クイック スタート:アプリケーションによってサポートされるアカウントを変更するQuickstart: Modify the accounts supported by an application

Microsoft ID プラットフォームにアプリケーションを登録する際、自分が所属する組織のユーザーだけがそのアプリケーションにアクセスできるようにしたい場合があります。When registering an application in the Microsoft identity platform, you may want your application to be accessed only by users in your organization. 反対に、外部組織のユーザーや、組織に所属していないユーザー (個人用アカウント) に、アプリケーションへのアクセスを許可したい場合もあるでしょう。Alternatively, you may also want your application to be accessible by users in external organizations, or by users in external organizations as well as users that are not necessarily part of an organization (personal accounts).

このクイック スタートでは、アプリケーションにアクセスできるユーザー (アカウント) を、その構成を通じて変更する方法について説明します。In this quickstart, you'll learn how to modify your application's configuration to change who, or what accounts, can access the application.

前提条件Prerequisites

最初に、以下の前提条件を完了していることを確認します。To get started, make sure you complete these prerequisites:

Azure portal にサインインしてアプリを選択するSign in to the Azure portal and select the app

アプリを構成する前に、次の手順を実行します。Before you can configure the app, follow these steps:

  1. 職場または学校アカウントか、個人の Microsoft アカウントを使用して、Azure portal にサインインします。Sign in to the Azure portal using either a work or school account or a personal Microsoft account.
  2. ご利用のアカウントで複数のテナントにアクセスできる場合は、右上隅でアカウントを選択し、ポータルのセッションを目的の Azure AD テナントに設定します。If your account gives you access to more than one tenant, select your account in the top right corner, and set your portal session to the desired Azure AD tenant.
  3. 左側のナビゲーション ウィンドウで、 [Azure Active Directory] サービスを選択し、 [アプリの登録] を選択します。In the left-hand navigation pane, select the Azure Active Directory service and then select App registrations.
  4. 構成するアプリケーションを探して選択します。Find and select the application you want to configure. アプリを選択すると、アプリケーションの [概要] またはメイン登録ページが表示されます。Once you've selected the app, you'll see the application's Overview or main registration page.
  5. 異なるアカウントをサポートするようにアプリケーションの登録を変更するための手順に従います。Follow the steps to change the application registration to support different accounts.
  6. シングルページ アプリケーションの場合は、OAuth 2.0 の暗黙的な許可を有効にします。If you have a single-page application, enable OAuth 2.0 implicit grant.

異なるアカウントをサポートするようにアプリケーションの登録を変更するChange the application registration to support different accounts

組織の外部の顧客やパートナーが利用できるアプリケーションを作成する場合には、Azure Portal でアプリケーションの定義を更新する必要があります。If you are writing an application that you want to make available to your customers or partners outside of your organization, you need to update the application definition in the Azure portal.

重要

Azure AD では、マルチテナント アプリケーションのアプリケーション ID URI がグローバルで一意になっている必要があります。Azure AD requires the Application ID URI of multi-tenant applications to be globally unique. アプリ ID URI は、プロトコル メッセージでアプリケーションを識別する手段の 1 つです。The App ID URI is one of the ways an application is identified in protocol messages. シングル テナント アプリケーションの場合、アプリ ID URI はそのテナント内で一意であれば十分です。For a single-tenant application, it is sufficient for the App ID URI to be unique within that tenant. これに対してマルチテナント アプリケーションの場合、Azure AD が全テナントから該当するアプリケーションを特定できるように、アプリ ID URI がグローバルで一意になっている必要があります。For a multi-tenant application, it must be globally unique so Azure AD can find the application across all tenants. グローバルな一意性を確保するため、アプリ ID URI には Azure AD テナントの検証済みドメインと一致するホスト名が含まれていなければならないという条件が存在します。Global uniqueness is enforced by requiring the App ID URI to have a host name that matches a verified domain of the Azure AD tenant. たとえば、テナントの名前が contoso.onmicrosoft.com の場合、有効なアプリ ID URI は https://contoso.onmicrosoft.com/myapp のようになります。For example, if the name of your tenant is contoso.onmicrosoft.com, then a valid App ID URI would be https://contoso.onmicrosoft.com/myapp. また、テナントの検証済みドメインが contoso.com の場合、有効なアプリ ID URI は https://contoso.com/myapp のようになります。If your tenant has a verified domain of contoso.com, then a valid App ID URI would also be https://contoso.com/myapp. アプリ ID URI がこのパターンに従っていないと、アプリケーションのマルチテナントとしての設定が失敗します。If the App ID URI doesn’t follow this pattern, setting an application as multi-tenant fails.

