次の方法で共有

Microsoft Entra ID のカスタム ロールに対するアプリケーションの登録のアクセス許可

この記事では、Microsoft Entra ID のカスタム ロール定義で使用できるアプリの登録のアクセス許可について概要を説明します。 これらのアクセス許可により、管理者は特定のアクセス レベルでアプリケーションの登録を管理でき、組織内のアプリケーションを安全かつ効率的に管理できるようになります。

ライセンスの要件

この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 自分の要件に適したライセンスを探すには 一般提供されている Microsoft Entra ID の機能の比較」を参照してください。

シングルテナント アプリケーションを管理するためのアクセス許可

カスタム ロールのアクセス許可を選択する場合は、シングルテナント アプリケーションのみを管理するためのアクセス許可を付与できます。 シングルテナント アプリケーションは、アプリケーションが登録されている Microsoft Entra 組織内のユーザーのみが利用できます。

シングルテナント アプリケーションは、サポートされているアカウントの種類 が "この組織のディレクトリ内のアカウントのみ" に設定されているとして定義されます。Graph API では、シングルテナント アプリケーションの signInAudience プロパティは "AzureADMyOrg" に設定されています。

シングルテナント アプリケーションのみを管理するためのアクセス許可を付与するには、以下のアクセス許可と、サブタイプ applications.myOrganization を使用します。 たとえば、microsoft.directory/applications.myOrganization/basic/update です。

サブタイプ、アクセス許可、プロパティ セットという用語の意味については、カスタム ロールの概要 の説明を参照してください。 次の情報は、アプリケーションの登録に固有のものです。

作成と削除

アプリケーションの登録を作成する機能を許可するために使用できるアクセス許可は 2 つあり、それぞれ動作が異なります。

microsoft.directory/applications/createAsOwner

このアクセス許可を割り当てると、作成されたアプリの登録の最初の所有者として作成者が追加されます。 作成されたアプリの登録は、作成者の 250 個の作成済みオブジェクト クォータにカウントされます。

microsoft.directory/applications/create

このアクセス許可を付与すると、作成者がアプリの登録の最初の所有者として追加されなくなり、作成者の 250 個のオブジェクト クォータからアプリの登録が除外されます。 担当者がディレクトリレベルのクォータに達するまでアプリの登録を作成できないようにする機能はないため、このアクセス許可は慎重に使用してください。

両方のアクセス許可が割り当てられている場合、/create アクセス許可が優先されます。 /createAsOwner アクセス許可では作成者を最初の所有者として自動的に追加しませんが、Graph API または PowerShell コマンドレットを使用する場合は、アプリの登録の作成時に所有者を指定できます。

作成のアクセス許可は、 [New registration](新規登録) コマンドへのアクセス権を付与します。

[新しい登録ポータル] コマンドへのアクセスを許可するアクセス許可のスクリーンショット。

アプリの登録を削除する権限を付与するために使用できるアクセス許可には、次の 2 つがあります。

microsoft.directory/applications/delete

サブタイプに関係なく、アプリの登録を削除する権限を付与します。これにはシングルテナント アプリケーションとマルチテナント アプリケーションの両方が含まれます。

microsoft.directory/applications.myOrganization/delete

組織内のアカウントまたはシングルテナント アプリケーションのみがアクセスできるものに限定して、アプリの登録を削除する権限を付与します (myOrganization サブタイプ)。

アプリ登録の削除コマンドへのアクセスを許可するアクセス許可のスクリーンショット。

Note

作成のアクセス許可を含むロールを割り当てるとき、ロールの割り当てはディレクトリ スコープで行う必要があります。 リソース スコープで割り当てられた作成のアクセス許可は、アプリの登録を作成する権限を付与しません。

読み取り

組織内のすべてのメンバー ユーザーは、既定でアプリ登録情報を読み取ることができます。 一方、ゲスト ユーザーおよびアプリケーション サービス プリンシパルはできません。 ゲスト ユーザーまたはアプリケーションにロールを割り当てる予定の場合は、適切な読み取りアクセス許可を含める必要があります。

microsoft.directory/applications/allProperties/read

資格情報など、いかなる状況でも読み取ることができないプロパティを除き、シングルテナント アプリケーションおよびマルチテナント アプリケーションのすべてのプロパティを読み取る権限を付与します。

microsoft.directory/applications.myOrganization/allProperties/read

microsoft.directory/applications/allProperties/read と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。

microsoft.directory/applications/owners/read

シングルテナント アプリケーションおよびマルチテナント アプリケーションの所有者プロパティを読み取る権限を付与します。 アプリケーションの登録の所有者ページのすべてのフィールドへのアクセスを許可します。

