名前空間: microsoft.graph
クライアント サービス プリンシパルにアプリの役割を割り当てます。
サービス プリンシパルに割り当てられているアプリの役割は、アプリケーションのアクセス許可 とも呼ばれます。 アプリケーションのアクセス許可は、アプリの役割の割り当てを使用するか、または 同意エクスペリエンス を通じて直接付与できます。
アプリの役割の割り当てをクライアント サービス プリンシパルに付与するには、次の 3 つの識別子が必要です:
-
principalId: アプリの役割を割り当てるクライアント サービス プリンシパルの id。
-
resourceId: アプリの役割 (アプリケーションのアクセス許可) を定義するリソース servicePrincipal (API) の id。
-
appRoleId: クライアント サービス プリンシパルに割り当てる appRole (リソース サービス プリンシパルで定義されている) の id。
この API は、次の国内クラウド展開で使用できます。
| グローバル サービス |
米国政府機関 L4 |
米国政府機関 L5 (DOD) |
21Vianet が運営する中国 |
| ✅ |
✅ |
✅ |
✅ |
アクセス許可
この API の最小特権としてマークされているアクセス許可またはアクセス許可を選択します。
アプリで必要な場合にのみ、より高い特権のアクセス許可またはアクセス許可を使用します。 委任されたアクセス許可とアプリケーションのアクセス許可の詳細については、「アクセス許可の種類」を参照してください。 これらのアクセス許可の詳細については、「アクセス許可のリファレンス」を参照してください。
| アクセス許可の種類 |
最小特権アクセス許可 |
より高い特権のアクセス許可 |
| 委任 (職場または学校のアカウント) |
AppRoleAssignment.ReadWrite.All と Application.Read.All |
AppRoleAssignment.ReadWrite.All と Directory.Read.All |
| 委任 (個人用 Microsoft アカウント) |
サポートされていません。 |
サポートされていません。 |
| アプリケーション |
AppRoleAssignment.ReadWrite.All と Application.Read.All |
AppRoleAssignment.ReadWrite.All と Directory.Read.All |
重要
職場または学校アカウントを使用した委任されたシナリオでは、サインインしているユーザーに、サポートされているMicrosoft Entraロールまたはサポートされているロールのアクセス許可を持つカスタム ロールを割り当てる必要があります。 この操作では、次の最小特権ロールがサポートされています。
- ディレクトリ同期アカウント - Microsoft Entra接続とクラウド同期サービスのMicrosoft Entra
- ディレクトリ ライター
- ハイブリッド ID 管理者
- ID ガバナンス管理者
- 特権ロール管理者
- ユーザー管理者
- アプリケーション管理者
- クラウド アプリケーション管理者
HTTP 要求
サービス プリンシパルは、 その ID または appId を使用してアドレス指定できます。
id と appId は、Microsoft Entra 管理センターのアプリ登録でそれぞれオブジェクト ID とアプリケーション (クライアント) ID と呼ばれます。
POST /servicePrincipals/{id}/appRoleAssignments
POST /servicePrincipals(appId='{appId}')/appRoleAssignments
| 名前 |
説明 |
| Authorization |
ベアラー {token}。 必須です。
認証と認可についての詳細をご覧ください。 |
| Content-type |
application/json. 必須です。 |
要求本文
要求本文で、appRoleAssignment オブジェクトの JSON 表記を指定します。
応答
成功した場合、このメソッドは 201 Created 応答コードと、応答本文で appRoleAssignment オブジェクトを返します。
例
要求
次の例は要求を示しています。
POST https://graph.microsoft.com/v1.0/servicePrincipals/9028d19c-26a9-4809-8e3f-20ff73e2d75e/appRoleAssignments
Content-Type: application/json
{
"principalId": "9028d19c-26a9-4809-8e3f-20ff73e2d75e",
"resourceId": "8fce32da-1246-437b-99cd-76d1d4677bd5",
"appRoleId": "498476ce-e0fe-48b0-b801-37ba7e2685c6"
}
// Code snippets are only available for the latest version. Current version is 5.x
// Dependencies
using Microsoft.Graph.Models;
var requestBody = new AppRoleAssignment
{
PrincipalId = Guid.Parse("9028d19c-26a9-4809-8e3f-20ff73e2d75e"),
ResourceId = Guid.Parse("8fce32da-1246-437b-99cd-76d1d4677bd5"),
AppRoleId = Guid.Parse("498476ce-e0fe-48b0-b801-37ba7e2685c6"),
};
// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=csharp
var result = await graphClient.ServicePrincipals["{servicePrincipal-id}"].AppRoleAssignments.PostAsync(requestBody);
プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。
mgc service-principals app-role-assignments create --service-principal-id {servicePrincipal-id} --body '{\
"principalId": "9028d19c-26a9-4809-8e3f-20ff73e2d75e",\
"resourceId": "8fce32da-1246-437b-99cd-76d1d4677bd5",\
"appRoleId": "498476ce-e0fe-48b0-b801-37ba7e2685c6"\
}\
'
プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。
// Code snippets are only available for the latest major version. Current major version is $v1.*
// Dependencies
import (
"context"
"github.com/google/uuid"
msgraphsdk "github.com/microsoftgraph/msgraph-sdk-go"
graphmodels "github.com/microsoftgraph/msgraph-sdk-go/models"
//other-imports
)
requestBody := graphmodels.NewAppRoleAssignment()
principalId := uuid.MustParse("9028d19c-26a9-4809-8e3f-20ff73e2d75e")
requestBody.SetPrincipalId(&principalId)
resourceId := uuid.MustParse("8fce32da-1246-437b-99cd-76d1d4677bd5")
requestBody.SetResourceId(&resourceId)
appRoleId := uuid.MustParse("498476ce-e0fe-48b0-b801-37ba7e2685c6")
