Microsoft Entra ID でタブアプリを構成する

[アーティクル]
11/14/2023

Microsoft Entra ID を使用すると、アプリユーザーの Teams ID に基づいてタブアプリにアクセスできます。 Teams にサインインしたアプリユーザーにタブアプリへのアクセス権を付与できるように、タブアプリを Microsoft Entra ID で登録します。

Microsoft Entra ID で SSO を有効にする

タブアプリを Microsoft Entra ID に登録し、SSO 用に有効にするには、アプリ ID の生成、API スコープの定義、信頼されたアプリケーションのクライアント ID の事前認証などのアプリ構成を行う必要があります。

アクセストークンを Teams クライアントアプリに送信するようにMicrosoft Entra ID を構成する

Microsoft Entra ID で新しいアプリ登録を作成し、スコープ (アクセス許可) を使用してその (Web) API を公開します。 Microsoft Entra ID で公開されている API とアプリの間に信頼関係を構成します。これにより、Teams クライアントは、アプリケーションとログインユーザーに代わってアクセストークンを取得できます。事前認証する信頼できるモバイル、デスクトップ、および Web アプリケーションのクライアント ID を追加できます。

また、タブアプリをターゲットにするプラットフォームやデバイスでアプリユーザーを認証するなど、その他の詳細を構成する必要がある場合もあります。

メール、プロファイル、offline_access、OpenId など、ユーザーレベルの Graph API のアクセス許可のみがサポートされます。やなどUser.Read、他の Graph スコープへのアクセスが必要な場合は、「Graph アクセス許可を持つアクセストークンを取得する」を参照Mail.Readしてください。

Microsoft Entra構成では、Teams のタブアプリの SSO が有効になります。アプリユーザーを検証するためのアクセストークンで応答します。

アプリを構成する前に

アプリを Microsoft Entra ID に登録するための構成について事前に学習しておくと便利です。アプリを登録する前に、次の詳細を構成する準備が整っていることを確認します。

単一またはマルチテナントオプション: アプリケーションは、登録されている Microsoft 365 テナントでのみ使用されますか、それとも多くの Microsoft 365 テナントで使用されますか? 1 つのエンタープライズ用に作成されたアプリケーションは、通常、シングルテナントです。独立系ソフトウェアベンダーによって作成され、多くの顧客によって使用されるアプリケーションは、各顧客のテナントがアプリケーションにアクセスできるようにマルチテナントである必要があります。
アプリケーション ID URI: これは、スコープを介してアプリのアクセスのために公開する Web API を識別するグローバルに一意の URI です。識別子 URI とも呼ばれます。アプリケーション ID URI には、アプリ ID と、アプリがホストされているサブドメインが含まれます。アプリケーションのドメイン名と、Microsoft Entra アプリケーションに登録するドメイン名は同じである必要があります。現在、アプリごとの複数のドメインはサポートされていません。
スコープ: これは、承認されたアプリユーザーまたはアプリが API によって公開されているリソースにアクセスするために付与できるアクセス許可です。

注:

組織用に構築されたカスタムアプリ (LOB アプリ): 組織用に構築されたカスタムアプリ (LOB アプリ) は、organizationまたはビジネス内で内部または特定のアプリです。 organizationは、Microsoft Store を通じてこれらのアプリを利用できるようにします。
顧客が所有するアプリ: SSO は、Azure AD B2C テナント内で顧客が所有するアプリのためにサポートされています。

SSO を有効にするためにMicrosoft Entra ID でアプリを作成して構成するには:

アクセストークンのスコープを構成します。
アクセストークンのバージョンを構成します。

Microsoft Entra ID でアプリを構成する

アクセストークンのスコープとアクセス許可を構成するには、Microsoft Entra ID でタブアプリを構成できます。

MICROSOFT ENTRA ID でアプリを登録し、テナントとアプリのプラットフォームを構成してから、SSO を有効にします。 Microsoft Entra ID では、注意する必要がある新しいアプリ ID が生成されます。後でアプリマニフェスト (以前は Teams アプリマニフェストと呼ばれる) ファイルで更新する必要があります。

注:

Microsoft Teams Toolkit は、MICROSOFT ENTRA アプリケーションを SSO プロジェクトに登録します。 Teams Toolkit を使用してアプリを作成した場合は、このセクションをスキップできます。ただし、アクセス許可とスコープを構成し、クライアントアプリケーションを信頼する必要があります。

Microsoft Entra ID でアプリを登録する方法について説明します

Microsoft Entra ID で新しいアプリを登録するには

Web ブラウザーで Azure portal を開きます。
[アプリの登録] アイコンを選択します。

[アプリの登録] ページが表示されます。
[+ 新しい登録] アイコンを選択します。

[アプリケーション登録] ページが表示されます。
アプリユーザーに表示するアプリの名前を入力します。必要に応じて、後の段階で名前を変更できます。

アプリにアクセスできるユーザーアカウントの種類を選択します。組織のディレクトリ内の単一または複数テナントのオプションから選択することも、個人の Microsoft アカウントにのみアクセスを制限することもできます。

