Microsoft Graph を使用して Microsoft Entra ID とネットワーク アクセス機能を管理する
重要
Microsoft Graph の /beta バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。
Microsoft Graph を使用すると、ID とネットワーク アクセス機能を管理できます。そのほとんどは Microsoft Entra を通じて利用できます。 Microsoft Graph の API は、ID とネットワーク アクセス管理タスクを自動化し、任意のアプリケーションと統合するのに役立ち、Microsoft Entra 管理センターなどの管理者ポータルに代わるプログラムによる代替手段です。
Microsoft Entra は、次の製品で利用できる ID とネットワーク アクセス機能のファミリです。 これらの機能はすべて、Microsoft Graph API を通じて利用できます。
- ID とアクセス管理 (IAM) 機能をグループ化する Microsoft Entra ID。
- Microsoft Entra ID ガバナンス
- Microsoft Entra 外部 ID
- Microsoft Entra 検証済み ID
- Microsoft Entra Permissions Management
- Microsoft Entra インターネット アクセスとネットワーク アクセス
ユーザー ID の管理
ユーザーは、任意の ID とアクセス ソリューションの主要な ID です。 Microsoft Graph API を使用して、組織内のユーザーのライフサイクル全体と、ライセンスやグループ メンバーシップなどの権利を管理できます。 詳細については、「 Microsoft Graph でのユーザーの操作」を参照してください。
グループを管理する
グループは、ID の権利をユニットとして効率的に管理できるコンテナーです。 たとえば、グループを使用して、SharePoint サイトなどのリソースへのアクセス権をユーザーに付与できます。 または、サービスを使用するためのライセンスを付与することもできます。 詳細については、「Microsoft Graph でのグループの操作」を参照してください。
アプリケーションの管理
Microsoft Graph API を使用して、アプリケーションをプログラムで登録および管理し、Microsoft の IAM 機能を使用できます。 詳細については、「 Microsoft Graph を使用して Microsoft Entra アプリケーションとサービス プリンシパルを管理する」を参照してください。
テナント管理またはディレクトリ管理
ID とアクセス管理の主要な機能は、テナントの構成、管理ロール、設定を管理することです。 Microsoft Graph には、次のシナリオで Microsoft Entra テナントを管理するための API が用意されています。
| ユース ケース | API 操作 |
|---|---|
| 次の操作を含む管理単位を管理します。 |
managementUnit リソースの種類 とその関連 API |
| BitLocker 回復キーを取得する | bitlockerRecoveryKey リソースの種類 とその関連 API |
| テナントのライセンスとサブスクリプションを監視する | |
| カスタム セキュリティ属性を管理する | 「Microsoft Graph API を使用したカスタム セキュリティ属性の概要」を参照してください |
| 削除されたディレクトリ オブジェクトを管理します。 削除されたオブジェクトを "ごみ箱" に格納する機能は、次のオブジェクトでサポートされています。 |
|
| クラウド内のデバイスを管理する | デバイス リソースの種類 とそれに関連付けられている API |
| ローカル管理者パスワード ソリューション (LAPS) で有効になっている Microsoft Entra ID 内のすべてのデバイス オブジェクトのローカル管理者資格情報を表示します。 この機能はクラウドベースの LAPS ソリューションです | deviceLocalCredentialInfo リソースの種類 とその関連 API |
| ディレクトリ オブジェクトは、ユーザー、グループ、アプリケーションなど、Microsoft Entra ID のコア オブジェクトです。 directoryObject リソースの種類とその関連 API を使用して、ディレクトリ オブジェクトのメンバーシップを確認したり、複数のディレクトリ オブジェクトの変更を追跡したり、Microsoft 365 グループの表示名またはメール ニックネームが名前付けポリシーに準拠していることを検証したりできます。 | directoryObject リソースの種類 とその関連 API |
| Microsoft Entra 管理者ロールを含む管理者ロールは、テナント内で最も機密性の高いリソースの 1 つです。 カスタム ロールの作成、ロールの割り当て、ロールの割り当ての変更の追跡、ロールからの担当者の削除など、テナントでの割り当てのライフサイクルを管理できます。 |
