アクセス許可の分類を構成する

この記事では、Azure Active Directory (Azure AD) でアクセス許可の分類を構成する方法について説明します。 アクセス許可の分類を使用すると、組織のポリシーとリスク評価に応じて、さまざまなアクセス許可の影響を特定できます。 たとえば、同意ポリシーでアクセス許可の分類を使用して、ユーザーが同意を許可された一連のアクセス許可を識別できます。

現時点では、"低影響" のアクセス許可の分類のみがサポートされています。 管理者の同意を必要としない委任されたアクセス許可のみを "低影響" として分類できます。

基本サインインに必要な最小アクセス許可は openidprofileemailoffline_access です。これらはすべて、Microsoft Graph の委任さまたアクセス許可です。 これらのアクセス許可を使用すると、アプリはサインインしているユーザーのプロファイルの詳細を読み取ることができ、ユーザーがアプリを使用しなくなった場合でもこのアクセスを維持できます。

前提条件

アクセス許可の分類を構成するには、次が必要です。

  • アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます
  • 次のいずれかのロール: グローバル管理者、クラウド アプリケーション管理者、アプリケーション管理者、またはサービス プリンシパルの所有者。

アクセス許可の分類を管理する

次の手順で Azure portal を使用し、アクセス許可を分類します。

  1. グローバル管理者アプリケーション管理者、またはクラウド アプリケーション管理者として、Azure portal にサインインします
  2. [Azure Active Directory]>[エンタープライズ アプリケーション]>[同意とアクセス許可]>[Permission classifications](アクセス許可の分類) を選択します。
  3. [アクセス許可の追加] を選択して、別のアクセス許可を "低影響" として分類します。
  4. API を選択し、委任されたアクセス許可を選択します。

この例では、シングル サインオンに必要な最小限のアクセス許可セットを分類しました。

アクセス許可の分類

次のステップ

詳細については、以下を参照してください。