Exchange Web サービス (EWS) と Microsoft Graph の認証の違い
Exchange Web Services (EWS) と Microsoft Graph では、認証と承認に Microsoft ID プラットフォーム OAuth 2.0 が使用されます。
注:
EWS では現在、基本認証もサポートされています。 基本認証は非推奨 であり、Microsoft 365 組織全体で非アクティブ化されています。 Microsoft Graph では基本認証がサポートされていないため、OAuth 2.0 にまだ移行されていないアプリは、Microsoft Graph にアクセスするためにそうする必要があります。
アクセス許可
EWS と Microsoft Graph には、委任されたアクセス許可とアプリケーションの 2 種類のアクセス許可が用意されています。 委任されたアクセス許可は、認証されたユーザーのコンテキストにあります。 アプリケーションのアクセス許可は、ユーザーの代わりに動作しないアプリケーションに付与されます。
EWS では、アプリケーションは、ユーザーがアクセスできるすべてのもの (委任されたアクセス許可の場合) または EWS がアクセスできるすべてのもの (アプリケーションのアクセス許可を持つ) にアクセスできます。
EWS には、すべてまたは何もアクセス モデルがなく、メールボックス内のデータ アクセスを制限するための詳細なスコープはありません。 一方、Microsoft Graph では、Exchange Online メールボックス内の特定の機能に対する詳細なアクセス許可が提供されます。 たとえば、アプリケーションがメール メッセージのみを読み取り、予定表や連絡先にアクセスできないようにすることができます。 委任された認証の有効なアクセス許可は、ユーザーの特権と、アプリケーションに対して同意されたアクセス許可の積集合です。 アプリケーション認証の場合、有効なアクセス許可は、管理者が同意したアクセス許可のセットです。
Exchange 関連の Microsoft Graph アクセス許可の完全な一覧については、次を参照してください。
偽装
EWS 偽装 は、サービス アカウントとして実行される EWS アプリケーションがユーザーとして機能するメカニズムを提供します。 これにより、偽装されたユーザーから送信されたように見えるメールの送信などのアクションをアプリで実行できます。
Microsoft Graph では、サービス アカウントはありません。 代わりに、アクセス許可はアプリケーションに直接付与されます。 アプリケーションは、独自の ID で クライアント資格情報フロー を使用して認証します。 既定では、管理者の同意によってすべてのユーザーのメールボックスへのアクセスが許可されますが、アプリは管理者が 特定のメールボックスに制限 できます。 Microsoft Graph で偽装を実現する方法は、アプリ アクセス ポリシーとアプリケーションのアクセス許可を使用することです。