サポートされているアカウントの種類のオプション

オプション	これを以下に選択します...
この組織のディレクトリ内のアカウントのみ (Microsoft のみ - シングルテナント)	テナント内のユーザー (またはゲスト) のみが使用するアプリケーションをビルドします。組織 (LOB アプリ) 用に構築されたカスタムアプリと呼ばれることがよくあります。このアプリは、Microsoft ID プラットフォームのシングルテナントアプリケーションです。
任意の組織ディレクトリ内のアカウント (任意のMicrosoft Entra ID テナント - Multitenant)	任意のMicrosoft Entraテナントのユーザーがアプリケーションを使用できるようにします。このオプションは、たとえば、SaaS アプリケーションを構築していて、複数の組織で使用できるようにする場合に適しています。この種類のアプリは、Microsoft ID プラットフォームのマルチテナントアプリケーションと呼ばれます。
任意の組織ディレクトリ内のアカウント (任意のMicrosoft Entra ID テナント - マルチテナント) と個人用 Microsoft アカウント (Skype、Xbox など)	最も幅広い顧客のセットをターゲットにします。このオプションを選択すると、個人用 Microsoft アカウントを持つアプリユーザーをサポートできるマルチテナントアプリケーションを登録します。
個人用 Microsoft アカウントのみ	個人の Microsoft アカウントを持つユーザー専用のアプリケーションをビルドします。

注:

タブアプリの SSO を有効にするために 「リダイレクト URI」 と入力する必要はありません。

[登録] を選択します。アプリが作成されたことを示すメッセージがブラウザーに表示されます。

アプリ ID とその他の構成を含むページが表示されます。
アプリケーション (クライアント) ID からアプリ ID をメモして保存し、アプリマニフェストを後で更新します。

アプリは、Microsoft Entra ID で登録されます。これで、タブアプリのアプリ ID が作成されました。

アクセストークンのスコープを構成する

新しいアプリ登録を作成したら、Teams クライアントにアクセストークンを送信し、信頼されたクライアントアプリケーションを承認して SSO を有効にするためのスコープ (アクセス許可) オプションを構成します。

スコープを構成し、信頼されたクライアントアプリケーションを承認するには、次のものが必要です。

API を公開するには: アプリのスコープ (アクセス許可) オプションを構成します。 Web API を公開し、アプリケーション ID URI を構成します。
API スコープを構成するには: API のスコープと、スコープに同意できるユーザーを定義します。管理者のみが、より高い特権を持つアクセス許可に対する同意を提供できます。
承認されたクライアントアプリケーションを構成するには: 事前認証するアプリケーションの承認されたクライアント ID を作成します。これにより、アプリユーザーは、追加の同意を必要とせずに、構成したアプリスコープ (アクセス許可) にアクセスできます。アプリユーザーは同意を拒否する機会がないため、信頼できるクライアントアプリケーションのみを事前認証します。

API を公開するには

左側のウィンドウで [管理]>[API の公開] を選択します。

[API の公開] ページが表示されます。
[ 追加] を選択して、の形式 api://{AppID}でアプリケーション ID URI を生成します。

アプリケーション ID URI を設定するためのセクションが表示されます。

ここで説明する形式でアプリケーション ID URI を入力します。

アプリケーション ID

アプリケーション ID URI には、形式api://{AppID}のアプリ ID (GUID) が事前に入力されています。
アプリケーション ID URI 形式はである必要があります。 api://fully-qualified-domain-name.com/{AppID}
fully-qualified-domain-name.com を api:// と {AppID} (つまり GUID) の間に挿入します。たとえば、api://example.com/{AppID} です。

ここで、

fully-qualified-domain-name.com は、アプリを提供する人間が判読できるドメイン名です。アプリケーションのドメイン名と、Microsoft Entra アプリケーションに登録するドメイン名は同じである必要があります。

ngrok などのトンネリングサービスを使用している場合は、ngrok サブドメインが変更される度にこの値を更新する必要があります。
AppID は、アプリを登録したときに生成されたアプリ ID (GUID) です。 [概要] セクションで表示できます。

重要

機密情報: アプリケーション ID URI は認証プロセスの一部としてログに記録され、機密情報を含めることはできません。
複数の機能を持つアプリのアプリケーション ID URI: ボット、メッセージング拡張機能、タブを使用してアプリを構築する場合は、アプリケーション ID URI をとして api://fully-qualified-domain-name.com/botid-{YourClientId}入力します。{YourClientId} はボットアプリ ID です。

