アクセス許可の分類を構成する

この記事では、Azure Active Directory (Azure AD) でアクセス許可の分類を構成する方法について説明します。 アクセス許可の分類を使用すると、組織のポリシーとリスク評価に応じて、さまざまなアクセス許可の影響を特定できます。 たとえば、同意ポリシーでアクセス許可の分類を使用して、ユーザーが同意を許可された一連のアクセス許可を識別できます。

現時点では、"低影響" のアクセス許可の分類のみがサポートされています。 管理者の同意を必要としない委任されたアクセス許可のみを "低影響" として分類できます。

基本サインインに必要な最小アクセス許可は openid、profile、email、offline_access です。これらはすべて、Microsoft Graph の委任さまたアクセス許可です。 これらのアクセス許可を使用すると、アプリはサインインしているユーザーのプロファイルの詳細を読み取ることができ、ユーザーがアプリを使用しなくなった場合でもこのアクセスを維持できます。

前提条件

アクセス許可の分類を構成するには、次が必要です。

• アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。
• 次のいずれかのロール: グローバル管理者、クラウド アプリケーション管理者、アプリケーション管理者、またはサービス プリンシパルの所有者。

アクセス許可の分類を管理する

ポータル

次の手順で Azure portal を使用し、アクセス許可を分類します。

1. グローバル管理者、アプリケーション管理者、またはクラウド アプリケーション管理者として、Azure portal にサインインします
2. [Azure Active Directory]>[エンタープライズ アプリケーション]>[同意とアクセス許可]>[Permission classifications](アクセス許可の分類) を選択します。
3. [アクセス許可の追加] を選択して、別のアクセス許可を "低影響" として分類します。
4. API を選択し、委任されたアクセス許可を選択します。

この例では、シングル サインオンに必要な最小限のアクセス許可セットを分類しました。

PowerShell

最新の Azure AD PowerShell プレビュー モジュールである AzureADPreview を使用して、アクセス許可を分類できます。 アクセス許可の分類は、アクセス許可を発行する API の ServicePrincipal オブジェクトに構成されます。

API の現在のアクセス許可の分類をリストアップします。

1. API の ServicePrincipal オブジェクトを取得します。 ここでは、Microsoft Graph API の ServicePrincipal オブジェクトを取得します。

   $api = Get-AzureADServicePrincipal `
       -Filter "servicePrincipalNames/any(n:n eq 'https://graph.microsoft.com')"
   

2. API の委任されたアクセス許可の分類を読み取ります。

   Get-AzureADMSServicePrincipalDelegatedPermissionClassification `
       -ServicePrincipalId $api.ObjectId | Format-Table Id, PermissionName, Classification
   

アクセス許可を "低影響" として分類する

1. API の ServicePrincipal オブジェクトを取得します。 ここでは、Microsoft Graph API の ServicePrincipal オブジェクトを取得します。

   $api = Get-AzureADServicePrincipal `
       -Filter "servicePrincipalNames/any(n:n eq 'https://graph.microsoft.com')"
   

2. 分類対象となる委任されたアクセス許可を検索します。

   $delegatedPermission = $api.OAuth2Permissions | Where-Object { $_.Value -eq "User.ReadBasic.All" }
   

3. アクセス許可の名前と ID を使用して、アクセス許可の分類を設定します。

   Add-AzureADMSServicePrincipalDelegatedPermissionClassification `
      -ServicePrincipalId $api.ObjectId `
      -PermissionId $delegatedPermission.Id `
      -PermissionName $delegatedPermission.Value `
      -Classification "low"
   

委任されたアクセス許可の分類を削除する

1. API の ServicePrincipal オブジェクトを取得します。 ここでは、Microsoft Graph API の ServicePrincipal オブジェクトを取得します。

   $api = Get-AzureADServicePrincipal `
       -Filter "servicePrincipalNames/any(n:n eq 'https://graph.microsoft.com')"
   

2. 削除対象となる委任されたアクセス許可の分類を検索します。

   $classifications = Get-AzureADMSServicePrincipalDelegatedPermissionClassification `
       -ServicePrincipalId $api.ObjectId
   $classificationToRemove = $classifications | Where-Object {$_.PermissionName -eq "User.ReadBasic.All"}
   

3. アクセス許可の分類を削除します。

   Remove-AzureADMSServicePrincipalDelegatedPermissionClassification `
       -ServicePrincipalId $api.ObjectId `
       -Id $classificationToRemove.Id
   

次のステップ

詳細については、以下を参照してください。

• 「Microsoft ID プラットフォームでのアクセス許可と同意」に移動します