Teams アプリのアクセス許可に同意を付与および管理する

  • [アーティクル]
  • 適用対象:
    Microsoft Teams

Teams アプリを使用すると、organizationのユーザー間の生産性とコラボレーションを大幅に向上させることができます。 Teams アプリは、コンテキストを切り替えずにユーザーのヒントに情報を取り込み、優れた作業を行うのに役立ちます。 管理者は、会社のセキュリティとコンプライアンスのニーズのバランスを取りながら、適切な種類のアプリをユーザーに提供するための重要な役割を果たします。 アプリの使用を承認する場合は、アプリの導入がユーザーにとってスムーズであることを確認する必要があります。

重要な部分は、アプリが機能する必要があるアクセス許可に同意を付与することです。 アプリを起動するときに、organization内の各ユーザーがアクセス許可を確認し、個別に同意する必要がないように、承認されたアプリに同意します。 アプリによって要求されるアクセス許可の例としては、チームに格納されている情報の読み取り、ユーザーのプロファイルの読み取り、ユーザーの代わりに電子メールを送信する機能などがあります。 アクセス許可と同意の詳細については、「Microsoft ID プラットフォーム エンドポイントでのアクセス許可と同意」を参照してください。

会社のニーズを保護し、ポリシーに従うために、グローバル管理者のみが、organization内のすべてのユーザーに代わってアプリのアクセス許可に同意を付与できます。 同意を付与するための詳細と要件を表示するオプションは、Microsoft が提供するアプリではなく、カスタムアプリとサードパーティ 製アプリに適用されます。

アプリによって要求された Microsoft Graph のアクセス許可を表示する

[ アプリの管理 ] ページの [アクセス許可] 列は、アプリに同意が必要なアクセス許可があるかどうかを示します。 アプリの [詳細の表示] リンクを選択して、アプリが要求するorganizationの情報に対するさまざまなアクセス許可とアクセス権を表示します。 詳細を表示し、同意を付与するオプションは、 Microsoft によって提供されるアプリではなく、カスタム アプリとサード パーティ製アプリに適用されます。

このようなアクセス許可に同意すると、アプリはorganizationの情報にアクセスできます。 同意を付与する前に、アプリから要求されたアクセス許可を慎重に確認してください。 詳細については、「 Teams アプリのアクセス許可と同意」を参照してください。 グローバル管理者のみが、アプリが要求する Graph アクセス許可に同意を付与できます。 Teams 管理者は、管理センターで必要なアクセス許可を表示できます。 詳細を表示し、同意を付与するオプションは、 Microsoft によって提供されるアプリではなく、カスタム アプリとサード パーティ製アプリに適用されます。

organization内のすべてのユーザーに対して同意を表示して許可するには、次の手順に従います。

  1. Teams 管理センターで、Teams アプリの [アプリ>の管理] にアクセスします。

  2. 必要なアプリを検索し、次のいずれかの操作を行います。

    • アプリの [アクセス許可] 列の [ 詳細の表示 ] リンクを選択して、[ アクセス許可 ] タブを開きます。
    • アプリ名を選択してアプリの詳細ページに移動し、[ アクセス許可 ] タブを選択します。

  3. [組織全体のアクセス許可][アクセス許可と同意を確認する] を選択します。

    アプリが要求した Graph のアクセス許可に同意を付与するオプションを示すスクリーンショット。

  4. 開いたダイアログで、アプリによって要求されたアクセス許可を確認します。

    アプリから要求されるアクセス許可のスクリーンショット。

  5. アプリによって要求されたアクセス許可に同意する場合は、[ 同意する ] を選択して同意を付与します。 バナーがページの上部に一時的に表示され、要求されたアクセス許可がアプリに付与されていることを通知します。 アプリは、アプリが許可されているorganization内のすべてのユーザーに対して、指定されたリソースにアクセスできるようになりました。 ユーザーにアクセス許可の確認を求めるメッセージは表示されません。

アプリのアクセス許可に同意を付与すると、[ アクセス許可 ] タブに、同意が付与されたことを知らせるメッセージが表示されます。 Microsoft Entra ID でアプリのアクセス許可を表示する場合は、リンクをクリックして、管理センターでアプリのアクセス許可Microsoft Entra開きます。

Graph のアクセス許可に同意した後Microsoft Entra管理センターへのリンクを示すスクリーンショット。

注意

アプリの新しいバージョンで以前のバージョンよりも追加のアクセス許可が必要な場合は、アプリにもう一度同意を付与する必要があります。

ユーザーの同意設定を構成して、ユーザーが選択したアクセス許可 (推奨される方法) に同意できるようにし、管理者の同意を必要とせずに、これらの特定のアクセス許可のみを必要とするアプリを使用できます。

この方法は、Microsoft Entra ID ポータルでのアクセス許可の分類と連携します。 この分類により、管理者は、一部の委任された Graph アクセス許可を、organization内のリスクの低いアクセス許可として定義できます。 管理者は、organizationのリスク体制に基づいて、リスクの低いアクセス許可を決定します。 安全対策として、アプリケーションのアクセス許可を低リスクに分類することはできません。