ドメイン名の形式: ドメイン名には小文字を使用します。大文字を使用しないでください。

たとえば、リソース名を持つアプリサービスまたは Web アプリを作成するには、 demoapplication

使用される基本リソース名以下の場合	URL は次のようになります...	形式は以下でサポートされています...
demoapplication	`https://demoapplication.example.net`	すべてのプラットフォーム。
DemoApplication	`https://DemoApplication.example.net`	デスクトップ、Web、および iOS のみ。 Android ではサポートされていません。

基本リソース名として小文字のオプション demoapplication を使用します。

[保存] を選択します。

アプリケーション ID URI が更新されたことを示すメッセージがブラウザーに表示されます。

アプリケーション ID URI がページに表示されます。
アプリケーション ID URI をメモして保存して、アプリマニフェストを後で更新します。

API スコープを構成するには

[この API で定義されたスコープ] セクションで [+ スコープの追加] を選択します。

[スコープの追加] ページが表示されます。
スコープを構成するための詳細を入力します。
1. スコープ名を入力します。このフィールドは必須です。
2. このスコープに同意できるユーザーを選択します。既定のオプションは [管理者のみ] です。
3. 管理同意表示名を入力します。このフィールドは必須です。
4. 管理者の同意の説明を入力します。このフィールドは必須です。
5. [ユーザーの同意表示名] を入力します。
6. ユーザー同意の説明を入力します。
7. 状態の [有効] オプションを選択します。
8. [スコープの追加] を選択します。
スコープが追加されたことを示すメッセージがブラウザーに表示されます。

定義した新しいスコープがページに表示されます。

承認されたクライアントアプリケーションを構成するには

[API の公開] ページを [承認済みクライアントアプリケーション] セクションに移動し、[+ クライアントアプリケーションの追加] を選択します。

[クライアントアプリケーションの追加] ページが表示されます。

アプリの Web アプリケーションに対して承認するアプリケーションに適した Microsoft 365 クライアント ID を入力します。

クライアントアプリケーションを追加する

注:

Teams、Microsoft 365 アプリ、Outlook 用のモバイル、デスクトップ、および Web アプリケーション用の Microsoft 365 クライアント ID は、追加する必要がある実際の ID です。
Teams タブアプリの場合は、Teams にモバイルまたはデスクトップクライアントアプリケーションを使用できないため、Web または SPA が必要です。

次のいずれかのクライアント ID を選択します。

クライアント ID を使用する	承認する場合...
1fec8e78-bce4-4aaf-ab1b-5451cc387264	Teams モバイルアプリケーションまたはデスクトップアプリケーション
5e3ce6c0-2b1f-4285-8d4b-75ee78787346	Teams Web アプリケーション
4765445b-32c6-49b0-83e6-1d93765276ca	Microsoft 365 Web アプリケーション
0ec893e0-5785-4de6-99da-4ed124e5296c	Microsoft 365 デスクトップアプリケーション
d3590ed6-52b3-4102-aeff-aad2292ab01c	Microsoft 365 モバイルアプリケーション
d3590ed6-52b3-4102-aeff-aad2292ab01c	Outlook デスクトップアプリケーション
bc59ab01-8403-45c6-8796-ac3ef710b3e3	Outlook Web アプリケ―ション
27922004-5251-4030-b22d-91ecd9a37ea4	Outlook モバイルアプリケーション

公開した Web API にスコープを追加するには、[承認されたスコープ] でアプリ用に作成したアプリケーション ID URI を選択します。
[アプリケーションの追加] を選択します。

承認されたクライアントアプリが追加されたことを示すメッセージがブラウザーに表示されます。

承認されたアプリのクライアント ID がページに表示されます。

注:

複数のクライアントアプリケーションを承認できます。承認された別のクライアントアプリケーションを構成するには、この手順の手順を繰り返します。

アプリのスコープ、アクセス許可、およびクライアントアプリケーションが正常に構成されました。アプリケーション ID URI をメモして保存してください。次に、アクセストークンのバージョンを構成します。

アクセストークンのバージョンを構成する

アプリのアクセストークンのバージョンを定義する必要があります。この構成は、Microsoft Entra アプリケーションアプリマニフェストで行われます。

アクセストークンのバージョンを定義するには

左側のウィンドウで [管理]>[マニフェスト] の順に選択します。

Microsoft Entra アプリケーションアプリマニフェストが表示されます。
accessTokenAcceptedVersion プロパティの値として 2 を入力します。

注:

アプリの登録中に [個人用 Microsoft アカウントのみ] または任意の組織ディレクトリ (任意のMicrosoft Entra ディレクトリ - マルチテナント) と個人用 Microsoft アカウント (Skype や Xbox など) を選択した場合は、プロパティの値を accessTokenAcceptedVersion 2 として更新します。
[保存] を選びます。

アプリマニフェストが正常に更新されたことを示すメッセージがブラウザーに表示されます。

おめでとうございます。タブアプリの SSO を有効にするために必要なMicrosoft Entra ID でアプリの構成を完了しました。

次のステップ

SSO を有効にするコードを構成する

Microsoft Entra ID でタブアプリを構成する