アプリケーションに対するグループ所有者の同意を構成する

グループ所有者とチーム所有者は、アプリケーション (たとえば、サードパーティ ベンダーによって発行されたアプリケーション) が、グループに関連付けられている組織のデータにアクセスすることを承認できます。 たとえば、Microsoft Teams のチーム所有者は、アプリがチーム内のすべての Teams メッセージを読み取ること、またはグループのメンバーの基本プロファイルを一覧表示することを許可できます。 詳細については、「Microsoft Teams でのリソース固有の同意」を参照してください。

前提条件

このガイドのタスクを完了するには、次のものが必要です。

• アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。
• グローバル管理者ロール。
• Azure AD PowerShell を設定します。 Azure AD PowerShell に関するページを参照してください。

アプリに対するグループ所有者の同意を管理する

グループ データまたはチーム データにアクセスするアプリへの同意を許可するユーザーを構成することも、すべてのユーザーを対象にこれを無効にすることもできます。

ポータル

次の手順でグループ データにアクセスするアプリに対するグループ所有者の同意を管理します。

1. Azure portal にグローバル管理者としてサインインします。
2. [Azure Active Directory]>[エンタープライズ アプリケーション]>[同意とアクセス許可]>[ユーザーの同意設定] を選択します。
3. [アプリがデータにアクセスすることへのグループ所有者の同意] で、有効にするオプションを選択します。
4. [Save]\(保存\) を選択して設定を保存します。

この例では、すべてのグループ所有者が、そのグループのデータにアクセスするアプリに同意することが許可されています。

PowerShell

Azure AD PowerShell プレビュー モジュールである AzureADPreview を使用して、グループ所有者が所有するグループに関連する組織のデータにアクセスするアプリケーションに対してグループ所有者が同意する機能を有効または無効にできます。

1. AzureADPreview モジュールを使用していることを確認します。 この手順は、AzureAD モジュールと AzureADPreview モジュールの両方がインストールされている場合に重要です。

   Remove-Module AzureAD
   Import-Module AzureADPreview
   

2. Azure AD PowerShell に接続します。

   Connect-AzureAD
   

3. テナントの同意ポリシー設定ディレクトリ設定の現在の値を取得します。 このために、この機能のディレクトリ設定が作成されているかどうかを確認する必要があります。作成されていない場合は、対応するディレクトリ設定テンプレートの値を使用します。

   $consentSettingsTemplateId = "dffd5d46-495d-40a9-8e21-954ff55e198a" # Consent Policy Settings
   $settings = Get-AzureADDirectorySetting -All $true | Where-Object { $_.TemplateId -eq $consentSettingsTemplateId }
   
   if (-not $settings) {
       $template = Get-AzureADDirectorySettingTemplate -Id $consentSettingsTemplateId
       $settings = $template.CreateDirectorySetting()
   }
   
   $enabledValue = $settings.Values | ? { $_.Name -eq "EnableGroupSpecificConsent" }
   $limitedToValue = $settings.Values | ? { $_.Name -eq "ConstrainGroupSpecificConsentToMembersOfGroupId" }
   

4. 設定値を理解します。 アプリがグループのデータにアクセスすることを許可できるユーザーを定義する設定値は、次の 2 つです。

   設定	Type	説明
   EnableGroupSpecificConsent	Boolean	グループ所有者がグループ固有のアクセス許可を付与できるかどうかを示すフラグです。
   ConstrainGroupSpecificConsentToMembersOfGroupId	Guid	EnableGroupSpecificConsent が "True" に設定され、この値がグループのオブジェクト ID に設定されている場合、指定されているグループのメンバーは、所有しているグループにグループ固有のアクセス許可を付与する権限を与えられます。

5. 必要な構成の設定値を更新します。

   # Disable group-specific consent entirely
   $enabledValue.Value = "False"
   $limitedToValue.Value = ""
   

   # Enable group-specific consent for all users
   $enabledValue.Value = "True"
   $limitedToValue.Value = ""
   

   # Enable group-specific consent for users in a given group
   $enabledValue.Value = "True"
   $limitedToValue.Value = "{group-object-id}"
   

6. 設定を保存します。

   if ($settings.Id) {
       # Update an existing directory settings
       Set-AzureADDirectorySetting -Id $settings.Id -DirectorySetting $settings
   } else {
       # Create a new directory settings to override the default setting 
       New-AzureADDirectorySetting -DirectorySetting $settings
   }
   

注意

“ユーザーに代わってアプリが会社のデータにアクセスすることに、ユーザーが同意できる” の設定を無効にしても、“ユーザーが所有するグループに代わってアプリが会社のデータにアクセスすることに、ユーザーが同意できる” の設定は無効になりません

次のステップ

詳細については、以下を参照してください。

• ユーザーの同意設定を構成する
• 管理者の同意ワークフローの構成
• アプリケーションへの同意を管理する方法と同意要求を評価する方法
• アプリケーションへのテナント全体の管理者の同意の付与
• Microsoft ID プラットフォームでのアクセス許可と同意

ヘルプを表示したり、質問に対する回答を検索したりするには、以下を参照してください。

• Azure AD on Microsoft QA