Microsoft Graph でのMicrosoft Entra リソースの操作

重要

Microsoft Graph の /beta バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。

Microsoft Graph では、Microsoft Entra リソースにアクセスして、管理者 (ディレクトリ) ロールの管理、外部ユーザーのorganizationへの招待、クラウド ソリューション プロバイダー (CSP) の場合は顧客のデータの管理などのシナリオを実現できます。 Microsoft Graph には、たとえばグループやロールにおけるユーザーの推移的なメンバーシップに関する情報を検出するメソッドなど、アプリで使用できるメソッドも用意されています。

注: 一部のMicrosoft Entraリソースについては、API リファレンスの他のセクションに記載されています。 詳細については、「ユーザー」と「グループ」を参照してください。

Authorization

Microsoft Entra リソースで Microsoft Graph API を呼び出すには、アプリに適切なアクセス許可が必要です。 Microsoft Entra リソースで公開される API の多くは、いずれかのディレクトリアクセス許可を必要とします。 ディレクトリ アクセス許可は高い権限が与えられており、常に管理者の同意を必要とします。

アプリがユーザー (委任されたアクセス許可) に代わって動作している場合、そのユーザーは、多くのMicrosoft Entra API を正常に呼び出すために、アプリの適切な管理者ロールのメンバーである必要があります。

アクセス許可 (委任されたアクセス許可とアプリケーションのアクセス許可を含む) の詳細については、「アクセス許可」を参照してください。

一般的なユース ケース

次の表に、Microsoft Entra リソースの一般的なユース ケースを示します。

ユース ケース	REST リソース	関連項目
ディレクトリ オブジェクトおよびメソッド
directoryObject は、ユーザーやグループなどの多数のディレクトリ リソースの継承元となる基底クラスです。 Microsoft Graph では、ユーザーやグループなどのディレクトリ オブジェクトに関する情報の検出に使用できる複数のメソッドを公開しています。 たとえば、グループのリストに推移的なメンバーシップが含まれていないか確認すること、ディレクトリ オブジェクトが推移的なメンバーとなっているすべての所属先グループとディレクトリ ロールを返すこと、汎用リソース ID のリストから指定された種類のリソース (ユーザーまたはグループなど) をすべて返すことができます。	directoryObject	該当なし
ディレクトリ (管理者) ロール、管理単位、ディレクトリ設定、ポリシーの管理
Microsoft Entra テナントでディレクトリ ロールをアクティブ化し、ディレクトリ ロールのユーザー メンバーシップを管理します。 ディレクトリ ロールは、管理者ロールとも呼ばれます。	directoryRole directoryRoleTemplate	Microsoft Entra管理者ロールの割り当て
管理単位を管理します。 ディレクトリ ロールは、メンバーにテナント全体の権限を委任します。 管理者は、管理単位を作成および管理して、詳細に範囲を指定した管理権限をユーザーに委任できます。	administrativeUnit	Microsoft Entra IDの管理単位管理
テナント全体または個々のリソースのインスタンスに、定義済みのディレクトリ設定を適用します。 現在サポートされているのは、Office 365 グループの設定のみです。 ディレクトリ設定は、グループ表示名でブロックする単語の一覧や、ゲスト ユーザーがグループの所有者になることを許可するか、といった動作を制御します。	directorySetting directorySettingTemplate	グループ設定を構成するためのMicrosoft Entra コマンドレット
アプリケーション、サービス プリンシパル、グループ、またはorganization全体にMicrosoft Entraポリシーを適用します。 クレームマッピング、トークンの発行、トークンの有効期間、ホーム領域の検出などのポリシーをサポートしています。	使用可能なポリシー	該当なし
Microsoft Entraのセキュリティで保護された特権アクセス
Privileged Identity Management (PIM) を使用して管理者および IT プロフェッショナルのディレクトリと Azure リソースに対する期限付きの特権アクセスを管理および監視します。	Privileged Identity Management API	Microsoft Entra Privileged Identity Managementとは
マルウェアに感染したデバイスまたは未知の場所からのユーザーのサインインなど、ID リスク イベントを監視します。	Identity Protection Service API	Microsoft Entra ID 保護 リスク イベントのMicrosoft Entra
デバイスの管理
組織に登録されているデバイスを管理します。 デバイスはユーザーに登録されており、ノート PC、デスクトップ、タブレット、携帯電話などのアイテムを含みます。 デバイスは通常、Device Registration Service を使用するか、Microsoft Intune によって、クラウドで作成されます。 これは、多要素認証の条件付きアクセス ポリシーで使用されます。	device	デバイス登録の概要Microsoft Entra。 Intune とは? Intuneで管理用のデバイスを登録する
アプリの管理
開発テナントのアプリ構成を管理します。	アプリケーション	Microsoft Entra IDのアプリケーションおよびサービス プリンシパル オブジェクト
テナントにインストールされているアプリを管理します。	servicePrinicpal	Microsoft Entra IDのアプリケーションおよびサービス プリンシパル オブジェクト
テナントにインストールされているアプリにおける、ユーザーと管理者が同意したアクセス許可を管理します。	oAuth2PermissionGrant	該当なし
テナントにインストールされている、ユーザー、グループ、サービス プリンシパル ロールのメンバーシップを管理します。	appRoleAssignment	該当なし
パートナー テナント管理
顧客テナントとのパートナーシップに関する情報を取得します。 注: これはパートナー テナントにのみ適用されます。 パートナー テナントは、Microsoft Cloud Solution Provider、Office 365 Syndication、または Microsoft Advisor パートナー プログラムの一部である Microsoft パートナーに属するテナントMicrosoft Entraです。	コントラクト	クラウド ソリューション プロバイダーのアプリケーションからの Microsoft Graph の呼び出し
テナントに関連付けられているドメインを管理します。 ドメイン操作によって Office 365 などといったサービスでのドメインの関連付けを自動化するレジストラーを有効にします。	domain	Microsoft Entra IDにカスタム ドメイン名を追加する
テナント管理
会社住所、技術部連絡先、通知連絡先、サブスクライブ先のサービス プラン、関連付けられているドメインなど、組織に関する情報を取得します。	organization	N/A
会社のサブスクライブ先のサービス SKU に関する情報を取得します。	subscribedSku	N/A
組織に外部 (ゲスト) ユーザーを招待します。	invitation	B2B コラボレーションMicrosoft Entraとは
組織のサインイン エクスペリエンスのブランド化を管理します。	organizationalbranding	organizationのMicrosoft Entra サインイン ページにブランド化を追加する
アクセス レビュー
グループのメンバーシップとアプリケーションのアクセス権がアクセス レビューで適切であることを確認します。	アクセス レビュー API	Microsoft Entra アクセス レビュー
同意要求
管理者認証が必要なアプリにアクセスしようとしているユーザーの同意要求ワークフローを管理します。	同意要求 API	管理者同意ワークフローを構成する

次の手順

ディレクトリ リソースと API によって、ユーザーとの連携や、ユーザーの Microsoft Graph のエクスペリエンスを管理する新しい方法が見つかります。 詳細情報

• 特定のシナリオに役立つ、メソッドとリソースのプロパティを詳しく調べます。
• Graph エクスプローラーで API をお試しください。