英語で読む

次の方法で共有


Microsoft Graph Data Connect アプリの承認

Microsoft Graph Data Connect アプリの承認エクスペリエンスは、Microsoft 365 管理センターに組み込まれています。 Data Connect アプリケーションを承認できるのは、グローバル管理者だけです。 organizationのアプリを承認するには、グローバル管理者は Microsoft Graph Data Connect 承認ポータルに移動し、[組織の設定] で [セキュリティ & プライバシー] タブを選択し、次の図に示すように [Microsoft Graph Data Connect アプリケーション] を選択します。

[組織の設定]、[セキュリティ & プライバシー] タブ、Microsoft Graph Data Connect アプリが強調表示されているスクリーンショット。

アプリの概要ビュー

Data Connect アプリケーション ポータルのランディング ページでは、次の図に示すように、関心がある可能性があるすべての Data Connect アプリケーションを簡単に表示できます。

Data Connect ポータルのアプリのクイック ビューのスクリーンショット。

ポータルには、次の種類のアプリケーションがあります。

  • シングルテナント アプリ — テナントに登録され、データへのアクセスが必要なアプリケーション。 通常、これらのアプリはエンタープライズ シナリオです。
  • マルチテナント アプリケーション - 別のテナントでホストされ、テナントからのデータへのアクセスが必要なアプリケーション。 これらのアプリは通常、独立系ソフトウェア ベンダー (ISV) のシナリオです。 これらのアプリを注意深く確認してください。 マルチテナント アプリを承認すると、テナントのデータをアプリ開発者のテナントに移行できます。

すべてのシングルテナント アプリは、既定でテーブルに設定されます。 テーブルには、承認、拒否、または期限切れのマルチテナント アプリのみが含まれます。 次の状態の他のアプリがテーブルに表示される場合があります。

  • 保留中の承認 — 保留中のアクションのアプリ。 この状態は、シングルテナント アプリでのみ可能です。 この状態のアプリは実行時に常に失敗します。
  • 承認済み — 管理者がテナントの Microsoft 365 データへのアクセスを承認したアプリ。
  • 拒否 - 管理者がテナントの Microsoft 365 データへのアクセスを拒否したアプリ。 この状態のアプリは実行時に常に失敗します。
  • 期限切れ — 管理者がテナントの Microsoft 365 データへのアクセスを承認したが、承認の有効期限が切れたアプリ。 この状態のアプリは実行時に常に失敗します。
  • 利用可能な更新プログラム - 管理者が以前に確認して操作したが、現在は更新されたアプリ。 この状態のアプリは、以前の承認に従って引き続き動作します。 管理者が新しい承認を提供すると、アプリの新しい定義によって古い承認が上書きされます。

アプリの詳細ビュー

テーブルからアプリを選択してアプリの詳細ビューを起動します。これにより、アプリに必要なデータに関する詳細情報が提供されます。 このウィザード エクスペリエンスでは、関連するデータ アクセスの詳細について説明します。 ウィザードを完了すると、最後にアプリを承認または拒否できます。 次の図は、アプリの詳細ビューを示しています。

Data Connect ポータルのアプリの詳細ビューを示すスクリーンショット。

まず、ウィザードにアプリケーションに関する概要情報が表示されます。

  • 開発者 — アプリケーションを登録した開発者のユーザー名。

  • データの送信先 — データが配信されるシンク。 承認された場合、このアプリは、要求されたデータを一覧表示されたシンク内の任意の場所に移動できます。

  • アプリ発行元 — アプリが登録されているMicrosoft Entraテナント ID。 シングルテナント アプリの場合、この値はテナントと同じMicrosoft Entraテナント ID です。

次に、ウィザードには複数のデータセット ステップが含まれています。アプリに登録されているデータセットごとに 1 ステップです。 各ページには、各データセットの関連情報が表示されます。 以下に例を示します。

  • [列] - アプリが Data Connect 経由で抽出する列を指定します。 承認された場合、このアプリは、指定されたデータセットの承認済み列のサブセットを抽出できます。

  • [スコープ] - アプリが Data Connect 経由で抽出するスコープ (ユーザーの選択) を指定します。 スコープの詳細については、「 Microsoft Graph Data Connect を使用してデータセットのスコープを定義する」を参照してください。

