00Z です。 | string |
| キー | キー資格情報の値。 Base64 でエンコードされた値にする必要があります。 .cer証明書から、Convert.ToBase64String() メソッドを使用してキーを読み取ることができます。 詳細については、「証明書キーを取得する」を参照してください。 | string |
| keyId | キーの一意識別子。 | string 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| startDateTime | 資格情報が有効になる日時。Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時刻です。 たとえば、2014 年 1 月 1 日の午前 0 時 (UTC) は 2014-01-01T00:00:00Z です。 | string |
| type | キー資格情報の種類。たとえば、Symmetric、AsymmetricX509Cert、X509CertAndPassword などです。 | string |
| 使用量 | キーを使用できる目的を説明する文字列。たとえば、None、Verify、PairwiseIdentifier、Delegation、Decrypt、Encrypt、HashedIdentifier、SelfSignedTls、Sign などです。 使用法が Sign の場合、型は X509CertAndPassword、署名用の passwordCredentials を定義する必要があります。 | string |
MicrosoftGraphPasswordCredential
| 名前 | Description | Value |
|---|---|---|
| displayName | パスワードのフレンドリ名。 省略可能。 | string |
| endDateTime | パスワードの有効期限が切れる日時は、ISO 8601 形式で表され、常に UTC 時刻で表されます。 たとえば、2014 年 1 月 1 日の午前 0 時 (UTC) は 2014-01-01T00:00:00Z です。 省略可能。 | string |
| ヒント | パスワードの最初の 3 文字を格納します。 読み取り専用です。 | string (ReadOnly) |
| keyId | パスワードの一意識別子。 | string 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| secretText | 読み取り専用。長さが 16 ~ 64 文字の Microsoft Entra ID によって生成された強力なパスワードが含まれます。 生成されたパスワード値は、addPassword への最初の POST 要求中にのみ返されます。 今後、このパスワードを取得する方法はありません。 | string (ReadOnly) |
| startDateTime | パスワードが有効になる日時。 このタイムスタンプの種類は、日時の情報を ISO 8601 形式で表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日の午前 0 時 (UTC) は 2014-01-01T00:00:00Z です。 省略可能。 | string |
MicrosoftGraphPermissionScope
| 名前 | Description | Value |
|---|---|---|
| adminConsentDescription | 委任されたアクセス許可の説明。すべてのユーザーに代わってアクセス許可を付与する管理者が読み取ります。 このテキストは、テナント全体の管理者の同意エクスペリエンスに表示されます。 | string |
| adminConsentDisplayName | すべてのユーザーに代わってアクセス許可を付与する管理者が読み取る権限のタイトル。 | string |
| ID | リソース アプリケーションに対して定義された委任されたアクセス許可のコレクション内の一意の委任されたアクセス許可識別子。 | string 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| IsEnabled | アクセス許可を作成または更新するときは、このプロパティを true (既定値) に設定する必要があります。 アクセス許可を削除するには、最初にこのプロパティを false に設定する必要があります。 その時点で、後続の呼び出しで、アクセス許可が削除される可能性があります。 | [bool] |
| type | 指定できる値はユーザーと管理者です。管理者以外のユーザーが自分の代わりに同意するために、この委任されたアクセス許可を安全と見なすか、管理者の同意を常に必要とするかを指定します。 Microsoft Graph では各アクセス許可の既定の同意要件が定義されていますが、テナント管理者は組織内の動作をオーバーライドできます (この委任されたアクセス許可に対するユーザーの同意を許可、制限、または制限します)。 詳細については、「ユーザーがアプリケーションに同意する方法を構成する」を参照してください。 | string |
| userConsentDescription | 委任されたアクセス許可の説明。ユーザーが自分の代わりにアクセス許可を付与することで読み取られます。 このテキストは、ユーザーが自分に代わってのみ同意している同意エクスペリエンスに表示されます。 | string |
| userConsentDisplayName | アクセス許可のタイトル。ユーザーが自分の代わりにアクセス許可を付与することで読み取られます。 このテキストは、ユーザーが自分に代わってのみ同意している同意エクスペリエンスに表示されます。 | string |
| 値 | アクセス トークンの scp (スコープ) 要求に含める値を指定します。 長さは 120 文字以下にする必要があります。 使用できる文字は次のとおりです。 # $ % & ' ( ) * + , -. / : ;= ? @ [ ] ^ + _ { } ~、および 0 ~ 9、A ~ Z、a ~ z の範囲の文字。 スペース文字を含む他の文字は使用できません。 で始めないようにしてください。 | string |
MicrosoftGraphSamlSingleSignOnSettings
| 名前 | Description | Value |
|---|---|---|
| relayState | シングル サインオン フローの完了後にサービス プロバイダーがリダイレクトする相対 URI。 | string |
MicrosoftGraphVerifiedPublisher
| 名前 | Description | Value |
|---|---|---|
| addedDateTime | 検証済みの発行元が最初に追加されたとき、または最後に更新されたときのタイムスタンプ。 | string |
| displayName | アプリの発行元の Microsoft Partner Network (MPN) アカウントの検証済み発行元名。 | string |
| verifiedPublisherId | アプリの発行元のパートナー センター アカウントの検証済み発行元の ID。 | string |