管理者の同意とアクセス許可を付与する

適用対象: テナント管理者の使用 - グローバル管理者

SharePoint Embedded アプリが Microsoft 365 テナントで高い特権のアクセス許可を必要とする場合は、管理者の同意を付与します。 アプリケーションのアクセス許可には常に管理者の同意が必要ですが、SharePoint Embedded の委任されたアクセス許可は必要ありません。 詳細については、「管理者の 同意を付与する」を参照してください。

この記事を使用して、要求されたアクセス許可を確認し、同意を付与し、一般的な同意エラーのトラブルシューティングを行います。

重要

organization信頼しているアプリと発行元に対してのみ同意を付与します。 承認する前に、アプリ ID、発行元、および要求されたアクセス許可を確認します。

開始する前に

次の前提条件を確認します。

  • 管理者の同意を付与できます (「 テナント全体の管理者の同意を付与する」を参照してください)。
  • テナント ID をMicrosoft Entraしていることがわかっている (「Microsof Entra テナント ID を見つける方法」を参照してください)
  • 所有しているアプリケーション クライアント ID がわかっている。
  • アプリで要求された各アクセス許可が必要な理由を理解します。
  • アプリ所有者がインストールと同意の指示を提供しました。
  • 課金要件は、アプリ モデルで知られています。

所有しているアプリケーションは、使用しているテナントに対して動作する前に、2 つの要件を満たす必要があります。

  1. 所有しているアプリには、使用しているテナントにサービス プリンシパルがインストールされている必要があります。
  2. 所有しているアプリには、コンテナーの種類を登録し、使用しているテナント内のコンテナーにアクセスするために必要なアクセス許可が付与されている必要があります。

どちらの要件も、通常、テナント管理者が所有アプリケーションに対して管理者の同意を付与した場合に満たされます。 ただし、管理者の同意は、所有するアプリケーションが使用しているテナントに対して動作するためのハード要件ではありません。 ユーザーの代わりに排他的に動作する SharePoint Embedded アプリには、管理者の同意を付与する必要はありません。 ユーザーの代わりに排他的に動作するアプリに対して管理者の同意を付与すると、アプリにサインインするすべてのユーザーの同意を必要としないため、ユーザー エクスペリエンスが向上する可能性があります。

注意

アプリケーションに管理者の同意を付与することの影響を理解する必要があります。 詳細については、「 テナント全体の管理者の同意を付与する」を参照してください。

これらは、所有しているアプリケーションが使用しているテナントに対して実行する必要があるアクセス許可です。

アクセス許可 アプリが要求する理由 同意に関するメモ
FileStorageContainerTypeReg.Selected 使用しているテナントにコンテナーの種類を登録します。 アプリは、委任またはアプリケーションのアクセス許可としてこれを要求できます。 委任された登録を使用する場合、管理者の同意は必要ありませんが、登録を実行するユーザーは SharePoint Embedded Administrator または Global Administrator である必要があります。
FileStorageContainer.Selected 使用しているテナント内のコンテナーの種類のコンテナーとコンテンツにアクセスします。 アプリは、委任またはアプリケーションのアクセス許可としてこれを要求できます。 委任されたアクセスを使用する場合、管理者の同意は必要ありませんが、アプリにサインインするときにアプリの各ユーザーが同意する必要があります。

要求されたアクセス許可を確認する

同意を付与する前に、アプリ所有者に要求されたアクセス許可を確認します。

アイテムを確認する 共同作業の重要性
アプリケーション クライアント ID 目的の所有アプリに同意していることを確認します。
Publisher 信頼の検証と所有権のサポートに役立ちます。
アクセス許可の一覧 同意後にアプリが実行できることを示します。
コンテナーの種類 ID アプリが所有するコンテナーの種類を識別します。
ゲスト アプリへのアクセス 登録を通じてアクセスを受け取る可能性がある他のアプリを識別します。
課金モデル ユーザーがアプリを使用する前にテナントが課金を構成する必要があるかどうかを判断します。