directoryRole リソースの種類 と directoryRoleTemplate リソースの種類と関連する API roleManagement リソースの種類 とその関連 API これらの API を使用すると、直接ロールの割り当てを行うことができます。 または、 Microsoft Entra ロール と グループ の Privileged Identity Management API を使用して、永続的にアクティブな割り当てを直接行う代わりに、Just-In-Time ロールと Time-Bound ロールの割り当てを行うこともできます。 |
| テナント全体およびオブジェクト固有の制限と許可される動作をカスタマイズするために使用できる次の構成を定義します。 |
groupSetting リソースの種類 と groupSettingTemplate リソースの種類 と関連する API 詳細については、「 グループ設定の概要」を参照してください。 |
| 次のようなドメイン管理操作: |
ドメイン リソースの種類 とその関連 API |
| 特定の Microsoft Entra ID 機能の段階的ロールアウトを構成および管理する | featureRolloutPolicy リソースの種類 とその関連 API |
| Microsoft Entra Cloud Sync で使用できるオプション (誤った削除の防止やグループライトバックの管理など) を構成する | onPremisesDirectorySynchronization リソースの種類 とその関連 API |
| Microsoft Entra テナントの基本設定を管理する | 組織のリソースの種類 とそれに関連付けられている API |
| オンプレミスのディレクトリまたは Exchange Online から同期される可能性がある組織の連絡先を取得する | orgContact リソースの種類 とそれに関連付けられている API |
| テナント ID またはドメイン名を使用してクエリを実行して、他の Microsoft Entra テナントの基本的な詳細を確認する | tenantInformation リソースの種類 とその関連 API |
| 委任されたアクセス許可とそのテナント内のサービス プリンシパルへの割り当てを管理する | oAuth2PermissionGrant リソースの種類 とそれに関連付けられている API |
ID とサインイン
| ユース ケース | API 操作 |
|---|---|
| カスタム ロジックをトリガーまたは呼び出す必要があるイベント (通常は Microsoft Entra ID の外部で定義される) を監視するリスナーを構成する | authenticationEventListener リソースの種類 とそれに関連付けられている API |
| Microsoft Entra ID でサポートされている認証方法を管理する | 「Microsoft Entra 認証方法 API の概要」と「Microsoft Entra 認証方法ポリシー API の概要」を参照してください |
| Microsoft Entra 条件付きアクセスで許可制御として適用できる認証方法または認証方法の組み合わせを管理する | 「Microsoft Entra 認証強度 API の概要」を参照してください |
| 次のようなテナント全体の承認ポリシーを管理します。 |
authorizationPolicy リソースの種類 とその関連 API |
| テナントで証明書ベースの認証のポリシーを管理する | certificateBasedAuthConfiguration リソースの種類 とそれに関連付けられている API |
| Microsoft Entra 条件付きアクセス ポリシーを管理する | conditionalAccessRoot リソースの種類 とそれに関連付けられている API |
| テナント間アクセス設定を管理し、マルチテナント組織のユーザーの送信制限、受信制限、テナント制限、テナント間同期を管理する | 「テナント間アクセス設定 API の概要」を参照してください |
| ユーザー認証セッション中に Microsoft Entra ID と対話する方法と外部システムを構成する | customAuthenticationExtension リソースの種類 とその関連 API |
| 個人データのエクスポートなど、組織内のユーザー データに対する要求を管理する | dataPolicyOperation リソースの種類 とその関連 API |
| 自動設定サインインを強制してユーザー名入力画面をスキップし、フェデレーション サインイン エンドポイントにユーザーを自動的に転送する | homeRealmDiscoveryPolicy リソースの種類 のリソースの種類とその関連付けられている API |
| Microsoft Entra ID Protection を使用して ID ベースのリスクを検出、調査、修復し、セキュリティ情報とイベント管理 (SIEM) ツールにデータをフィードして、さらなる調査と相関関係を実現する | 「Microsoft Graph ID 保護 API を使用する」を参照してください |
| Microsoft Entra ID、Microsoft Entra External ID、Azure AD B2C テナントの ID プロバイダーを管理します。 次の操作を実行できます。 |
identityProviderBase リソースの種類 とその関連 API |