アプリケーションにアクセスできるユーザーを変更するTo change who can access your application

  1. アプリの [概要] ページから [認証] セクションを選択し、 [サポートされているアカウントの種類] に選択されている値を変更します。From the app's Overview page, select the Authentication section and change the value selected under Supported account types.
    • 基幹業務 (LOB) アプリケーションを作成している場合は、 [このディレクトリ内のアカウントのみ] を選択します。Select Accounts in this directory only if you are building a line-of-business (LOB) application. アプリケーションがディレクトリに登録されていない場合、このオプションは選択できません。This option is not available if the application is not registered in a directory.
    • 企業および教育機関のすべてのユーザーを対象とする場合は、 [任意の組織のディレクトリ内のアカウント] を選択します。Select Accounts in any organizational directory if you would like to target all business and educational customers.
    • 最も広範なユーザーを対象にしたければ、 [任意の組織のディレクトリ内のアカウントと、個人用の Microsoft アカウント] を選択します。Select Accounts in any organizational directory and personal Microsoft accounts to target the widest set of customers.
  2. [保存] を選択します。Select Save.

シングル ページ アプリケーションで OAuth 2.0 の暗黙的な許可を有効にするEnable OAuth 2.0 implicit grant for single-page applications

シングル ページ アプリケーション (SPA) は、ブラウザー上で実行される JavaScript ヘビーなフロント エンドを使用して通常構成されています。これがアプリケーションの Web API バックエンドを呼び出してビジネス ロジックを実行します。Single-page applications (SPAs) are typically structured with a JavaScript-heavy front end that runs in the browser, which calls the application’s web API back-end to perform its business logic. Azure AD でホストされている SPA では、Azure AD によるユーザー認証と、アプリケーションの JavaScript クライアントによるバックエンド Web API の呼び出しを保護するためのトークンの取得に、OAuth 2.0 Implicit Grant を使用します。For SPAs hosted in Azure AD, you use OAuth 2.0 Implicit Grant to authenticate the user with Azure AD and obtain a token that you can use to secure calls from the application's JavaScript client to its back-end web API.

この認証プロトコルはほかにも、ユーザーが同意した後、クライアントとアプリケーション用に構成されている他の Web API リソースとの間に発生する呼び出しを保護するトークンを取得するときにも利用できます。After the user has granted consent, this same authentication protocol can be used to obtain tokens to secure calls between the client and other web API resources configured for the application. 暗黙的な認可付与の詳細と、それが自身のアプリケーションのシナリオに適しているかどうかの判断に役立つ情報は、Azure AD v1.0 および v2.0 における OAuth 2.0 の暗黙的な許可フローを参照してください。To learn more about the implicit authorization grant, and help you decide whether it's right for your application scenario, learn about the OAuth 2.0 implicit grant flow in Azure AD v1.0 and v2.0.

既定では、アプリケーションに対して OAuth 2.0 の暗黙的な許可が無効になっています。By default, OAuth 2.0 implicit grant is disabled for applications. 実際のアプリケーションで OAuth 2.0 の暗黙的な許可を有効にするには、以下の手順に従ってください。You can enable OAuth 2.0 implicit grant for your application by following the steps outlined below.

OAuth 2.0 Implicit Grant を有効にするにはTo enable OAuth 2.0 implicit grant

  1. 左側のナビゲーション ウィンドウで、 [Azure Active Directory] サービスを選択し、 [アプリの登録] を選択します。In the left-hand navigation pane, select the Azure Active Directory service and then select App registrations.
  2. 構成するアプリケーションを探して選択します。Find and select the application you want to configure. アプリを選択すると、アプリケーションの [概要] またはメイン登録ページが表示されます。Once you've selected the app, you'll see the application's Overview or main registration page.
  3. アプリの [概要] ページで、 [認証] セクションを選択します。From the app's Overview page, select the Authentication section.
  4. [詳細設定][暗黙的な許可] セクションを探します。Under Advanced settings, locate the Implicit grant section.
  5. [ID トークン][アクセス トークン] の両方またはどちらか一方を選択します。Select ID tokens, Access tokens, or both.
  6. [保存] を選択します。Select Save.

次のステップNext steps

以下のその他のアプリ管理関連のクイック スタートを学習します。Learn about these other related app management quickstarts for apps:

登録されたアプリケーションを表す 2 つの Azure AD オブジェクトと、両者間の関係については、Application objects and service principal objects(アプリケーション オブジェクトとサービス プリンシパル オブジェクト) を参照してください。To learn more about the two Azure AD objects that represent a registered application and the relationship between them, see Application objects and service principal objects.

Azure Active Directory でアプリケーションを開発するときに使用するブランド化ガイドラインについては、アプリケーションのブランド化ガイドラインを参照してください。To learn more about the branding guidelines you should use when developing applications with Azure Active Directory, see Branding guidelines for applications.