アプリ所有者に、想定されるシナリオと一致しないアクセス許可について説明するように依頼します。

注意

  • URL の client_id 値を確認していない限り、コピーした URL から同意を付与しないでください。 同意 URL は、そのクライアント ID によって識別されるアプリにアクセス許可を付与します。

  • 各アクセス許可が要求されている理由がわからない場合は、同意を付与しないでください。

SharePoint Embedded は、管理者の同意 URL を提供するか、リダイレクトすることで、テナントに対する管理者の同意を要求する場合があります。 管理者の同意 URL の詳細については、「Microsoft ID プラットフォーム管理同意する」を参照してください。

https://login.microsoftonline.com/{your-tenant-id}/v2.0/adminconsent?client_id={owning-app-clientid}&scope=https://graph.microsoft.com/.default&redirect_uri={spe-app-redirect-uri}

管理者の同意 URL で、次の点を確認します。

  • {your-tenant-id}は、Microsoft Entraテナント ID と一致します。
  • {owning-app-clientid} は、所有しているアプリケーション クライアント ID と一致します。
  • {spe-app-redirect-uri} は、SharePoint Embedded アプリの URL を指します。
  • スコープの値は、microsoft Graph スコープ .default を指します。 アプリ所有者から別のスコープ値が提供される場合は、その理由を確認してください。
  • stateクエリ パラメーターは、存在する場合と存在しない場合があります。

国内クラウド環境の場合、管理者の同意エンドポイントは異なります。 詳細については、「Microsoft Entra認証エンドポイント」を参照してください。

所有アプリケーションがテナントに既にサービス プリンシパルを持っている場合にのみ、Microsoft Entra 管理センターを通じて管理者の同意を付与できます。 管理者の同意を付与する方法については、「 Enterprise Apps ペインでテナント全体の管理者の同意を付与する」を参照してください。

サービス プリンシパルを確認する

同意したら、アプリがテナントにインストールされていることを確認します。

  1. Microsoft Entra 管理センターで、クライアント ID を使用して[エンタープライズ] ウィンドウで所有アプリケーションを検索します。
  2. アプリケーションが存在することを確認します。
  3. 発行元とアプリケーション ID を確認します。
  4. アクセス許可に予想される同意状態が表示されていることを確認します。
  5. 予期しないアクセス許可が付与されていないことを確認します。

サービス プリンシパルが見つからない場合、同意は完了しませんでした。

同意が失敗した場合は、これらのチェックを使用します。

  • 管理者アカウントがテナント全体の管理者の同意を付与できることを確認します。
  • 同意 URL で正しい使用テナント ID が使用されていることを確認します。
  • client_idが所有アプリケーション クライアント ID であることを確認します。
  • URL で予想される v2.0/adminconsent エンドポイントと Graph .default スコープが使用されていることを確認します。
  • アプリの登録が存在し、アプリ所有者によって正しく構成されていることを確認します。
  • リダイレクト URI または成功処理がアプリ所有者によって構成されていることを確認します。
  • テナント ポリシーでアプリのユーザーまたは管理者の同意が許可されていることを確認します。
  • 該当する場合は、各国のクラウド エンドポイントが正しいことを確認します。
  • アプリが発行元またはエンタープライズ アプリ ポリシーによってブロックされていないことを確認します。

同意が成功したが、API 呼び出しがテナントで失敗するとアプリ所有者が報告する場合は、これらのチェックを使用します。

  • 登録 API を使用して、アプリ所有者がコンテナーの種類を登録したことを確認します。
  • 登録 API を呼び出すときに、アプリがコンテナーの種類の所有アプリケーションであることを確認します。
  • アプリがコンテナーとコンテンツへのアクセスに必要な FileStorageContainer.Selected アクセス許可を使用していることを確認します。
  • アプリが必要に応じてアプリ専用認証を使用していることを確認します。
  • アプリが正しい委任された登録フローまたはアプリのみの登録フローをデザインに使用していることを確認します。
  • アプリでパススルー課金が使用されている場合は、課金がアクティブであることを確認します。

次の手順

Microsoft 365 管理センターで課金を設定する」で課金を構成します。