次の方法で共有


アプリケーション認証の管理Behaviors

アプリケーション オブジェクトの authenticationBehaviors プロパティを使用すると、トークンの発行に関連する破壊的変更動作を構成できます。 アプリケーションでは、動作を有効にすることで新しい破壊的変更を採用したり、既存の動作を無効にして引き続き使用したりできます。

次の動作を構成できます。

注:

現在、アプリケーション オブジェクトの authenticationBehaviors プロパティは、 beta でのみ使用できます。

アプリケーションの authenticationBehaviors 設定を読み取る

authenticationBehaviors プロパティは、$select要求でのみ返されます。

テナント内のすべてのアプリのプロパティとその他の指定されたプロパティを読み取るために、次のサンプル要求を実行します。 要求は、 200 OK 応答コードと、選択したプロパティのみを表示するアプリケーション オブジェクトの JSON 表現を返します。

GET https://graph.microsoft.com/beta/applications?$select=id,displayName,appId,authenticationBehaviors

1 つのアプリの authenticationBehaviors プロパティのみを読み取る場合は、次のサンプル要求を実行します。

GET https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e/authenticationBehaviors

appId プロパティは、次のように使用することもできます。

GET https://graph.microsoft.com/beta/applications(appId='37bf1fd4-78b0-4fea-ac2d-6c82829e9365')/authenticationBehaviors

未確認のドメイン所有者による電子メール要求の発行を防止する

Microsoft セキュリティ アドバイザリ「Microsoft Entra アプリケーションでの特権エスカレーションの潜在的なリスク」で説明されているように、アプリは承認のために電子メール要求を使用しないでください。 アプリケーションが承認またはプライマリ ユーザー識別の目的で電子メール要求を使用する場合、アカウントと特権のエスカレーション攻撃の対象となります。 不正アクセスのこのリスクは、次のシナリオで特に特定されます。

  • ユーザー オブジェクトの mail 属性に未確認のドメイン所有者を持つメール アドレスが含まれている場合
  • あるテナントのユーザーが 、メール 属性を変更して別のテナントからリソースにアクセスする権限をエスカレートできるマルチテナント アプリの場合

テナントでこれらのケースを特定する方法の詳細については、「 ユーザー識別または承認のために電子メール要求を使用しないように移行する」を参照してください。

現在の既定の動作では、シングルテナント アプリと、以前のサインイン アクティビティが未確認のメールを含むマルチテナント アプリを除き、要求で未確認のドメイン所有者を持つメール アドレスを削除します。 アプリがこれらの例外のいずれかに該当し、未確認のメール アドレスを削除する場合は、次の例に示すように、authenticationBehaviorsremoveUnverifiedEmailClaim プロパティを true に設定します。 要求は、204 No Content 応答コードを返します。

未確認のドメイン所有者のメール アドレスを要求から削除する

オプション 1

要求 URL で プロパティを指定するこのパターンを使用すると、要求で指定したプロパティ のみを 更新できます。

PATCH https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e/authenticationBehaviors
Content-Type: application/json

{
    "removeUnverifiedEmailClaim": true
}

オプション 2

要求本文で プロパティを指定するこのパターンを使用すると、同じ要求内の他のピア プロパティを更新できます。

PATCH https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e
Content-Type: application/json

{
    "authenticationBehaviors": {
        "removeUnverifiedEmailClaim": true
    }
}

要求で未確認のドメイン所有者を持つメール アドレスを受け入れる

オプション 1

PATCH https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e/authenticationBehaviors
Content-Type: application/json

{
    "removeUnverifiedEmailClaim": false
}

オプション 2

PATCH https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e
Content-Type: application/json

{
    "authenticationBehaviors": {
        "removeUnverifiedEmailClaim": false
    }
}

既定の動作を復元する

オプション 1

PATCH https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e/authenticationBehaviors
Content-Type: application/json

{
    "removeUnverifiedEmailClaim": null
}

オプション 2

PATCH https://graph.microsoft.com/beta/applications/03ef14b0-ca33-4840-8f4f-d6e91916010e/
Content-Type: application/json

{
    "authenticationBehaviors": {
        "removeUnverifiedEmailClaim": null
    }
}

2025 年 6 月 30 日まで Azure AD Graph の拡張アクセスを許可する

既定では、2024 年 8 月 31 日以降に作成されたアプリケーションでは、Azure AD Graph API への要求を行うときに、拡張 Azure AD Graph アクセスを許可するように構成されていない限り、 403 Unauthorized エラーが発生します。 さらに、2024 年 8 月 31 日より前に作成され、Azure AD Graph API への要求を行う既存のアプリは、2025 年 2 月 1 日までに拡張された Azure AD Graph アクセスを許可するように構成する必要があります。 この拡張アクセスは、Azure AD Graph が完全に廃止された 2025 年 6 月 30 日までしか使用できません。 この日付以降、すべてのアプリは、拡張アクセス構成に関係なく、Azure AD Graph API への要求を行うときに 403 Unauthorized エラーを受け取ります。 詳細については、「2024 年 6 月の Azure AD Graph API廃止に関する更新プログラム」を参照してください。

次の要求は、アプリを更新して拡張 Azure AD Graph アクセスを有効にする方法を示しています。 要求は、204 No Content 応答コードを返します。

オプション 1

PATCH https://graph.microsoft.com/beta/applications/5c142e6f-0bd3-4e58-b510-8a106704f44f/authenticationBehaviors
Content-Type: application/json

{
    "blockAzureADGraphAccess": false
}

オプション 2

PATCH https://graph.microsoft.com/beta/applications/5c142e6f-0bd3-4e58-b510-8a106704f44f
Content-Type: application/json

{
    "authenticationBehaviors": {
        "blockAzureADGraphAccess": false
    }
}