アプリ登録所有者ページへのアクセスを許可するアクセス許可のスクリーンショット。

microsoft.directory/applications/standard/read

標準アプリケーションの登録プロパティの読み取りアクセスを許可します。 これには、アプリケーションの登録ページ間のプロパティが含まれます。

microsoft.directory/applications.myOrganization/standard/read

microsoft.directory/applications/standard/read と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。

更新プログラム

Microsoft Entra ID の "更新" アクセス許可により、管理者はアプリケーションの登録のさまざまなプロパティを変更できます。 これらのアクセス許可は、シングルテナント アプリケーションおよびマルチテナント アプリケーションの両方を保守、管理するために不可欠です。 付与された特定のアクセス許可に応じて、管理者はサポートされているアカウントの種類、認証設定、ブランドの詳細などのプロパティを更新できます。 利用可能な更新プログラムのアクセス許可とその特定の機能について、詳細な一覧を次に示します。

microsoft.directory/applications/allProperties/update

シングルテナント アプリケーションおよびマルチテナント アプリケーションのすべてのプロパティを更新する権限を許可します。

microsoft.directory/applications.myOrganization/allProperties/update

microsoft.directory/applications/allProperties/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。

microsoft.directory/applications/audience/update

シングルテナント アプリケーションおよびマルチテナント アプリケーションでサポートされているアカウントの種類 (signInAudience) のプロパティを更新する権限を許可します。

認証ページのアプリ登録でサポートされているアカウントの種類プロパティへのアクセスを許可するアクセス許可のスクリーンショット。

microsoft.directory/applications.myOrganization/audience/update

microsoft.directory/applications/audience/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。

microsoft.ディレクトリ/アプリケーション/認証/更新

シングルテナント アプリケーションおよびマルチテナント アプリケーションの応答 URL、サインアウト URL、暗黙的なフロー、発行元ドメインのプロパティを更新する権限を許可します。 サポートされているアカウントの種類を除き、アプリケーションの登録の認証ページのすべてのフィールドへのアクセスを許可します。

アプリ登録認証へのアクセスを許可するアクセス許可のスクリーンショット。サポートされているアカウントの種類ではありません。

microsoft.directory/applications.myOrganization/authentication/update

microsoft.directory/applications/authentication/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。

microsoft.directory/applications/basic/update

シングルテナント アプリケーションおよびマルチテナント アプリケーションの名前、ロゴ、ホーム ページ URL、サービス使用条件 URL、プライバシーに関する声明 URL のプロパティを更新する権限を許可します。 アプリケーションの登録のブランド化ページのすべてのフィールドへのアクセスを許可します。

アプリ登録のブランド化ページへのアクセスを許可するアクセス許可のスクリーンショット。

microsoft.directory/applications.myOrganization/ベーシック/アップデート

microsoft.directory/applications/basic/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。

microsoft.directory/applications/credentials/update

シングルテナント アプリケーションおよびマルチテナント アプリケーションの認定資格証とクライアント シークレットのプロパティを更新する権限を許可します。 アプリケーションの登録の認定資格証および & シークレット ページのすべてのフィールドへのアクセス許可を付与します。

アプリ登録証明書とシークレット ページへのアクセスを許可するアクセス許可のスクリーンショット。

microsoft.directory/applications.myOrganization/credentials/update

microsoft.directory/applications/credentials/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。

microsoft.directory/applications/owners/update

シングルテナントおよびマルチテナントの所有者プロパティを更新する権限を許可します。 アプリケーションの登録の所有者ページのすべてのフィールドへのアクセスを許可します。

アプリ登録所有者ページへのアクセスを許可するアクセス許可のスクリーンショット。

microsoft.directory/applications.myOrganization/owners/update

microsoft.directory/applications/owners/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。

microsoft.directory/applications/permissions/update

このアクセス許可により、委任されたアクセス許可、アプリケーションのアクセス許可、認可済みクライアント アプリケーション、必要なアクセス許可、同意のプロパティなど、シングルテナント アプリケーションおよびマルチテナント アプリケーションのさまざまなプロパティを更新できます。 同意を実行する権限が付与されるわけではありません。 アプリケーションの登録の API アクセス許可および API 公開ページのすべてのフィールドへのアクセスを許可します。

アプリ登録 API のアクセス許可ページへのアクセスを許可するアクセス許可のスクリーンショット。

アプリ登録の [API の公開] ページへのアクセスを許可するアクセス許可のスクリーンショット。

microsoft.directory/applications.myOrganization/permissions/update

microsoft.directory/applications/permissions/update と同じアクセス許可を付与しますが、シングルテナント アプリケーションのみが対象となります。

次のステップ