Microsoft 365 利用状況レポートを読み込むための API 用の承認

Microsoft Graph レポート API 経由でアクセス可能なレポート データは、機密性が高いデータです。 特に、Microsoft 365 使用状況レポートは、アクセス許可とMicrosoft Entraロールの両方によって保護されます。 この記事の情報は、Microsoft 365 利用状況レポートを読み取るレポート API に適用されます。

Microsoft 365 利用状況レポートを読み取るための API では、2 種類の承認がサポートされています。

• アプリケーション レベル承認 - サインインしているユーザーがいない場合でも、すべてのサービス利用状況レポートの読み取りをアプリが実行できるようにします。 アプリケーションに付与されたアクセス許可によって、承認が決定します。
• ユーザーにより委任された承認 - サインインしているユーザーの代わりに、すべてのサービス利用状況レポートの読み取りをアプリが実行できるようにします。 アプリに必要なアクセス許可が付与されているだけでなく、ユーザーは制限付き管理者ロールMicrosoft Entra IDメンバーである必要があります。 これに当てはまるのは、次のいずれかのロールになります: 社内管理者、Exchange 管理者、SharePoint サービス管理者、Lync 管理者、Teams サービス管理者、Teams 通信管理者、グローバル閲覧者、またはレポート閲覧者。 グローバル閲覧者と利用状況の概要レポート閲覧者ロールは、テナント レベルのデータにのみアクセスでき、詳細なメトリックは表示されません。

API を Graph エクスプローラーから呼び出す場合:

• Microsoft Entraテナント管理者は、Graph エクスプローラー アプリケーションに対して、要求されたアクセス許可に対する同意を明示的に付与する必要があります。
• ユーザーは、Microsoft Entra IDの制限付き管理者ロールのメンバーである必要があります。ユーザー委任承認については、上記の一覧を参照してください。

注:

Graph エクスプローラーでは、アプリケーション レベルの承認がサポートされていません。

API をアプリケーションから呼び出す場合:

• Microsoft Entra テナント管理者は、アプリケーションに明示的に同意を付与する必要があります。 これは、アプリケーション レベルの承認と、ユーザーにより委任された承認の両方に必要です。
• ユーザー委任承認を使用している場合、サインインしているユーザーは、Microsoft Entra IDの制限付き管理者ロールのメンバーである必要があります。

Microsoft Entra ロールをユーザーに割り当てる

アプリケーションにアクセス許可が付与されると、アプリケーションへのアクセス権を持つすべてのユーザー (つまり、Microsoft Entra テナントのメンバー) は、付与されたアクセス許可を受け取ります。 機密レポート データをさらに保護するには、テナント管理者がアプリケーションのユーザーに適切なMicrosoft Entra ロールを割り当てる必要があります。 詳細については、「Microsoft Entra IDの管理者ロールのアクセス許可」および「Microsoft Entra IDを持つユーザーに管理者ロールと管理者以外のロールを割り当てる」を参照してください。

注:

この手順を実行するには、テナント管理者である必要があります。

ユーザーにロールを割り当てるには:

1. Microsoft Entra 管理センターにサインインします。
2. [ID] メニュー > [ユーザー] を展開し>、[すべてのユーザー] を選択します。
3. ユーザーを選択します。
4. [割り当てられている役割]、[割り当ての追加] の順に選択します。
5. 適切なオプションを選択し、[追加] をクリックします。