requestBody.SetAppRoleId(&appRoleId)
// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=go
appRoleAssignments, err := graphClient.ServicePrincipals().ByServicePrincipalId("servicePrincipal-id").AppRoleAssignments().Post(context.Background(), requestBody, nil)
プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。
// Code snippets are only available for the latest version. Current version is 6.x
GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);
AppRoleAssignment appRoleAssignment = new AppRoleAssignment();
appRoleAssignment.setPrincipalId(UUID.fromString("9028d19c-26a9-4809-8e3f-20ff73e2d75e"));
appRoleAssignment.setResourceId(UUID.fromString("8fce32da-1246-437b-99cd-76d1d4677bd5"));
appRoleAssignment.setAppRoleId(UUID.fromString("498476ce-e0fe-48b0-b801-37ba7e2685c6"));
AppRoleAssignment result = graphClient.servicePrincipals().byServicePrincipalId("{servicePrincipal-id}").appRoleAssignments().post(appRoleAssignment);
プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。
const options = {
authProvider,
};
const client = Client.init(options);
const appRoleAssignment = {
principalId: '9028d19c-26a9-4809-8e3f-20ff73e2d75e',
resourceId: '8fce32da-1246-437b-99cd-76d1d4677bd5',
appRoleId: '498476ce-e0fe-48b0-b801-37ba7e2685c6'
};
await client.api('/servicePrincipals/9028d19c-26a9-4809-8e3f-20ff73e2d75e/appRoleAssignments')
.post(appRoleAssignment);
プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。
<?php
use Microsoft\Graph\GraphServiceClient;
use Microsoft\Graph\Generated\Models\AppRoleAssignment;
$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);
$requestBody = new AppRoleAssignment();
$requestBody->setPrincipalId('9028d19c-26a9-4809-8e3f-20ff73e2d75e');
$requestBody->setResourceId('8fce32da-1246-437b-99cd-76d1d4677bd5');
$requestBody->setAppRoleId('498476ce-e0fe-48b0-b801-37ba7e2685c6');
$result = $graphServiceClient->servicePrincipals()->byServicePrincipalId('servicePrincipal-id')->appRoleAssignments()->post($requestBody)->wait();
プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。
Import-Module Microsoft.Graph.Applications
$params = @{
principalId = "9028d19c-26a9-4809-8e3f-20ff73e2d75e"
resourceId = "8fce32da-1246-437b-99cd-76d1d4677bd5"
appRoleId = "498476ce-e0fe-48b0-b801-37ba7e2685c6"
}
New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $servicePrincipalId -BodyParameter $params
プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。
# Code snippets are only available for the latest version. Current version is 1.x
from msgraph import GraphServiceClient
from msgraph.generated.models.app_role_assignment import AppRoleAssignment
# To initialize your graph_client, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=python
request_body = AppRoleAssignment(
principal_id = UUID("9028d19c-26a9-4809-8e3f-20ff73e2d75e"),
resource_id = UUID("8fce32da-1246-437b-99cd-76d1d4677bd5"),
app_role_id = UUID("498476ce-e0fe-48b0-b801-37ba7e2685c6"),
)
result = await graph_client.service_principals.by_service_principal_id('servicePrincipal-id').app_role_assignments.post(request_body)
プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。
この例では、サービス プリンシパル ID として要求 URL (9028d19c-26a9-4809-8e3f-20ff73e2d75e) に使用される値は、本文内の principalId プロパティと同一であるという点に注意してください。
resourceId 値は、リソース サービス プリンシパルのID (API) です。
応答
次の例は応答を示しています。
注: ここに示す応答オブジェクトは、読みやすさのために短縮されている場合があります。
HTTP/1.1 201 Created
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#appRoleAssignments/$entity",
"id": "2jLOj0YSe0OZzXbR1Gd71fDqFUrPM1xIgUfvWBHJ9n0",
"createdDateTime": "2021-02-15T16:39:38.2975029Z",
"appRoleId": "498476ce-e0fe-48b0-b801-37ba7e2685c6",
"principalDisplayName": "Fabrikam App",
"principalId": "9028d19c-26a9-4809-8e3f-20ff73e2d75e",
"principalType": "ServicePrincipal",
"resourceDisplayName": "Microsoft Graph",
"resourceId": "8fce32da-1246-437b-99cd-76d1d4677bd5"
}