Teams アプリのアクセス許可に同意を付与および管理する

  • [アーティクル]
  • 適用対象:
    Microsoft Teams

Teams アプリを使用すると、組織のユーザー間の生産性とコラボレーションを大幅に向上させることができます。 Teams アプリは、コンテキストを切り替えずにユーザーのヒントに情報を取り込み、優れた作業を行うのに役立ちます。 管理者は、会社のセキュリティとコンプライアンスのニーズのバランスを取りながら、適切な種類のアプリをユーザーに提供するための重要な役割を果たします。 アプリの使用を承認する場合は、アプリの導入がユーザーにとってスムーズであることを確認する必要があります。

重要な部分は、アプリが機能する必要があるアクセス許可に同意を付与することです。 承認されたアプリに同意して、組織内の各ユーザーがアプリを起動するときに、アクセス許可を確認し、個別に同意する必要がないようにします。 アプリによって要求されるアクセス許可の例としては、チームに格納されている情報の読み取り、ユーザーのプロファイルの読み取り、ユーザーの代わりに電子メールを送信する機能などがあります。 アクセス許可と同意の詳細については、「 Microsoft ID プラットフォーム エンドポイントでのアクセス許可と同意」を参照してください。

会社のニーズを保護し、ポリシーに従うために、グローバル管理者のみが、組織内のすべてのユーザーに代わってアプリのアクセス許可に同意を付与できます。 同意を付与するための詳細と要件を表示するオプションは、Microsoft が提供するアプリではなく、カスタムアプリとサードパーティ 製アプリに適用されます。

アプリによって要求された Microsoft Graph のアクセス許可を表示する

[ アプリの管理 ] ページの [アクセス許可] 列は、アプリに同意が必要なアクセス許可があるかどうかを示します。 アプリの [詳細の表示 ] リンクを選択して、アプリが要求するさまざまなアクセス許可と組織の情報へのアクセスを表示します。 詳細を表示し、同意を付与するオプションは、 Microsoft によって提供されるアプリではなく、カスタム アプリとサード パーティ製アプリに適用されます。

このようなアクセス許可に同意すると、アプリが組織の情報にアクセスできるようになります。 同意を付与する前に、アプリから要求されたアクセス許可を慎重に確認してください。 詳細については、「 Teams アプリのアクセス許可と同意」を参照してください。 グローバル管理者のみが、アプリが要求する Graph アクセス許可に同意を付与できます。 Teams 管理者は、管理センターで必要なアクセス許可を表示できます。 詳細を表示し、同意を付与するオプションは、 Microsoft によって提供されるアプリではなく、カスタム アプリとサード パーティ製アプリに適用されます。

組織内のすべてのユーザーに対して同意を表示して許可するには、次の手順に従います。

  1. Teams 管理センターで、 Teams アプリ>管理アプリにアクセスします

  2. 必要なアプリを検索し、次のいずれかの操作を行います。

    • アプリの [アクセス許可] 列の [ 詳細の表示 ] リンクを選択して、[ アクセス許可 ] タブを開きます。
    • アプリ名を選択してアプリの詳細ページに移動し、[ アクセス許可 ] タブを選択します。

  3. [組織全体のアクセス許可][アクセス許可と同意を確認する] を選択します。

    アプリが要求した Graph のアクセス許可に同意を付与するオプションを示すスクリーンショット。

  4. 開いたダイアログで、アプリによって要求されたアクセス許可を確認します。

    アプリによって要求されたアクセス許可の同意を受け入れるダイアログを示すスクリーンショット。

  5. アプリによって要求されたアクセス許可に同意する場合は、[ 同意する ] を選択して同意を付与します。 [アクセス許可] タブの確認では、アプリで同意が利用できることがわかります。 これで、アプリは、アプリが許可されている組織内のすべてのユーザーに対して、指定されたリソースにアクセスできるようになりました。 ユーザーにアクセス許可の確認を求めるメッセージは表示されません。

    アプリのアクセス許可に同意を付与した後の確認を示すスクリーンショット。

注意

アプリの新しいバージョンでは、開発者が管理者の同意を必要とする追加のアクセス許可を追加した場合、更新されたアプリに同意を 与えるまで、ユーザーはアプリを使用できません。

ユーザーの同意設定を構成して、ユーザーが選択したアクセス許可 (推奨される方法) に同意できるようにし、管理者の同意を必要とせずに、これらの特定のアクセス許可のみを必要とするアプリを使用できます。

この方法は、Microsoft Entra ID ポータルでのアクセス許可の分類と連携します。 この分類により、管理者は、組織内の低リスクのアクセス許可として、一部の委任された Graph アクセス許可を定義できます。 管理者は、組織のリスク体制に基づいて、リスクの低いアクセス許可を決定します。 安全対策として、アプリケーションのアクセス許可を低リスクに分類することはできません。