承認がさまざまなスコープでどのように機能するかの詳細については、「 パイプライン実行時の承認検証」を参照してください。

Data Connect ポータルの承認検証レビュー ページを示すスクリーンショット。

最後に、確認するアプリに関する重要な情報がウィザードによって確認されます。 [ 承認]、[ 辞退]、または [キャンセル] を選択できます。 アプリに対するアクションは、すべてまたは何もありません。 アプリを承認するということは、前の手順で指定したすべてのアクセスを承認していることを意味します。

承認は 180 日間有効であり、その後は 期限切れと見なされます。 承認を更新するために、管理者は、Microsoft 365 管理センターでアプリケーションの詳細を見直し、承認をさらに 180 日間承認できます。 承認を取り消すために、管理者はMicrosoft 365 管理センターにアクセスしてアプリケーションの承認を拒否することもできます。

アプリを承認すると、次のエラー メッセージが表示される場合があります。

  • App approver and owner cannot be the same user.
  • App registration not found. It is possible someone deleted this app.

予期しないエラーが発生した場合、エラー メッセージにエラー コードが含まれます。 Microsoft サポートと共有するには、このエラー コードをメモしておきます。

マルチテナント アプリケーションの検出

マルチテナント アプリケーションを検出するには、アプリの概要テーブル の上にある [新しいマルチテナント アプリの追加] を選択します。 テナントでテナント間データ移行が有効になっている場合は、2 つのテキスト ボックスが表示されます。 アプリケーション ID とテナント ID を入力した後、[ 検索] を選択すると、ポータルで検索するアプリのアプリの詳細ビューが起動します。

Data Connect ポータルでマルチテナント アプリを追加するためのページを示すスクリーンショット。

Microsoft 365 監査ログ

Microsoft Graph Data Connect アプリ承認エクスペリエンスは、Microsoft 365 監査ログと統合されています。 管理者が Data Connect アプリケーションを承認または拒否すると、監査可能なイベントが、承認または拒否された内容に関する関連データを含む Microsoft 365 監査ログに出力されます。 Data Connect 承認イベントの監査ログを検索するには、次のいずれかのフィールドを使用します。

  • ワークロード - MicrosoftGraphDataConnect

  • レコードの種類 - MicrosoftGraphDataConnectConsent

  • アクティビティ - アプリを承認または拒否しました ( Microsoft Graph Data Connect アクティビティの場合)

Microsoft 365 監査ログのサンプル ページを示すスクリーンショット。

パイプライン実行時の承認の検証

実行時に、Data Connect は、テナント内のすべての承認に対して受信要求を検証します。 一致する承認が見つかった場合、ジョブは続行されます。 承認が検出されない場合、ジョブは失敗します。 承認を待機しているときに、Data Connect が ConsentPending でストールしなくなりました。 承認の検証が失敗した場合、ジョブが既存のアプリの承認と一致しなかった理由に関する特定のエラー メッセージが表示されます。

実行時に適用される承認検証には、次のものが含まれます。

  • 受信要求のアプリケーション ID は、承認されたアプリと一致します。
  • 見つかったアプリの承認が承認されます。
  • 受信要求のアプリケーションのテナント ID は、見つかったアプリ承認のアプリ登録テナント ID と一致します。
  • 受信要求のデータセットは、検出されたアプリ承認のデータセットの 1 つです。
  • 受信要求の列は、要求されたデータセットに対して承認された列のサブセットです。
  • 宛先テナント ID は、見つかったアプリ承認の宛先テナント ID と一致します。
  • 受信要求の宛先の場所は、検出されたアプリの承認の宛先シンクに含まれています。
  • 受信要求のスコープは、検出されたアプリ承認のスコープと一致します。
    • アプリがテナント内のすべてのユーザー/グループに対して承認されている場合、任意のスコープがこの検証に合格します。
    • アプリがグループの一覧に対して承認されている場合、承認されたグループのサブセットは、この検証に合格します。
    • アプリがスコープ フィルター URI に対して承認されている場合、受信要求は承認された値と正確に一致する必要があります。