次の方法で共有


同意要求のMicrosoft Entra

名前空間: microsoft.graph

重要

Microsoft Graph の /beta バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。

同意要求Microsoft Entra、管理者の承認を必要とするアプリにアクセスしようとしているユーザーの要求ワークフローを管理するのに役立ちます。

アプリを使用してorganization内のデータにアクセスするには、管理者がテナントで使用することに同意する必要があります。 さらに、ユーザーが同意したアプリケーション固有のアクセス許可を付与して自分の代わりに動作させる前に、管理者は、ユーザーがアプリに対するこれらのアクセス許可に同意することを許可する必要もあります。 同意管理は、Microsoft Entra ID組織がアプリケーションとデータのセキュリティを適用するのに役立つ 1 つの方法です。

Microsoft Entra同意ワークフローを使用すると、ユーザーはテナント管理者に対して、管理者の承認を必要とするアプリに同意を付与するよう要求できます。 Microsoft Graph の同意要求 API を使用すると、管理者は同意ワークフローを構成し、アプリとユーザーの両方の同意要求を追跡できます。

注:

現在の API は、ワークフローの構成と要求の一覧の読み取りに制限されています。 現時点では、プログラムによって要求を承認または拒否するためのメソッドはありません。 ただし、要求の内容を使用して、管理者の同意を付与し、要求を承認するために使用できる URL を再作成できます。

注:

この記事では、デバイスまたはサービスから個人データをエクスポートする方法について説明します。 これらの手順は、一般データ保護規則 (GDPR) に基づく義務をサポートするために使用できます。 承認されたテナント管理者は、Microsoft Graph を使用して、エンド ユーザーに関する識別可能な情報 (顧客と従業員のユーザー プロファイル、ユーザーの名前、仕事のタイトル、住所、電話番号など) をMicrosoft Entra ID環境で修正、更新、または削除できます。

管理者の同意ポリシーは、ユーザーがテナントの管理者承認を必要とするアプリに対して管理者の同意を要求できるかどうかを指定します。 adminConsentRequestPolicy リソースの種類とそれに関連付けられているメソッドを使用して、管理者の同意ワークフローを次のように構成します。

  • 同意ワークフローを有効または無効にします。
  • 管理者の同意要求のレビュー担当者を構成します。
  • 保留中の要求の有効期限が切れるまでの有効期間と、保留中の要求の通知を受け取るプリンシパルを構成します。

ユーザーがorganizationでアプリを使用したり、アプリにアクセス許可を付与したりするために同意を要求すると、アプリの同意要求が作成されます。 アプリの同意要求は、 appConsentRequest リソースの種類とそれに関連付けられているメソッドを使用して取得されます。

次の操作を行うことができます:

  • アプリのすべての同意要求と、アプリに関連するユーザー同意要求のコレクションを取得します。 アプリの同意要求には、同じユーザーまたは複数のユーザーからの複数の要求を表す 1 つ以上のユーザー同意要求がある場合があります。
  • ユーザーがアプリに代わって要求したアクセス許可を取得します。
  • 保留中の要求と照合するには、 を使用 $filter します。
  • サインインしているユーザーが要求の作成者であるアプリの同意要求を取得します。

ユーザーが、organization内のアプリの使用またはアプリへのアクセス許可の付与に同意を求める場合、テナント管理者がアプリの使用を許可する同意要求を作成します。 ユーザーの同意要求は、 userConsentRequest リソースの種類とそれに関連付けられているメソッドを使用して取得されます。

次の操作を行うことができます:

  • ユーザーの同意要求に関する詳細を取得します。
  • 同意要求が通過した承認のステージを取得します。 承認プロセスは現在、1 段階のプロセスです。
  • 承認の状態、保留中か完了か、レビュー担当者の決定が同意要求を拒否または承認するかどうかを取得します。

ロールと委任されたアクセス許可の承認チェック

呼び出し元のアプリケーションには、次のディレクトリ ロールが必要です。

操作 委任されたアクセス許可 呼び出し元ユーザーの必須ディレクトリ ロール
読み取り ConsentRequest.Read.All、ConsentRequest.ReadWrite.All グローバル リーダー、クラウド アプリ管理者、またはアプリケーション管理者