ユーザーが次の操作を行うことができるように、ユーザーの同意設定を構成できます。

  • どのアプリにも同意できないため、管理者が承認したアプリのみを使用します。
  • 選択したアクセス許可 (推奨される方法) に同意し、これらの特定のアクセス許可のみを必要とするアプリを使用します。

推奨される方法は、アクセス許可の分類と連携します。 この分類により、管理者は、委任された Graph アクセス許可の一部またはすべてを組織内の低リスクのアクセス許可として定義できます。 管理者は、組織のリスク体制に基づいて低リスクのアクセス許可を決定します。 安全対策として、アプリケーションのアクセス許可を低リスクに分類することはできません。 アプリケーションのアクセス許可では、管理者のみが同意する必要があります。 詳細については、「 ユーザーがアプリケーションに同意する方法 と、 アクセス許可を低リスクまたは高リスクとして分類する方法を構成する」を参照してください。

この構成を実行するには、組織内にグローバル管理者、アプリケーション管理者、またはクラウド アプリケーション管理者ロールが必要です。

アプリのアクセス許可に同意を付与すると、[ アクセス許可 ] タブに確認が表示され、アプリのアクセス許可に同意が利用可能であることを通知します。 各アプリのアクセス許可の詳細を表示する場合は、次の手順に従います。

  1. Microsoft Entra 管理センターにログインします。

  2. [アプリケーション>Enterprise アプリケーション] を選択します

  3. アクセス許可を表示するアプリケーションを選択します。 [アプリケーション] ページで [ アクセス許可] を選択します。

    アプリのアクセス許可に対する許可された同意を表示および管理するために使用される Entra UI を示すスクリーンショット。

  4. アクセス許可を選択して、その詳細を確認します。

    選択したアクセス許可の詳細を示すスクリーンショット。

以前にアプリに付与した同意を取り消すには、次の手順に従います。

  1. [アクセス許可] タブで、[ Microsoft Entra ID ] リンクを選択して、Microsoft Entra 管理センターでアプリのアクセス許可を開きます。

  2. [ 管理者の同意 ] タブで、取り消すアクセス許可を選択し、省略記号の ...を選択します。

  3. [ アクセス許可の取り消 し] を選択し、確認ダイアログで [ はい、取り消す ] を選択します。

    Microsoft Entra 管理センターからアプリの Graph アクセス許可を取り消すオプションを示すスクリーンショット。

一部のアクセス許可に対する同意を取り消した後、同意を再付与できます。 「アプリのアクセス許可に組織全体の管理者の同意を付与する」を参照してください。

開発者は、新しい機能を追加したり、既存の機能を強化したり、バグを修正したりするようにアプリを更新します。 一部のアプリ更新プログラムでは、以前のバージョンのアプリに含まれなかった新しいアクセス許可が追加される場合があります。 開発者が管理者の同意を必要とする新しいアクセス許可を追加する場合は、新しいアクセス許可に同意する必要があります。 再コンデント フローは、「組織全体の管理者に アプリのアクセス許可を付与する」で説明されているのと同じです。

ユーザーまたは管理者からの同意が必要なアプリの変更について知るには、 アプリの更新で同意が必要な場合の条件に関するページを参照してください。 組織の構成によっては、ユーザーが一部の種類のアクセス許可に同意を付与できる場合があります。

RSC アクセス許可を使用すると、アプリはチームまたはユーザーのデータにアクセスして変更できます。 RSC のアクセス許可は詳細であり、アプリが追加される Teams チームに固有です。 RSC アクセス許可の例としては、チームでチャネルを作成および削除したり、チームの設定を取得したり、チャネル タブを作成および削除したりできます。

RSC アクセス許可は、Microsoft Entra 管理センターではなく、アプリ マニフェストで定義されます。 チーム所有者は、アプリをチームまたはチャットに追加するときに、そのようなアクセス許可に同意を付与できます。 詳細については、「 リソース固有の同意 (RSC)」を参照してください。

アプリの RSC アクセス許可は、アプリの詳細ページの [ アクセス許可 ] タブで確認できます。 RSC アクセス許可は、[アプリケーション] および [委任されたアクセス許可] のセクションの他のアクセス許可と共に一覧表示されます。

管理者は、ユーザーが自分のグループまたはチームのデータにアクセスできるかどうかを構成できます。 グローバル管理者は、Microsoft Entra ID のデータ設定に アクセスするアプリのグループ所有者の同意を 変更して、 ユーザーが RSC アクセス許可に同意できるようにすることができます

アプリのグループ所有者の同意を許可しない場合、RSC アクセス許可が使用されている場合、ユーザーはアプリの RSC アクセス許可に同意できません。