Azure AD ID およびアクセス管理 API の概要
Azure Active Directory (Azure AD) は、ID およびアクセス管理 (IAM) を集中管理し、アプリ、デバイス、サービス、およびインフラストラクチャの間でのセキュアで生産性の高いアクセスを可能にします。 組織では、Azure AD を使用することにより、オンプレミス、ハイブリッド、およびクラウドの各環境において、ID およびコントロール アクセスを管理することができます。
Microsoft Graph で Azure AD REST API を使用することにより、Azure AD のリソースとサード パーティ サービスの間での固有ワークフローを作成することができます。
Azure AD API を使用する理由
1500 万を超える組織で Azure AD が使用されており、さらに、Microsoft 365、Microsoft Azure、Enterprise Mobility Suite などの Microsoft クラウド サービスのサブスクリプションを取得しています。
企業開発者は、Microsoft Graph を使用することにより、Azure AD ID 管理と他のサービスを統合して、従業員研修 (および終了)、プロファイル管理、ライセンス展開などの管理ワークフローを自動化します。
多くの企業開発者にとって Microsoft Graph および Azure AD は、既存のアプリケーションをクラウドに「リフトおよびシフト」して、組織のデジタル変換のスピードを上げるのに役立ちます。 Azure AD のさまざまな機能を利用することにより、ユーザーのグループ メンバーシップ、ディレクトリの役割、または管理単位メンバーシップの確認など、アクセス制御メカニズムをアプリケーションに追加できます。
Microsoft Graph および Azure AD を、Azure AD サービスをすでに使用している Fortune 500 企業の 90% を含む 1500 万を超える組織にすばやく容易に達する手段として使用できます。 統合アプリケーションでは、シームレスなサインイン エクスペリエンスを利用することができ、既存の組織データを使用してカスタマイズしたエクスペリエンスを作成することができます。
Microsoft Graph で Azure AD API を使用することにより、ユーザーのプロファイルについてのクエリの実行、他のユーザーの検索、組織の関係の管理、課題の追跡、既存の組織データを取り入れたオリジナル ソリューションの作成が可能です。 これらの API は、複数のカスタム ビジネス アプリケーションを、組織の既存のデジタル サービスにシームレスに統合するための強固な基盤を提供します。
ユーザーとグループを管理する
Microsoft Graph で Azure AD API を使用することにより、次のことを実行できます:
- 組織内のユーザーの名前、写真、電子メール アドレス、役職、勤務先所在地やその他のユーザー プロファイル情報を検索し、管理する。
- 組織内のプロジェクトおよびチームのグループを作成する。 グループからメンバーを追加および削除し、リソースへのアクセスを制御する。 (動的グループでは、ユーザー プロパティの値に基づいてメンバーシップを自動的に変更することができます。)
- グループのリストで推移性のメンバーシップをチェックしたり、汎用リソース ID のリストから指定したタイプ (ユーザーやグループなど) のリソースすべてを取得したりしてアクセスを制御できます。
ディレクトリ ロールを管理する
事前定義済みの Azure AD 管理ディレクトリ ロールにユーザーを割り当てることができます。これにより、特定のタスクを実行するための許可を付与できます。
デバイスを管理する
組織に登録されているデバイスを管理します。 デバイスはユーザーに登録されており、ノート PC、デスクトップ、タブレット、携帯電話などのアイテムを含みます。 デバイスは通常、Device Registration Service を使用するか、Microsoft Intune によって、クラウドで作成されます。 これは、多要素認証の条件付きアクセス ポリシーで使用されます。
パートナー テナント管理
Microsoft オンライン サービス (Microsoft 365、Microsoft Azure、CRM オンラインなど) を再販し、管理する Microsoft パートナーは、現在管理している組織テナントを表示できます。
テナントに関連付けられているドメインを管理することもできます。 ドメイン操作によって Microsoft パートナーは、Microsoft 365 などのサービスのドメインの登録を自動化することができます。
テナント管理
テナント管理用 Azure AD API により、次のことを実行できます:
- 会社住所、技術部連絡先、通知連絡先、アクティブなサービス サブスクリプション、それに関連付けられているドメインなど、組織に関する情報を取得します。
- 会社のサブスクライブ先のサービス SKU に関する情報を取得します。
- 組織に外部 (ゲスト) ユーザーを招待します。
ID リスクの監視
ほとんどのセキュリティ侵害は、攻撃者がユーザーの ID を盗んだ結果としてなされており、第三者による侵害、パスワード スプレー攻撃、および高度なフィッシング攻撃を利用することで、ますます威力が増してきています。 したがって、ユーザー アカウントのすべてをそのような攻撃から保護し、無防備な ID が悪用されるのを事前に防ぐ必要があります。
Azure AD では、アカウントが無防備である可能性を示す異常を検出するために、アダプティブ機械学習アルゴリズムや経験則を使用します。 そのデータを使用することにより、Azure AD Identity Protection は、リスク ベースの条件アクセス ポリシーでユーザーを保護し、レポートを生成し、検出された場合にはそれを通知します。
現在、Microsoft Graph では、Azure AD Premium P2 のお客様が Identity Protection によって検出されたリスク イベントのクエリを行って、リスク イベントの種類、重大度、発生した日時、場所、影響を受けたユーザーなどの情報を簡単に取得できるようになっています。 お客様は、取得したイベント情報を SIEM システムやセキュリティ アプリケーションで利用できます。
組織のリソースへのアクセスを確認する
組織内のグループ、アプリケーション、特権ロールへのアクセスを確認します。 アクセス レビューの機能は Azure AD Premium P2 で利用できます。
特権ロールにユーザーをアクティブにする
特権 ID 管理 (PIM) API を使用して、必要に応じて管理者特権をアクティブ化します。 特権ロールのアクターに対して、ロールのアクティブ化と多要素認証の必須の正当な理由を適用します。
API リファレンス
このサービスの API リファレンスをお探しですか?
次のステップ
- Azure AD REST API の使用方法を確認する。
- Azure AD を使用して Microsoft Graph の認証を実行する。
- Azure AD サインインをアプリまたは Web サイトに統合する
- Azure AD API の最新情報については、Changelog を参照してください。
- Microsoft Graph の使用方法についてのさらに多くのアイデアについては、「サンプル」を参照してください。