ユーザーが次の操作を行うことができるように、ユーザーの同意設定を構成できます。

  • どのアプリにも同意できないため、管理者が承認したアプリのみを使用します。
  • 選択したアクセス許可 (推奨される方法) に同意し、これらの特定のアクセス許可のみを必要とするアプリを使用します。

推奨される方法は、アクセス許可の分類と連携します。 この分類により、管理者は委任された Graph アクセス許可の一部またはすべてを、organization内の低リスクのアクセス許可として定義できます。 管理者は、organizationのリスク体制に基づいて低リスクのアクセス許可を決定します。 安全対策として、アプリケーションのアクセス許可を低リスクに分類することはできません。 アプリケーションのアクセス許可では、管理者のみが同意する必要があります。 詳細については、「 ユーザーがアプリケーションに同意する方法 と、 アクセス許可を低リスクまたは高リスクとして分類する方法を構成する」を参照してください。

この構成を実行するには、organizationにグローバル管理者、アプリケーション管理者、またはクラウド アプリケーション管理者ロールが必要です。

アプリのアクセス許可に同意を付与すると、[ アクセス許可 ] タブに、同意が付与されたことを知らせるメッセージが表示されます。

Graph のアクセス許可に同意した後の Entra へのリンクを示すスクリーンショット。

Microsoft Entra ID でアプリのアクセス許可を表示する場合は、リンクを選択して、管理センターでアプリのアクセス許可Microsoft Entra開きます。

アプリのアクセス許可に対する許可された同意を表示および管理するために使用される Entra UI を示すスクリーンショット。

アクセス許可を選択して、その詳細を確認します。

選択したアクセス許可の詳細を示すスクリーンショット。

以前にアプリに付与した同意を取り消すには、次の手順に従います。

  1. [アクセス許可] タブで、[Microsoft Entra ID] リンクを選択して、管理センターでアプリのアクセス許可Microsoft Entra開きます。

  2. [同意の管理] タブで、取り消すアクセス許可を選択し、省略記号 ...を選択します。

  3. [ アクセス許可の取り消 し] を選択し、確認ダイアログで [ はい、取り消す ] を選択します。

    Microsoft Entra管理センターからアプリの Graph アクセス許可を取り消すオプションを示すスクリーンショット。

一部のアクセス許可に対する同意を取り消した後、同意を再付与できます。 「アプリのアクセス許可に組織全体の管理者の同意を付与する」を参照してください。

開発者は、新しい機能を追加したり、既存の機能を強化したり、バグを修正したりするようにアプリを更新します。 一部のアプリ更新プログラムでは、以前のバージョンのアプリに含まれなかった新しいアクセス許可が追加される場合があります。 開発者が管理者の同意を必要とする新しいアクセス許可を追加する場合は、新しいアクセス許可に同意する必要があります。 再コンデント フローは、「組織全体の管理者に アプリのアクセス許可を付与する」で説明されているのと同じです。

ユーザーまたは管理者からの同意が必要なアプリの変更について知るには、 アプリの更新で同意が必要な場合の条件に関するページを参照してください。 organizationの構成によっては、ユーザーが一部の種類のアクセス許可に同意を付与できる場合があります。

RSC アクセス許可を使用すると、アプリはチームまたはユーザーのデータにアクセスして変更できます。 RSC のアクセス許可は詳細であり、アプリが追加される Teams チームに固有です。 RSC アクセス許可の例としては、チームでチャネルを作成および削除したり、チームの設定を取得したり、チャネル タブを作成および削除したりできます。

RSC アクセス許可は、管理センターではなくアプリ マニフェストで定義Microsoft Entra。 チーム所有者は、アプリをチームまたはチャットに追加するときに、そのようなアクセス許可に同意を付与できます。 詳細については、「 リソース固有の同意 (RSC)」を参照してください。

グローバル管理者と Teams 管理者は、アプリの詳細ページの [アクセス許可] タブで、アプリの RSC アクセス許可 を表示できます。 アプリの RSC アクセス許可を表示するには、次の手順に従います。

  1. Teams 管理センターで、[Teams アプリ] [アプリ>の管理] の順に移動します。

  2. カタログで必要なアプリを検索します。

  3. アプリ名をクリックしてアプリの詳細ページに移動し、[ アクセス許可 ] タブを選択します。または、アプリの [詳細の表示 ] リンクを選択します。

  4. [ リソース固有の同意 (RSC) アクセス許可] で、アプリによって要求された RSC アクセス許可を確認します。

    [アクセス許可] タブのアプリの RSC アクセス許可の例を示すスクリーンショット。

管理者は、ユーザーが自分のグループまたはチームのデータにアクセスできるかどうかを構成できます。 グローバル管理者は、ユーザーが RSC アクセス許可に同意できるように、Microsoft Entra ID のデータ設定にアクセスするアプリのグループ所有者の同意を変更できます。

アプリのグループ所有者の同意を許可しない場合、RSC アクセス許可が使用されている場合、ユーザーはアプリの RSC アクセス許可に同意できません。