| Microsoft Entra 外部 ID を使用して外部ユーザーをテナントと共同作業するよう招待する | 招待リソースの種類 とそれに関連付けられている API |
| 組織に属するテナントのグループを定義し、組織間のテナント間コラボレーションを合理化する | 「マルチテナント組織 API の概要」を参照してください |
| ブラウザー言語に基づくブランド化の適用など、会社のブランドに合わせてサインイン UI をカスタマイズする | organizationalBranding リソースの種類 とその関連 API |
| 従業員テナントの Microsoft Entra 外部 ID のユーザー フロー | 次のリソースの種類と関連する API: |
| 外部テナントでの Microsoft Entra 外部 ID のユーザー フロー | 次のリソースの種類と関連する API: |
| アプリの同意ポリシーと条件セットを管理する | permissionGrantPolicy リソースの種類 |
| Microsoft Entra ID でセキュリティの既定値を有効または無効にする | identitySecurityDefaultsEnforcementPolicy リソースの種類 |
ID ガバナンス
詳細については、「 Microsoft Graph を使用した Microsoft Entra ID ガバナンスの概要」を参照してください。
外部テナントの Microsoft Entra 外部 ID
次の API ユース ケースは、ユーザーが顧客向けアプリケーションと対話する方法をカスタマイズするためにサポートされています。 管理者の場合、Microsoft Entra ID で使用できるほとんどの機能と、外部テナントの Microsoft Entra External ID でもサポートされています。 たとえば、ドメイン管理、アプリケーション管理、条件付きアクセスなどです。
| ユース ケース | API 操作 |
|---|---|
| 外部テナントとセルフサービス サインアップ エクスペリエンスでの Microsoft Entra 外部 ID のユーザー フロー | authenticationEventsFlow リソースの種類 とそれに関連付けられている API |
| Microsoft Entra External ID の ID プロバイダーを管理します。 テナントでサポートまたは構成されている ID プロバイダーを特定できます | identityProviderBase リソースの種類とそれに関連付けられている API に関するページを参照してください |
| 外部テナントでの Microsoft Entra 外部 ID でのカスタム URL ドメインの構成 |
ドメイン リソースの種類とその関連 API の supportedServices プロパティのCustomUrlDomain値 |
| ブラウザー言語に基づくブランド化の適用など、会社のブランドに合わせてサインイン UI をカスタマイズする | organizationalBranding リソースの種類 とその関連 API |
| ソーシャル ID など、Microsoft Entra 外部 ID の ID プロバイダーを管理する | identityProviderBase resoruce 型 とその関連 API |
| 顧客の Microsoft Entra 外部 ID でユーザー プロファイルを管理する | 詳細については、「顧客テナントの既定のユーザーアクセス許可」を参照してください。 |
| Microsoft Entra ID の外部にあるシステムと統合することで、独自のビジネス ロジックを認証エクスペリエンスに追加する | authenticationEventListener リソースの種類 と customAuthenticationExtension リソースの種類 と関連する API |
パートナー テナント管理
また、Microsoft Graph には、クラウド ソリューション プロバイダー (CSP)、付加価値リセラー (VAR)、または Advisor プログラムの Microsoft パートナーが顧客のテナントを管理するのに役立つ次の ID とアクセス機能も用意されています。
| ユース ケース | API 操作 |
|---|---|
| パートナーの顧客との契約を管理する | コントラクト リソースの種類 とそれに関連付けられている API |
| Microsoft パートナーは、パートナーが顧客のテナントに最小限の特権でアクセスできるように、お客様に権限を与えることができます。 この機能により、Microsoft リセラーからサポートを受けることができるようにしながら、セキュリティ体制を顧客に追加で制御できます | 詳細な委任された管理者特権 (GDAP) API の概要に関するページを参照してください |
ライセンス
Microsoft Entra ライセンスには、Microsoft Entra ID Free、P1、P2、およびガバナンスが含まれます。Microsoft Entra Permissions Management;と Microsoft Entra ワークロード ID。
さまざまな機能のライセンスの詳細については、「 Microsoft Entra ID ライセンス」を参照してください。