Microsoft Entra ID のエンタープライズ アプリケーション所有権の概要
Microsoft Entra ID のユーザーは、アプリケーションを登録すると、アプリケーション所有者として自動的に追加されます。 エンタープライズ アプリケーションの所有権は、管理者ロールを持たないユーザーが、新しいアプリケーションの登録を作成したときにのみ、既定で割り当てられます。 それ以外の場合、既定ではエンタープライズ アプリケーションに所有権は割り当てられません。 ユーザーはエンタープライズ アプリケーションの所有者になることができますが、グループを所有者として割り当てることはできません。
Microsoft Entra ID のエンタープライズ アプリケーションの所有者は、シングル サインオン、プロビジョニング、ユーザー割り当てなど、アプリケーションの組織固有の構成を管理できます。 所有者は、他の所有者を追加または削除することもできます。 特権ロール管理者とは異なり、所有者は、自分が所有するエンタープライズ アプリケーションのみを管理できます。 所有者は、個々のアプリケーションを対象にしたアプリケーション管理者と同じアクセス許可を持っています。 アプリケーションの所有者が持っているアクセス許可の詳細については、「所有者のアクセス許可」を参照してください
Note
アプリケーションは、所有者よりも多くのアクセス許可を持つことができるため、所有者がユーザーとして持つアクセス許可を上回る特権の昇格が可能です。 アプリケーションの所有者は、アプリケーションの偽装中にユーザーや他のオブジェクトを作成または更新することができます。 所有者の特権を昇格すると、アプリケーションのアクセス許可によっては、セキュリティ上の問題が発生する場合があります。
よく寄せられる質問
アプリケーションの所有者が組織からいなくなるときはどうすればよいですか?
テナントに所有者のいないアプリケーションがある場合は、アプリケーションの監査ログにアクセスして、アプリケーションの構成に関わっている可能性のある他のユーザーを調査することができます。 ただし、監査ログが保存されている期間には制限があります。 「Microsoft Entra 監査ログ レポート」を参照してください。
また、[ロールと管理者] タブに移動することで、アプリケーションでのアクセス許可を調べている他のユーザーが表示される可能性もあります。アプリケーションの所有者にする適切なユーザーが見つかったら、組織で高い特権の管理者ロールを持つユーザーは、アプリケーションの新しい所有者を割り当てることができます。 「エンタープライズ アプリケーション所有者の割り当て」をご覧ください。
ベスト プラクティスとして、環境内のアプリケーションをプロアクティブに監視し、アプリの所有者がいなくならないよう、可能な限り、少なくとも 2 人の所有者がいるようにすることをお勧めします。 さらに、アプリケーション オブジェクトの serviceManagementReference プロパティを使用して、エンタープライズ サービスまたは資産管理データベースからチームの連絡先情報を参照する必要があります。 serviceManagementReference プロパティを使用すると、個人が組織からいなくなってもチームの連絡先を使用できます。
組織内で所有者がいない、または所有者がいない恐れのあるエンタープライズ アプリケーションを見つけるにはどうすればよいですか?
Microsoft Graph API を使用して、所有者がいないエンタープライズ アプリ、または所有者が 1 人のみのアプリを特定する方法については、所有者なしのアプリケーションの一覧表示に関するページを参照してください。
エンタープライズ アプリケーションの所有者として自分自身を追加するにはどうすればよいですか?
アプリケーションの既存の所有者は、他のユーザーを所有者として追加できます。 また、アプリケーション管理者やクラウド アプリケーション管理者などの特権ロールを持つユーザーは、組織内のアプリケーションに所有者を割り当てることができます。 管理者でない場合は、組織の管理者と協力し、アプリケーションの所有者として自分を割り当てます。
自分が所有しているすべてのアプリケーションを検索するにはどうすればよいですか?
- [エンタープライズ アプリケーション] に移動し、[すべてのアプリケーション] を選択します
- [フィルターの追加] を選択し、[所有者] を使用して、自分または他のユーザーが所有するアプリを検索します。